Que vous soyez un utilisateur occasionnel d’outils informatiques et d’internet ou geek averti, vous devez utiliser un gestionnaire de mots de passe et je vous explique pourquoi.
Qu’est-ce qu’un gestionnaire de mots de passe ?
Un gestionnaire de mots de passe est un outil logiciel ou SAAS (Software As A Service) qui prend alors la forme d’un service en ligne. C’est un coffre-fort virtuel qui va se charger de stocker vos mots de passe de manière sécurisée via le chiffrement par exemple.
Ces outils offrent la possibilité de sauvegarder vos mots de passe, mais aussi bien d’autres choses comme vos cartes bancaires, votre carte d’identité ou encore des textes libres où vous pouvez écrire des notes et informations qui ne correspondent à aucun type précédemment cité.
Votre coffre-fort virtuel est protégé par un mot de passe « maître ». C’est le seul que vous aurez à retenir par la suite et il doit respecter quelques règles.
Avantages des gestionnaires de mots de passe
Il y a de nombreux avantages donc je ne vais vous citer que les principaux :
- Générer des mots de passe très compliqués à l’inscription / création d’un compte.
- Retenir tous vos mots de passe qui sont désormais tous différents donc impossibles à retenir soi-même.
- Stocker ces mots de passe de manière chiffrée, donc plus besoin de les laisser aux yeux de tous. Les algorithmes utilisés sont à jour.
- Éviter les tentatives d’attaques par keylogger (enregistreur de frappes) car vous n’avez plus à taper votre mot de passe, le gestionnaire le préremplit tout seul.
- Éviter les tentatives de phishing (hameçonnage) car celui-ci compare l’url du site avec l’url active.
- Du fait de tous les avantages cités précédemment, un gestionnaire permet de respecter les recommandations de la CNIL (Commission nationale de l’informatique et des libertés).
- Accessible partout : certains gestionnaires offrent la possibilité de synchroniser les mots de passe entre les différents appareils.
Désavantages des gestionnaires de mots de passe
Il est important de nuancer le propos sur cet outil avec les quelques désavantages qu’il peut y avoir :
- Difficile d’intégrer tous ses comptes rapidement (il vous faudra plusieurs heures pour ajouter vos comptes déjà créés et il m’arrive encore, après quatre ans d’utilisation, d’ajouter un compte que j’ai pu oublier). La seule solution que j’ai trouvée, c’est d’adopter le gestionnaire de mots de passe le plus tôt possible.
- Beaucoup de fonctionnalités pratiques sont parfois payantes
Sécuriser son gestionnaire de mots de passe
Avoir un gestionnaire de mots de passe est gage de qualité à condition d’avoir mis en place un minimum de sécurité sur celui-ci.
Le mot de passe maître
Votre mot de passe maître doit respecter quelques règles comme le recommande la CNIL, un mot de passe :
- doit être long (supérieur ou égal à 12 caractères) et compliqué (avec plusieurs types de caractères, etc).
- ne doit divulguer aucune information sur vous.
- doit être unique pour chaque compte.
- ne doit jamais être écrit quelque part.
Respecter ces règles pour un ou deux comptes, c’est possible, mais pour 50 ou 200 comptes, c’est impossible. L’idée est donc de faire l’effort pour un seul de ses mots de passe, le mot de passe maître.
Beaucoup de personnes me disent : Pourquoi un mot de passe devrait être unique si le mien est déjà très compliqué et pourquoi ne devrait-il rien dire sur moi ?
Ce que vous devez comprendre si vous vous posez ce genre de question c’est que parfois, les pirates ne s’en prennent pas à vous mais aux entreprises et il arrive que des bases de données fuitent… Alors, si votre mot de passe en fait parti, tous vos comptes sont compromis sans que cela soit de votre faute.
Ensuite, tous les autres mots de passe respecteront ces règles car ils seront générés et enregistrés par le gestionnaire de mots de passe.
La double authentification
La double authentification permet de s’assurer que vous êtes l’utilisateur du compte via un facteur supplémentaire comme un code envoyé sur votre téléphone.
En effet, si un pirate tente de se connecter à 4.000 kilomètres de chez vous, bien qu’il ait votre mot de passe, il sera difficilement en mesure d’obtenir le code envoyé sur votre téléphone par exemple.
Il me paraît donc primordial de l’ajouter au minimum sur son gestionnaire de mots de passe. De ce fait, si un jour quelqu’un dérobe votre mot de passe maître, la double authentification l’empêchera d’obtenir l’intégralité de ceux-ci.
Dans l’idéal, je vous recommande d’ajouter la double authentification sur tous vos comptes, quand c’est possible.
Les comptes de messagerie
Lorsque vous installez un gestionnaire de mots de passe, il est souvent nécessaire de créer un compte, ce qui nécessite un email et un mot de passe maître.
C’est la raison pour laquelle il est aussi recommandé de ne pas sauvegarder son/ses mot(s) de passe de compte(s) de messagerie dans son gestionnaire de mots de passe.
Si vous perdez un jour votre mot de passe maître, alors vous pourrez le réinitialiser grâce à votre email. Or, si vous avez généré un mot de passe compliqué enregistré dans le gestionnaire pour ledit email, vous n’aurez aucun moyen de récupérer votre compte ainsi que tous les mots de passe.
Quel gestionnaire de mots de passe choisir ?
Cet article n’a pas pour but de vous dire quel gestionnaire de mots de passe est meilleur ou moins bien qu’un autre, mais plutôt de vous faire prendre conscience à quel point il est important d’en utiliser un.
Cependant, pour vous aider dans vos recherches voici une liste non exhaustive d’outils :
- Bitwarden : open-source, ce qui est gage de confiance. La version est gratuite pour les particuliers et payant pour les entreprises avec l’ajout de fonctionnalités supplémentaires bien entendu. Possibilité d’ajouter des notes sécurisées. Disponible en extension, logiciel et site web. Possibilité d’auto-héberger la solution.
- KeePass : open-source avec un peu moins de fonctionnalités natives que Bitwarden mais de nombreux outils sont compatibles avec lui pour l’améliorer. KeePass peut fonctionner avec différents plugins qui peuvent le rendre très puissant. Attention à vérifier qu’ils soient de confiance.
- Dashlane : payant donc pas open-source, mais très agréable à utiliser. Il y a une version gratuite, mais extrêmement limitée. Il est très efficace dans le remplissage automatique des formulaires.
- 1Password : payant, dans le même genre que Dashlane. Il est extrêmement bien intégré à MacOS grâce à 1Password CLI qui permet de pousser son utilisation encore plus.
Conclusion
Tout le monde a des comptes sur internet. On ne peut plus y échapper et même les administrations françaises s’y mettent avec la déclaration d’impots sur internet par exemple.
Là où à l’époque se faire pirater son compte Minecraft n’était pas souhaité, ça n’était pas catastrophique non plus.
Désormais, vous avez un compte pour l’électricité, un compte pour le gaz, un compte vers votre banque, un compte vers La Poste, un compte à l’URSSAF si vous êtes micro-entrepreneur… Tant de comptes importants qui ne peuvent pas respecter les recommandations de la CNIL sur les mots de passe sans un gestionnaire…
Il vous suffit de retenir deux mots de passe : un pour votre gestionnaire de mots de passe et un pour votre compte de messagerie et d’ajouter la double authentification sur ces deux comptes.
Alors, vous serez prêt à affronter la transition numérique des différents services, processus qui ne fait que commencer !
Nota Bene : une fois que vous avez adopté un gestionnaire de mots de passe, prenez du temps pour former votre famille, vos amis et vos collègues.
Laisser un commentaire