Stratégie de gestion des mots de passe
Nous avons à gérer de plus en plus de mots de passe. Chaque mot de passe sert à protéger une partie plus ou moins critique de notre vie privée.
Pour un bon niveau de sécurité, chaque mot de passe doit être unique et complexe. Voilà le problème: il est quasiment impossible de mémoriser tant de mots de passe différents et complexes…
Définir une stratégie de gestion de mots de passe permet ainsi :
- plus de sécurité
- plus de facilité d’utilisation des services
Règles principales de sécurité à respecter pour les mots de passe
- ne pas avoir un même mot de passe pour différents services
- avoir des mots de passe complexes, voir inintelligibles
- ne pas stocker les mots de passe en clair sur un support numérique (fichier Word, Excel, fichier txt, etc.)
- définir une fréquence de renouvellement des mots de passe
- utiliser une authentification à double facteur quand c’est possible (mot de passe + code reçu par email ou sms)
Solutions pour gérer ses mots de passe
Pour résoudre cette situation, il existe plusieurs solutions.
Le papier
Écrire nos mots de passe dans un cahier. C’est sûr car non numérique, l’unique moyen d’attaquer nos données est un vol physique ou une perte de notre cher cahier. À l’usage, le gros point négatif est l’obligation d’avoir toujours sur soi ce cahier qui contient tous nos mots de passe, c’est très contraignant à l’ère du tout mobile. De plus on perd un temps énorme à recopier les mots de passe manuscrit vers l’ordinateur, le copie-coller ne fonctionne pas.. Bref c’est une solution très peu pratique et dangereuse si nous égarons le précieux cahier.
Le gestionnaire de mots de passe inclus dans le navigateur Internet
Cette solution est acceptable si nous utilisons Firefox car c’est un logiciel non privée qui porte une grande attention à la protection de nos données personnelles.
Dans les options de Firefox, partie Sécurité, il existe la possibilité de créer un “mot de passe principal”, voir cet article, partie sécurité. Ce mot de passe va permettre de contrôler et protéger tous les autres. Ainsi à chaque nouveau mot de passe entrée, Firefox va mémoriser le mot de passe. Sur chaque page qui demande un mot de passe déjà mémorisé, Firefox va injecter le mot de passe correspondant. Le mot de passe principal sera demandé une seule fois au démarrage de Firefox, ainsi que sur la page de consultation des mots de passe enregistrés.
Ce système est facile d’utilisation et relativement sûr. Cependant, si nous naviguons sur d’autres appareils (tablette, mobile, autres ordinateurs), nous ne pourrons consulter nos mots de passe. En plus de cela, il existe une extension Firefox qui permet de de retrouver les mots de passe enregistrés, même sans le mot de passe principal.
Conclusion: cette une solution, mais ce n’est pas la meilleur.
Les “Password Manager”
Ils permettent d’enregistrer, injecter, protéger nos mots de passe avec un niveau élevé de sécurité. L’objectif est de protéger correctement nos compte tout en facilitant notre utilisations des sites et logiciels utilisant des mots de passe.
Nous distinguerons deux type de manager de mots de passe:
- les logiciels “non web” qui gère tout depuis notre ordinateur
- les application webs qui propose leurs services depuis une page Internet ou une application.
KeePass
Pour une protection maximale, nous conseillons l’utilisation de KeePass.
Les plus:
– logiciel Open Source, donc sans intérêt commercial
– très bon niveau de sécurité et reconnu comme tel
– générateur de mot de passe puissant et configurable
– modules pour les navigateurs afin de permettre l’injection des mots de passe dans les formulaires
– la base de données des mot de passe n’est pas sur le web et nous appartient
– le logiciel est portable, c’est à dire pas besoin de l’installer
Voir la liste complète des fonctionnalités
Les moins:
– moins pratique qu’une solution web où les mots de passe sont accessibles depuis n’importe quelle connexion Internet. (Mais plus sûr car non accessible depuis Internet 🙂
– pas de gestion de durée de vie des mots de passe
Une fois Keepass téléchargé et lancer, il suffit de créer une nouvelle base de donnée. Celle-ci peut être protégée par un mot de passe qui doit être long, comme une petite phrase par exemple et contenir chiffre, caractère minuscule, majuscule et autres pour un niveau de sécurité maximale. La base de données peut être également protégée par un fichier (une image par exemple).
Une fois la base créée, on peut y renseigner les mots de passe par catégorie.
Pour gérer nos mots de passe depuis Firefox, installer l’extension https://keefox.org/
Pour gérer nos mots de passe depuis Chrome, installer l’extension ChromeIPass
Pour gérer nos mots de passe depuis Safari, installer l’extension Passafari
Pour gérer nos mots de passe depuis Internet Explorer, installer l’extension KeeForm
Pour gérer nos mots de passe depuis Android, iPhone ou WindowsPhone, utiliser les application dédiées proposées sur la page de téléchargement
lastpass.com
Pour une solution commerciale et web, lastpass paraît la plus intéressante.
Les plus:
– facilité d’utilisation
– très bon niveau de sécurité
– générateur de mot de passe puissant et configurable
– modules pour les navigateurs afin de permettre l’injection des mots de passe dans les formulaires
– les mots de passe sont accessible depuis Internet
– gestion de vie des mots de passe, alerte quand un mot de passe doit être changé ou n’est pas assez puissant, etc.
Voir la liste complète des fonctionnalités
Les moins:
– logiciel commercial appartenant à une entreprise privée dont on ne connait pas le future (pourrait être racheté pour exploiter les données, etc.)
– lastpass a déjà été la cible d’attaque de hacker, donc plus de danger qu’un stockage en local
– si on veut utiliser sur mobile et ordinateur, il faut payer pour la version premium (12 € par an)
Pour utiliser lastpass, pas besoin de beaucoup d’explication, il suffit de se laisser guider par le site lastpass.com