Les pratiques de sécurité donnent parfois l'impression que protéger nos comptes en ligne nécessite des mots de passe d'une longueur et d'une complexité cauchemardesques, dont nous ne pouvons ni nous souvenir ni saisir sans fautes de frappe. Pourtant, tout cela n'est pas dénué de sens. En effet, les pirates informatiques trouvent constamment de nouveaux moyens de craquer vos mots de passe, de sorte que l'utilisation du nom de votre chat ne suffit plus.
Contenu
Voilà pourquoi les gestionnaires de mots de passe sont rapidement devenus populaires. Qu'il s'agisse d'un gestionnaire de mots de passe intégré au navigateur ou d'un outil dédié, ils facilitent la gestion de vos comptes et la rendent plus sûre. Ils peuvent vous aider à garder la trace de vos informations d'identification, à générer des mots de passe forts, à sauvegarder les informations pour vous et à les remplir automatiquement si nécessaire.
Mais comment fonctionnent-ils réellement ? Et peut-on stocker tous ses mots de passe au même endroit en toute sécurité ? Bien que les différents gestionnaires de mots de passe présentent des caractéristiques distinctes, en voici quelques-unes à garder à l'esprit.
Tout est question de commodité
Vous avez probablement déjà utilisé un gestionnaire de mots de passe, la plupart des navigateurs disposent en effet de leur propre système intégré. Normalement, chaque fois que vous voulez accéder à un site, vous devez saisir vos informations de connexion. Mais désormais, le gestionnaire de mots de passe s'occupe de cette lourde tâche pour vous. Vous n'avez donc plus à penser à l'adresse e-mail, au nom d'utilisateur et au mot de passe que vous utilisez pour le site puisque le gestionnaire les saisit à votre place.
Les gestionnaires de mots de passe plus sophistiqués possèdent une fonction supplémentaire : un générateur de mots de passe. Supposons que vous vous inscriviez à un nouveau service sur Internet. Au lieu de vous demander d'inventer vous-même un mot de passe, le gestionnaire peut générer une série de caractères compliqués et aléatoires. Ainsi, vous avez la certitude que le mot de passe que vous utiliserez est suffisamment sûr.
Certains gestionnaires de mots de passe vous permettent également de stocker d'autres types de données de façon sécurisée, par exemple des numéros de cartes bancaires ou des notes privées. Mais stocker toutes vos informations en un seul endroit est-il vraiment sûr ?
mot de passe maître
La plupart des gestionnaires de mots de passe spécialisés qui permettent de stocker vos données dans un coffre-fort les sécurisent au moyen d'un mot de passe principal. C'est la première décision, et probablement la plus importante, que vous devrez prendre avec un gestionnaire de mots de passe : définir votre mot de passe principal. Comme celui-ci contrôle l'accès à l'ensemble de votre coffre-fort, il doit être puissant. Il s'agit du seul mot de passe que vous devrez retenir.
Dans la plupart des cas, oublier votre mot de passe principal est une mauvaise nouvelle, car cela signifie que l'accès à votre coffre-fort est définitivement coupé. La seule solution sera alors de réinitialiser tous vos mots de passe, compte par compte et site par site. Veillez donc à bien le mémoriser.
Conseil : lorsque vous créez votre mot de passe principal, notez-le sur une feuille de papier et tapez-le sur votre clavier jusqu'à ce que vous vous en souveniez. De plus, utiliser l'authentification à deux facteurs est une option encore plus sécurisée pour vos comptes.
Stockage des mots de passe
On peut distinguer trois grandes catégories de gestionnaires de mots de passe, en fonction de l'endroit où ils stockent vos données : les gestionnaires basés sur un navigateur, ceux autonomes et enfin ceux basés sur le cloud. En d'autres termes, ils stockent vos mots de passe soit localement, soit dans le nuage. Selon le gestionnaire que vous choisissez, vos identifiants seront conservés sur votre appareil ou sur les serveurs du fournisseur de services.
C'est très pratique, car certains gestionnaires de mots de passe stockent par défaut votre coffre-fort sur leurs serveurs. Vous pouvez ainsi facilement synchroniser vos données entre vos différents appareils. Par ailleurs, si l'un de vos périphériques tombe en panne, vous ne perdrez pas vos identifiants.
Cependant, stocker vos données les plus sensibles sur des serveurs tiers peut aussi présenter des risques. En fait, cela dépend de la confiance que vous accordez aux protocoles de sécurité de votre fournisseur de services. C'est donc ici qu'intervient l'architecture à connaissance nulle.
Vos mots de passe sont-ils sûrs ?
Cela dépend du gestionnaire de mots de passe. Les gestionnaires intégrés ont souvent une sécurité moindre que les gestionnaires dédiés. De leur côté, la majorité des gestionnaires de mots de passe basés sur le cloud utilisent des protocoles de chiffrement puissants et à connaissance nulle. La notion de connaissance nulle signifie que même si vos données sont stockées dans le nuage, le fournisseur de services n'a aucune connaissance réelle de ce qui se trouve dans votre coffre-fort. En effet, toutes les informations sont chiffrées depuis votre appareil avant d'être transférées dans le cloud.
Comment ça fonctionne ? Encryption brouille les données afin que les personnes qui disposent d'un accès autorisé soient les seules à pouvoir visualiser le contenu original. Le chiffrement comprend des milliers de tours de hachage d'authentification. Un algorithme convertit une chaîne de texte en une chaîne plus longue et ainsi de suite, ce qui rend la tâche des pirates plus difficile pour craquer le texte haché.
Ainsi, même si un criminel parvenait à franchir les défenses du gestionnaire de mots de passe, vos données sensibles ressembleraient à un texte incompréhensible pour lui. Et même si quelqu'un demandait à votre gestionnaire de fournir des détails sur ce qui se trouve dans votre coffre-fort, il en serait incapable. L'architecture à connaissance nulle garantit en effet cela.
Choisir le gestionnaire de mots de passe
En gardant tous ces éléments à l'esprit, comment pouvez-vous choisir le meilleur gestionnaire pour vos informations ? Tout dépend de ce que vous recherchez. Les gestionnaires de mots de passe intégrés sont pratiques, mais leur utilisation peut être risquée. Certains d'entre eux ne sont pas toujours explicites quant aux normes de sécurité qu'ils appliquent. Quand on pense aux atteintes permanentes à la sécurité, le jeu n'en vaut probablement pas la chandelle.
Si vous êtes à la recherche d'un gestionnaire dédié fiable, voici les critères à prendre en compte. Premièrement, vérifiez comment sont conservés vos mots de passe. Comme nous l'avons mentionné, l'architecture à connaissance nulle est votre meilleur atout. NordPass utilise XChaCha20 pour chiffrer votre coffre-fort et Argon2 pour dériver les clés. XChaCha20 est très largement considéré comme le futur du chiffrement. Il est rapide, fiable et entièrement basé sur un logiciel, ce qui minimise le risque d'erreur humaine.
Ensuite, intéressez-vous aux méthodes d'authentification qu'il propose. De nombreux gestionnaires dédiés, dont NordPass, utilisent un mot de passe principal. Il s'agit du seul mot de passe que vous devrez retenir. De plus, vérifiez si l'authentification à deux facteurs est disponible. Cette dernière offre une couche de sécurité supplémentaire pour votre compte.
Enfin, assurez-vous qu'il est facile à utiliser. Il est inutile d'avoir un gestionnaire de mots de passe dédié si sa gestion est un véritable casse-tête. Le remplissage automatique, l'enregistrement automatique, le partage de mot de passe et la migration facile depuis et vers d'autres gestionnaires sont de bons indicateurs. Si vous souhaitez connaître les fonctionnalités offertes par NordPass, vous pouvez les découvrir ici.