Confieriez vous votre cerveau à un gestionnaire de mot de passe ?

L’affaire YAHOO vient de révéler que des pirates avaient  mis la main il y a plus de deux ans sur des informations personnelles comme des noms, des adresses e-mail et des dates de naissance. Les mots de passe auxquels ils ont pu accéder étaient chiffrés, pour la grande majorité , avec bcrypt, une technique robuste qui a fait ses preuves. En revanche, le communiqué de Yahoo! laisse entendre qu’une partie des informations n’étaient pas, ou mal, chiffrées, notamment certaines données sensibles comme les questions et les réponses de sécurité permettant à un utilisateur de récupérer le mot de passe de son compte.Yahoo! assure néanmoins que les données bancaires n’ont pas été affectées.
Tout ceci ne peut que nous faire réagir sur la façon dont chacun de nous gère ses propres mots de passe. A cet effet confier son cerveau à un gestionnaire de mots demeure t-elle la seule solution ?

1) C’est toujours quand on en a besoin que l’on ne s’en rappelle plus

La gestion des mots de passe a depuis toujours été à l’origine de sérieux problèmes d’identification surtout quand l’urgence se faisait sentir et surtout à un moment où il ne fallait pas que votre mémoire vous fasse défaut.

Qui ne peut avouer aujourd’hui n’avoir pas vécu ce genre de situation dans la grande confusion des applications et des services que nous utilisons chaque jour sur Internet ou encore sur nos supports nomades. Combien de fois avons-nous cliqué aussi sur « mot de passe perdu » où le système vous renvoie dans une adresse mail un lien pour régénérer un nouveau mot de passe (adresse mail dont vous avez peut-être changé depuis). Et c’est le blocage !

On a tout essayé, le papier, se les envoyer par mail, les mettre dans un bloc note mais rien n’y fait et rien ne peut vraiment se faire. Avec autant de comptes à jongler de nos jours, les chances sont que vous serez tenté de réutiliser des  mots de passe identiques si vous ne pouvez pas vous rappeler de tous. C’est alors que le service en question vous rappellera sûrement que vous ne pouvez donner à nouveau un mot de passe déjà utilisé antérieurement. De plus si vous ne le retrouvez vraiment plus certains sites vous poseront la « question clé » à laquelle vous aviez répondu lors de la création du fameux mot de passe et c’est là que le bât blesse !

Pour les petits utilisateurs du Net et d’applications par exemple la possibilité de les noter ou de les apprendre par cœur apparait comme la solution la plus simple mais le problème d’oubli leur arrivera un jour. On se contentera alors d’une suite logique de chiffres ou de lettres, voire même de quelques chiffres ou de lettres identiques … D’autres iront même (pour s’en souvenir) jusqu’à noter ces mots de passe à proximité de leur carte de crédit ou encore dans un espace sur leur ordinateur. On imagine la suite…

Dans un colloque en début d’année 2016 j’entendais que nous avions fait un gros progrès au niveau de la difficulté dans le choix des mots de passe car d’un mot de passe « 12345 » nous étions passés au stade plus complexe du « 123456 ». Ce qui rend plus facile encore, et cela me fait rire, la difficulté pour les cyber-délinquants de hacker les comptes.

D’autres un peu plus malins décideront de définir une sorte d’algorithme dont ils se souviendront facilement à condition qu’ils ne diversifient pas les mots de passe sur les comptes qu’ils utilisent. Ce qui revient en quelque sorte à courir le même risque en termes de piratage.

Par exemple je peux me dire une phrase et en générer un mot de passe :

« J’ai acheté hier 5 œufs ce matin » et le transformer en mot de passe du type « ght5ECeMaT1» tout en respectant ce que le système vous impose en termes de casse de caractères. A partir de cette idée vous pouvez imaginer toute un arsenal de mots de passe comme l’inversion de cette phrase, etc.

Les générateurs de mots de passe comme celui-ci sont une possibilité mais ils n’empêcheront pas l’oubli des mots de vos mots de passe et surtout pas la confusion de ces derniers dans les méandres de l’utilisation de vos applications. Google vous propose aussi une méthodologie pour créer de bons mots de passe.

2 ) Confier votre mémoire à un gestionnaire de mot de passe

Vous en avez assez de vous perdre dans la gestion de vos mots de passe ? Des solutions existent aujourd’hui comme 1Password, LastPass ou Dashlane. Chacun est en quelque sorte un casier ou portefeuille de stockage de vos mots de passe dont les fonctionnalités et les services proposés différent légèrement et dont vous devrez parfois pour certains vous acquitter d’une redevance.

Tous vos mots de passe seront cachés derrière un seul mot de passe et c’est là que votre cerveau sera libéré un peu.

Une fois installé les programmes ces gestionnaires de passe offrent également d’autres avantages, comme un endroit pour stocker vos notes sécurisées, des numéros de cartes de crédit etc.

Ainsi, avec Dashlane dont vous accédez à vos mots de passe quel que soit l’endroit où vous vous trouvez. Dashlane est l’un des gestionnaires de mots de passe parmi les plus populaires, il permet notamment en dehors de Sauvegarder et gérer tous ses mots de passe en un endroit de :

– Se connecter automatiquement sur les sites web
– Générer et remplacer des mots de passe en un clic
– Auto remplir divers champs dans les formulaires
– Rendre le shopping en ligne plus facile en sauvegardant les données de paiement et les reçus

LastPass est quant à lui compatible avec une large gamme d’appareils.
1Password est très complet, mais bien plus coûteux !

Combien coûtent-ils?

1Password coûte en une seule fois 50 $ pour Mac ou Windows, 18 $ pour iOS et 10 $ pour une version complète de l’application sur Android.
LastPass et Dashlane sont gratuits, mais si vous voulez synchroniser à travers de multiples dispositifs comme votre téléphone portable et votre ordinateur vous aurez besoin de vous mettre à niveau vers les versions haut de gamme. Pour ces  versions vous devrez vous acquitter  de  12 $ pour LastPass et 30 $ par année pour Dashlane.

Toujours des freins et des risques

Mais rien n’est parfait car vous devrez toujours stocker tout à un seul endroit et avoir confiance en la sécurité de ces services. Si  pour une raison quelconque vous ne pouviez télécharger le logiciel (de votre entreprise par exemple) sachez que ce serait le blocage provisoire en attendant de retrouver votre ordinateur ou votre Smartphone en dehors de cet espace.

Question sécurité des gestionnaires comme Dashlane ne sauvegarde pas vos données à distance si vous n’utilisez pas la synchronisation. C’est-à-dire que si vous ne synchronisez pas vos mots de passe entre plusieurs appareils, seul un fichier chiffré sera présent sur votre ordinateur et seul votre mot de passe « maître » choisi lors de l’installation vous permettra d’afficher son contenu. C’est ce que signale Michel sur son blog en évoquant ce gestionnaire de mot de passe.

Ce petit guide devrait aussi vous donner une idée des nombreux outils facilitant la mémorisation de vos mots de passe.
Enfin, si l’idée vous tente, vous pouvez toujours essayer un poème en guise de mot de passe. C’est l’idée originale qu’ont eue deux chercheurs américains pour ne plus jamais l’oublier. Pour une sécurité renforcée sur le web, ils ont mis au point un algorithme qui génère des poèmes aléatoires.

Commentaires fermés

Filed under Non classé

Comments are closed.