Aujourd’hui, vous avez besoin d’un identifiant pour presque tout ce que vous faites en ligne, au-delà de la simple navigation. Par conséquent, il est probable que vous ayez plusieurs noms d’utilisateur et mots de passe pour gérer votre vie numérique. Et pour vous souvenir de tous ces mots de passe complexes, vous utilisez un gestionnaire de mots de passe.
Pouvez-vous faire confiance à la sécurité de votre gestionnaire de mots de passe, quels sont les risques liés à l’utilisation d’un gestionnaire de mots de passe et comment pouvez-vous améliorer sa sécurité ? Nous allons le découvrir.
Comment un gestionnaire de mots de passe sécurise vos mots de passe
Un gestionnaire de mots de passe conserve vos mots de passe cryptés dans le coffre-fort des mots de passe. Vous devez soumettre votre mot de passe principal pour déverrouiller votre coffre-fort et décrypter vos mots de passe enregistrés.
La plupart des gestionnaires de mots de passe utilisent le cryptage AES-256 bits, qui est un cryptage de niveau militaire. La clé de cryptage (qui est souvent dérivée de votre mot de passe principal) pour décrypter votre coffre-fort est enregistrée dans la mémoire uniquement lorsque l’application est déverrouillée. Une fois le coffre verrouillé, les données de la mémoire sont supprimées.
Tous les gestionnaires de mots de passe réputés utilisent une architecture à zéro connaissance, ce qui signifie que vos mots de passe sont cryptés avant de quitter votre appareil. Par conséquent, personne ne peut lire vos mots de passe lorsqu’ils se trouvent sur le serveur d’un gestionnaire de mots de passe, même le fournisseur de services.
De nombreux gestionnaires de mots de passe permettent aux utilisateurs d’activer l’authentification à deux facteurs pour ajouter une couche de sécurité supplémentaire à leurs coffres-forts de mots de passe.
Par ailleurs, les gestionnaires de mots de passe réputés analysent régulièrement vos données de connexion pour détecter les violations de données connues. Vous serez averti si votre mot de passe est trouvé dans une violation de données. En outre, vous pouvez également exécuter divers rapports pour vérifier l’état de vos mots de passe stockés.
Par exemple, certains gestionnaires de mots de passe vous permettent de vérifier si vous utilisez le même mot de passe pour plusieurs comptes. Vous pouvez également vérifier si votre coffre-fort de mots de passe contient des mots de passe faibles que vous devriez changer immédiatement. Quelques gestionnaires de mots de passe disposent également d’une fonction permettant de partager les mots de passe en toute sécurité avec d’autres utilisateurs.
La fonction de remplissage automatique des gestionnaires de mots de passe peut protéger vos mots de passe en cas d’attaque par keylogger, car la fonction de remplissage automatique élimine la nécessité de taper les mots de passe.
Les risques liés à l’utilisation d’un gestionnaire de mots de passe
Dans le monde numérique, rien n’est totalement sûr. Il en va de même pour les gestionnaires de mots de passe.
Voici les raisons pour lesquelles les gestionnaires de mots de passe ne sont pas sûrs :
- Les gestionnaires de mots de passe stockent les mots de passe, les notes sécurisées, les détails des cartes de crédit ou d’autres données sensibles en un seul endroit. Les failles de sécurité peuvent donc avoir de graves conséquences.
- Bien que tous les bons gestionnaires de mots de passe permettent aux utilisateurs de sauvegarder leur coffre-fort de mots de passe, tout le monde ne le fait pas. Ainsi, en l’absence de sauvegarde de votre coffre-fort, vous pouvez perdre l’accès à vos identifiants sauvegardés si le serveur de votre gestionnaire de mots de passe tombe en panne.
- Il n’est pas obligatoire d’utiliser l’authentification à deux facteurs. Votre base de données de mots de passe est moins sûre si vous n’utilisez pas l’authentification à deux facteurs. Quelqu’un peut facilement accéder à votre coffre-fort s’il connaît votre mot de passe principal.
- Si votre appareil est infecté par un enregistreur de frappe, l’acteur de la menace peut connaître votre mot de passe principal lorsque vous le tapez. Il peut alors se connecter à votre gestionnaire de mots de passe et voler les identifiants de vos comptes en ligne.
- Vous pouvez oublier votre mot de passe principal, ce qui signifie souvent perdre l’accès à tous vos comptes.
Enfin, tous les gestionnaires de mots de passe ne se valent pas. Il existe des gestionnaires de mots de passe sécurisés, et certains gestionnaires de mots de passe offrent un cryptage plus faible et moins de fonctions de sécurité.
Par exemple, les gestionnaires de mots de passe basés sur un navigateur ne peuvent pas détecter les mots de passe faibles ou réutilisés.
La sécurité des gestionnaires de mots de passe est-elle discutable ?
LastPass et OneLogin ont été piratés par le passé. Une question se pose donc : faut-il faire confiance aux gestionnaires de mots de passe ? La réponse est oui.
La plupart des problèmes de sécurité liés à l’utilisation d’un gestionnaire de mots de passe sont dus au comportement de l’utilisateur. Par exemple, un utilisateur peut ne pas utiliser un mot de passe principal fort ou ne pas activer la fonction 2FA, ce qui affaiblit la sécurité de son gestionnaire de mots de passe.
Seuls quelques problèmes de sécurité sont liés aux gestionnaires de mots de passe eux-mêmes, et vous pouvez les résoudre en utilisant un bon gestionnaire de mots de passe.
Il y a certaines caractéristiques à rechercher dans un gestionnaire de mots de passe pour plus de sécurité. Choisissez un gestionnaire de mots de passe qui stocke des versions cryptées des mots de passe et qui applique une politique de connaissance zéro. Vérifiez également si le gestionnaire de mots de passe que vous avez choisi fait l’objet d’un audit par des sociétés de sécurité indépendantes réputées ainsi que par des chercheurs en sécurité afin de confirmer sa sécurité.
Si votre budget le permet, vous devriez utiliser un gestionnaire de mots de passe payant plutôt que gratuit. En effet, un programme payant offre des fonctionnalités avancées qui renforcent la sécurité.
Explorer les gestionnaires de mots de passe open-source est une décision intelligente car ils sont généralement plus sûrs que les gestionnaires de mots de passe fermés.
Comment renforcer votre gestionnaire de mots de passe
Voici quatre conseils pour renforcer la sécurité de votre gestionnaire de mots de passe.
1. Créer un mot de passe principal fort
Votre mot de passe principal est la clé de toutes les connexions enregistrées. Veillez donc à créer un mot de passe complexe mais facile à retenir.
Si vous créez un mot de passe principal à l’épreuve du piratage et que vous ne pouvez pas vous en souvenir, il est probable que vous l’enregistriez sur votre système afin de pouvoir le copier et le coller facilement dans votre gestionnaire de mots de passe. Mais enregistrer un mot de passe principal sur un appareil est une mauvaise pratique de cybersécurité, car les pirates peuvent voler votre mot de passe en cas d’attaque par un cheval de Troie d’accès à distance.
Il est donc impératif de créer un mot de passe principal complexe dont vous pouvez vous souvenir. L’utilisation d’une comptine, de votre citation préférée d’un film et du jargon de l’industrie peut vous aider à créer un mot de passe inviolable dont vous vous souviendrez facilement.
2. Activer l’authentification biométrique
L’authentification biométrique est plus sûre qu’un mot de passe ou un code PIN. La plupart des gestionnaires de mots de passe actuels permettent aux utilisateurs d’activer l’authentification biométrique pour accéder aux coffres-forts de mots de passe. Activez-la pour renforcer la sécurité de votre gestionnaire de mots de passe.
Une bonne chose est que les gestionnaires de mots de passe peuvent maintenant utiliser les données biométriques disponibles sur votre appareil ou votre système d’exploitation. Cela signifie que Windows Hello pour les appareils Windows, Face ID ou Touch ID pour les appareils Apple, et la reconnaissance faciale ou des empreintes digitales sur les appareils Android peuvent être configurés pour déverrouiller votre gestionnaire de mots de passe.
Une fois l’authentification biométrique activée, vous n’avez plus besoin de saisir votre mot de passe principal pour accéder à votre coffre-fort de mots de passe.
3. Mettre en œuvre l’authentification à deux facteurs
L’activation de l’authentification à deux facteurs (2FA) empêchera les acteurs de la menace d’accéder à votre gestionnaire de mots de passe sur leurs appareils s’ils ont réussi à s’emparer de votre mot de passe principal. Vous devez donc activer l’authentification à deux facteurs sur votre gestionnaire de mots de passe.
Si votre gestionnaire de mots de passe vous propose de choisir entre l’email, le SMS ou l’application d’authentification pour l’authentification à deux facteurs, sélectionnez l’option de l’application d’authentification car elle offre une plus grande sécurité.
4. Utiliser un bon programme antivirus
L’installation d’un bon antivirus sur votre appareil ne renforce pas directement la sécurité de votre gestionnaire de mots de passe. Mais un programme antivirus puissant protège votre système contre les types courants d’attaques de logiciels malveillants susceptibles de voler votre mot de passe principal.
Par exemple, un programme antivirus peut bloquer une attaque de type Keylogger, qui peut potentiellement voler votre mot de passe principal lorsque vous le saisissez pour accéder à votre gestionnaire de mots de passe.
Un programme antivirus puissant peut également empêcher les courriels d’hameçonnage d’atteindre votre boîte de réception, protégeant ainsi votre mot de passe principal des campagnes d’hameçonnage conçues pour le voler.
Sécurisez votre gestionnaire de mots de passe pour rester en sécurité
Vous pouvez faire confiance à la sécurité d’un gestionnaire de mots de passe si vous choisissez un gestionnaire de mots de passe réputé et si vous renforcez sa sécurité. Assurez-vous de choisir le meilleur gestionnaire de mots de passe et renforcez sa sécurité en créant un mot de passe principal fort et en mettant en place une authentification à deux facteurs.
Apprenez également à organiser votre gestionnaire de mots de passe pour l’utiliser sans effort.