Se souvenir des mots de passe est difficile, et confier les clés de sa vie numérique à un tiers est une proposition risquée. C’est là qu’intervient Spectre : un gestionnaire de mots de passe qui ne stocke pas vos mots de passe. Qu’est-ce que Spectre ? Quels sont les avantages et les inconvénients de l’utiliser pour vos identifiants ?
Qu’est-ce que le gestionnaire de mots de passe Spectre ?
Malgré les efforts déployés pour évoluer vers une vérification d’identité sans mot de passe, les mots de passe sont toujours nécessaires et largement utilisés dans le monde d’aujourd’hui. La plupart des gens utilisent des mots de passe pour accéder à leurs comptes bancaires, à leur courrier électronique, aux portails de paiement en ligne, etc.
Quelle est la force de vos mots de passe ? Les plus forts sont difficiles à retenir, et si vous utilisez le même mot de passe pour plusieurs comptes, tous ces comptes sont menacés lorsque l’un des services que vous utilisez est compromis.
Une solution consiste à utiliser un service de gestion des mots de passe en ligne, qui conserve tous vos mots de passe en toute sécurité dans un coffre-fort crypté. Mais même cette approche n’est pas infaillible, comme nous l’avons vu lors de la violation de données de LastPass en 2022, au cours de laquelle des criminels ont réussi à télécharger les coffres-forts des utilisateurs et les clés de chiffrement correspondantes.
Spectre est donc une application open source disponible sur le web et sur les appareils mobiles qui génère des mots de passe uniques sur la base des informations que vous lui fournissez.
Ces informations comprennent votre nom complet, un « Spectre Secret » (similaire à un mot de passe principal) et l’URL du service que vous allez utiliser.
Vous pouvez insérer ces informations dans n’importe quelle instance de Spectre et régénérer le même mot de passe – simple ! Mais cette approche présente des avantages et des inconvénients.
Avantages : Vous n’avez pas besoin de vous souvenir de vos propres mots de passe
-(1).jpeg?q=50&fit=crop&w=1500&dpr=1.5)
Toute technologie qui permet de ne pas avoir à se souvenir de centaines de mots de passe différents est forcément une bonne chose.
En utilisant différents mots de passe sur différents sites, vous vous assurez que si le mot de passe que vous utilisez sur un site est révélé, le reste de vos identifiants est toujours en sécurité.
En pratique, cela n’est pas possible sans écrire les mots de passe dans un carnet, les stocker dans un fichier texte ou CSV (comma separated value) sur votre PC et votre téléphone, ou compter sur quelqu’un d’autre pour les stocker à votre place.
Si vous pouvez compter sur l’algorithme de Spectre pour régénérer de manière fiable vos mots de passe à la demande, vous n’avez qu’à vous souvenir de votre secret Spectre.
Pro : Personne ne peut voler vos mots de passe dans une chambre forte
La violation de données de LastPass a été dévastatrice pour les personnes concernées et n’aurait pas pu se produire si tous les mots de passe n’avaient pas été stockés dans des coffres-forts.
Spectre ne conservant pas vos mots de passe, les criminels n’ont rien à télécharger.
Pro : Vous pouvez accéder à vos mots de passe sur n’importe quel appareil
Spectre n’est actuellement disponible que sous forme d’application native sur iOS, bien que des clients soient en cours de développement pour macOS, Windows, Linux, Android et sous forme d’API. Vous pouvez également télécharger le code source sur GitLab et le compiler vous-même.
Vous pouvez utiliser Spectre sur n’importe quel appareil grâce à l’outil intégré sur le site Web de Spectre. Cela signifie que tant que vous disposez d’une connexion Internet, vous pouvez générer et régénérer vos mots de passe où que vous soyez, ou sur l’ordinateur de n’importe qui.
Con : Changer votre mot de passe principal est un cauchemar pour les administrateurs
Pour votre mot de passe principal, ou Secret Spectre, Spectre donne un exemple de trois mots qui, avec votre nom et le nom de domaine du site, généreront un mot de passe unique.
Mais votre nom est assez facile à trouver, et il y a certains services que presque tout le monde utilise.
Que se passe-t-il si quelqu’un apprend votre mot de passe principal ? Vous avez peut-être utilisé les noms de vos trois derniers animaux de compagnie, de vos frères et sœurs, de vos enfants ou d’autres noms faciles à deviner. Un pirate peut utiliser votre secret Spectre pour régénérer les mots de passe de chacun de vos comptes en ligne.
Vous devrez inventer un nouveau secret et l’utiliser pour générer de nouveaux mots de passe pour chacun de ces comptes, les visiter à tour de rôle et définir manuellement le nouveau mot de passe.
En revanche, si vous modifiez votre mot de passe principal à l’aide d’un service de gestion des mots de passe, vous n’avez pas besoin de modifier d’autres mots de passe.
Inconvénient : il est possible de craquer le mot de passe principal
Un jour ou l’autre, l’un des sites pour lesquels vous avez généré un mot de passe avec Spectre subira une violation de données. Votre adresse électronique, votre nom complet et votre mot de passe seront exposés au monde entier.
Si vous souhaitez savoir si vos informations d’identification ont déjà été divulguées, Haveibeenowned est une ressource fiable et digne de confiance.
Comme vous vous en souvenez, votre mot de passe maintenant compromis est généré à partir de votre nom, de votre secret Spectre et de l’URL du site web. L’exemple de phrase secrète utilisée par Spectre est « banana colored duckling ». Ces trois mots se trouvent dans cette liste de 25 000 mots populaires.
En 2019, un seul appareil équipé d’une carte graphique de milieu de gamme pouvait deviner 100 milliards de mots de passe par seconde.
La combinaison maximale de secrets à trois mots que vous pouvez générer à partir de la liste de 25 000 mots est de 15 billions 625 milliards.
En les parcourant séquentiellement, en les combinant avec votre nom connu et l’URL du site, puis en comparant les résultats avec le mot de passe du site volé, il ne vous faudra pas plus de trois minutes pour révéler votre secret Spectre. Cela s’explique en grande partie par le fait que vous pouvez exécuter Spectre hors ligne dans un terminal et l’incorporer dans d’autres applications en ligne de commande.
Une fois votre secret Spectre découvert, les attaquants peuvent rapidement trouver les mots de passe des autres sites que vous utilisez.
L’ajout d’un seul mot supplémentaire à votre secret Spectre peut augmenter le temps de craquage à plus d’un mois, tandis que l’ajout de deux mots peut permettre à votre secret de rester en sécurité pendant trois millénaires.
Mais « banana colored duckling groundhog piano » n’est pas aussi facile à mémoriser ou à se rappeler, et il est fastidieux de le taper.
Con : Les changements d’URL des sites Web peuvent ruiner vos mots de passe
Vous transmettez l’URL du site web à Spectre, qui l’utilise dans le cadre du processus de génération du mot de passe. Généralement, vous faites cela en copiant et en collant ce qui se trouve actuellement dans la barre d’URL.
La structure des sites web évolue au fur et à mesure que les propriétaires et les administrateurs cherchent des moyens plus efficaces de faire les choses. Les sous-domaines finissent par fusionner avec le site principal et les pages de connexion sont déplacées.
Par exemple, « news.bbc.co.uk » était autrefois un site web distinct ; aujourd’hui, il redirige vers « www.bbc.co.uk/news ».
Avec un gestionnaire de mots de passe traditionnel, vous pouvez effectuer une recherche de vos informations d’identification à l’aide d’un joker. Avec Spectre, vous devez vous souvenir de l’URL exacte que vous utilisiez avant qu’elle ne change.
Il est difficile de rester en sécurité en ligne
Spectre n’est qu’un des moyens dont vous disposez pour tenter de protéger vos mots de passe et de les mettre à l’abri des criminels.
Mais des mots de passe forts ne sont qu’une partie de la solution. Il existe un certain nombre d’outils de sécurité en ligne gratuits que vous pouvez facilement utiliser pour renforcer votre sécurité
