L’intérêt des gestionnaires de mots de passe
Le 03/05/2024 à 11:05
Outre de protéger les mots de passe, ces coffres-forts électroniques permettent de les créer, de les administrer et d’y accéder via plusieurs outils.
À titre privé et professionnel, nous nous trouvons dans l’obligation de gérer plusieurs dizaines de mots de passe. Un défi impossible à relever lorsque l’on souhaite respecter les principes de sécurité qui prévalent en matière de conception, mais également d’administration de ces clés numériques. Raison pour laquelle il est conseillé de recourir aux services des gestionnaires de mots de passe. Présentation.
Plus qu’un coffre-fort
Un gestionnaire de mot de passe est un logiciel administrant une base de données sécurisée. Il a pour principale mission de stocker vos identifiants et tous les mots de passe associés et de vous permettre de vous connecter automatiquement sur chacun des sites sécurisés auxquels vous êtes abonné. Ces programmes peuvent être présents sur le disque dur de votre ordinateur, mais également en ligne (cloud), ce qui présente l’avantage d’en permettre l’accès à partir de n’importe quelle machine. Ces outils sont, le plus souvent, utilisables à partir d’un ordinateur, mais également d’une tablette ou d’un smartphone.
Tous les gestionnaires de mots de passe utilisent des systèmes d’encodage très puissants pour interdire l’accès aux données qu’ils abritent. Par ailleurs, certains de ces logiciels proposent également des systèmes anti-intrusion commandant l’effacement de l’ensemble des identifiants et mot de passe au-delà d’un certain nombre de tentatives infructueuses d’ouverture. D’autres offrent aussi des claviers virtuels pour saisir les mots de passe à l’abri des « keyloggers » (logiciel espion enregistrant les frappes du clavier). D’autres, enfin, intègrent un générateur de mots de passe robuste et un système permettant d’administrer leur durée de vie et de mesurer leur fiabilité. La création et le changement des mots de passe peut ainsi être « délégué » à cet outil.
Quel gestionnaire de mot de passe ?
Il existe des dizaines de gestionnaires de mots de passe. Le plus souvent, ces outils sont téléchargeables sur le site de leur éditeur sur les plates-formes proposant des utilitaires pour ordinateurs (Clubic, 01Net, Les Numériques, Comment ça marche ?...) et pour smartphones (Apple Store, Google Play…). Les plus connus sont Dashlane, LastPass, NordPass et KeePass. Les 3 premiers sont payants (du moins en version non limitée – il faut compter entre 30 et 50 € par an) et le dernier est gratuit. KeePass est, en effet, un logiciel open source (mis à jour par une communauté d’informaticiens très active) qui, en outre, présente l’avantage d’être certifié par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Seul regret, KeePass souffre d’une interface très rustique comme beaucoup de logiciels open source.
Un mot de passe incassable pour le gestionnaire
Le gestionnaire se charge d’administrer tous vos mots de passe. Il vous revient, en revanche, de protéger l’accès à sa base de données. Vous pouvez, si votre smartphone ou votre ordinateur le permet, utiliser une serrure biométrique (lecteur d’empreinte digitale, par exemple) ou un mot de passe. Ce dernier devra, bien entendu, être à la fois très robuste, mais aussi assez simple à retenir. Pour parvenir à concevoir de tels mots de passe, la CNIL donne quelques conseils sur son site et précise :
- qu’ils doivent être complexes (12 signes minimum et composés de différents types de signes : majuscules, minuscules, caractères spéciaux, signes de ponctuation…) ;
- qu’ils doivent être impossibles à deviner (n’avoir aucun sens, ne contenir aucune information personnelle comme une date de naissance ou encore le prénom d’un enfant) ;
- que le même mot de passe ne doit pas servir à sécuriser plusieurs comptes afin d’éviter des « piratages en cascade » ;
- qu’il ne faut pas les noter en clair sur un Post-it ou dans un fichier enregistré sur un ordinateur ou un smartphone ;
- qu’ils doivent être régulièrement changés. Plus le site qu’il protège est sensible, plus le rythme de changement doit être soutenu (dans tous les cas, au moins une fois par an).
- qu’ils doivent être complexes (12 signes minimum et composés de différents types de signes : majuscules, minuscules, caractères spéciaux, signes de ponctuation…) ;
- qu’ils doivent être impossibles à deviner (n’avoir aucun sens, ne contenir aucune information personnelle comme une date de naissance ou encore le prénom d’un enfant) ;
- que le même mot de passe ne doit pas servir à sécuriser plusieurs comptes afin d’éviter des « piratages en cascade » ;
- qu’il ne faut pas les noter en clair sur un Post-it ou dans un fichier enregistré sur un ordinateur ou un smartphone ;
- qu’ils doivent être régulièrement changés. Plus le site qu’il protège est sensible, plus le rythme de changement doit être soutenu (dans tous les cas, au moins une fois par an).
Pour ne pas les oublier, la CNIL conseille :
- d’adopter la méthode de la première lettre de chaque mot. Cette dernière permettant de se souvenir d’une phase simple qui donne un mot de passe complexe. « Il était une fois en Amérique et les 12 salopards sont mes films préférés. » donnant : « IéufeAel12ssmfp. ». Un générateur de mots de passe basé sur l’utilisation de la première lettre de chaque mot utilisé dans une phrase est, d’ailleurs, mis à disposition sur le site de la Commission.
- d’adopter la méthode de la première lettre de chaque mot. Cette dernière permettant de se souvenir d’une phase simple qui donne un mot de passe complexe. « Il était une fois en Amérique et les 12 salopards sont mes films préférés. » donnant : « IéufeAel12ssmfp. ». Un générateur de mots de passe basé sur l’utilisation de la première lettre de chaque mot utilisé dans une phrase est, d’ailleurs, mis à disposition sur le site de la Commission.
© Copyright Les Echos Publishing - 2024