Pourquoi vous devriez utiliser un gestionnaire de mots de passe

Nous n’avons jamais été aussi bien servis par les gestionnaires de mots de passe. Et cela a créé quelques doutes : à Tecnogrupo, il est courant que quelqu’un demande quelle application choisir et, pas rarement, que quelqu’un réponde en demandant pourquoi en utiliser une ? après tout, vous pourriez sauvegarder les mots de passe en mémoire ou profiter de la ressource native du navigateur, n’est-ce pas ?

Je pourrais, mais ce ne sont pas les meilleures décisions. Voici quelques réponses pour ceux qui ne se sont pas encore convaincus d’utiliser un gestionnaire de mots de passe.

N’est-il pas préférable de garder les mots de passe en mémoire ?

Si vous avez ce doute, je ne peux en déduire que trois choses :

Vous avez un dossier dans très peu de services ;

Votre cerveau a des capacités de mémorisation impressionnantes et vous devez être étudié par la science ;

Vous réutilisez les mêmes mots de passe dans tous vos enregistrements.

Les deux premières hypothèses sont peu probables, passons donc à la troisième : il n’est pas recommandé d’utiliser le même mot de passe dans plus d’un service, quelle que soit la force de la combinaison. Vous lisez souvent des nouvelles de services qui ont été attaqués et dont les bases de données ont été exposées, ainsi que les mots de passe des utilisateurs. Et vous avez peut-être déjà reçu un courriel de l’un d’entre eux vous demandant de changer votre combinaison.

Si vous réutilisez des mots de passe dans plusieurs services, vous risquez de voir tous vos comptes accessibles à tort au cas où quelqu’un découvrirait votre combinaison. Si cela se produit, je ne peux même pas imaginer les tracas que vous aurez à réinitialiser le mot de passe sur chacun d’eux et à vérifier que vos données sont intactes ou que personne n’a effectué d’achat non autorisé avec votre carte de crédit.

Comme aucune personne normale ne peut enregistrer autant de combinaisons en mémoire, les gestionnaires de mots de passe sont la meilleure option pour organiser vos secrets.

N’est-il pas plus pratique de tout sauvegarder dans le navigateur ?

Les principaux navigateurs disposent déjà de fonctions permettant de sauvegarder les mots de passe, alors pourquoi utiliser une application dédiée à cette fin ?

C’est peut-être même plus pratique, mais ce n’est pas la meilleure ni la plus sûre des options. Dans le cas de Chrome pour Windows, par exemple, le fichier des mots de passe est enregistré dans %UserProfile%_AppData_Google_Chrome_User Data_Default_Login Data. Les données sont cryptées par le navigateur, mais la “clé” permettant de les déchiffrer est précisément votre compte d’utilisateur Windows, c’est-à-dire que toute application que vous exécutez pourra accéder aux mots de passe.

Même dans le cas des navigateurs qui adoptent une approche plus sûre, comme Firefox, où vous pouvez définir un mot de passe maître indépendant, ces fonctionnalités restent à la traîne car elles ne font rien d’autre que l’essentiel, à savoir la sauvegarde des mots de passe.

Les gestionnaires de mots de passe, quant à eux, apportent des ressources qui facilitent l’organisation. Les fonctions varient selon l’application, mais presque toutes disposent de générateurs de mots de passe (il n’est donc pas nécessaire de trouver une combinaison), chiffrent les données avec un algorithme puissant (seuls ceux qui connaissent le mot de passe principal peuvent ouvrir leur coffre-fort de mots de passe), ont la possibilité de sauvegarder les données dans le Cloud (vous pouvez charger vos mots de passe partout et y accéder sur le smartphone) et disposent de fonctions de sécurité intégrées (afficher les mots de passe en double, anciens ou faibles).

De plus, comme les gestionnaires de mots de passe sont généralement multi-plateformes, vous pouvez changer de navigateur ou de système d’exploitation à tout moment et ne dépendez pas d’un écosystème spécifique, simplement parce que vos mots de passe sont stockés sur les serveurs de Google, Apple ou Microsoft.

Dans mon cas, je profite également des gestionnaires de mots de passe pour stocker des informations de manière sécurisée – un peu comme une “base de données secrètes”. 1Password et LastPass sont deux applications qui vous permettent de sauvegarder, outre les mots de passe et les cartes de crédit, des notes de texte sécurisées.

N’est-il pas préférable de tout enregistrer dans un fichier de notebook ?

Vraiment ?

Mais les gestionnaires de mots de passe sont-ils vraiment sûrs ?

C’est probablement la plus grande préoccupation : qui garantit que vos informations enregistrées dans le gestionnaire de mots de passe ne seront pas volées ? Et la bonne réponse est : personne.

Mais il y a des raisons de faire confiance aux gestionnaires de mots de passe – du moins les plus connus. Le dernier cas négatif remonte à juin 2015, lorsque le LastPass a subi une attaque et que les hachages d’authentification ont été mal utilisés. Cependant, les coffres des utilisateurs restent protégés (ils ne sont pas stockés au même endroit) et les informations sont sauvegardées avec une protection matérielle pour empêcher ou gêner le cryptage.

Si vous êtes vraiment paranoïaque et que vous ne faites pas confiance au nuage, vous pouvez utiliser un gestionnaire de mots de passe qui a la possibilité de stocker les données uniquement localement, sans les envoyer à un serveur. 1Le mot de passe, par exemple, permet de sauvegarder la base de données sur le disque dur et de la synchroniser avec le smartphone sur le réseau local. KeePassX, qui est open source, n’a même pas d’intégration native avec le cloud ? vous devez tout configurer manuellement si vous voulez avoir accès à des mots de passe n’importe où, en stockant votre chambre forte dans des services comme Dropbox et Google Drive.

En ligne ou non, les gestionnaires de mots de passe valent mieux que de faire confiance à votre mémoire, d’utiliser la ressource native du navigateur ou de tout sauvegarder dans un fichier password.txt non protégé.

Comment puis-je commencer ?

Cet article n’a pas pour but de comparer les gestionnaires de mots de passe, mais vous pouvez suggérer les plus connus ? si vous utilisez déjà une application du genre qui n’a pas été répertoriée, n’hésitez pas à l’indiquer dans les commentaires.

1Mot de passe. C’est mon préféré, mais il est cher (49,99 € pour OS X ou Windows). Il vous permet de générer des mots de passe facilement mémorisables et saisissables, enregistre les codes d’authentification en deux étapes (j’ai abandonné Authy), a une bonne intégration avec iOS (remplit les mots de passe dans les applications et Safari), a une interface bien travaillée et enregistre des données confidentielles que je ne peux pas perdre.

LastPass. C’est l’un des plus utilisés car il fonctionne sur presque tous les navigateurs et toutes les plates-formes. Les informations sont stockées sur les serveurs LastPass, cryptées avec AES?256. Elle est gratuite, mais la synchronisation avec les appareils mobiles est réservée aux abonnés Premium (12 € par an).

KeePassX. L’interface n’est pas la plus conviviale, mais c’est la meilleure option pour les plus suspicieux. Le code de la demande est ouvert et peut être analysé à tout moment. Vous pouvez configurer la puissance du cryptage et vos données ne sont envoyées nulle part. Il s’agit d’une fourchette KeePass, qui ne fonctionne que sur Windows. Gratuit et recommandé par l’EFF (Electronic Frontier Foundation).

Dashlane. Pratiquement un LastPass plus complet (et plus cher) : il permet d’accéder à des mots de passe sur le web, fonctionne bien sur les principales plateformes et synchronise les données entre tous les appareils. Le plus cool est qu’il vous permet de changer tous vos mots de passe en un clic : l’application se charge de générer les combinaisons et d’accéder à vos comptes en ligne. L’abonnement payant coûte 39,99 € par an.

Bonne chance avec vos mots de passe !