Gestionnaires de mots de passe

#1
Salut à tous,

Depuis quelques mois, à la suite d'une formation sur la sécurité informatique dans mon entreprise, j'ai commencé à utiliser un gestionnaire de mot de passe, appelé Bitwarden. Aujourd'hui, je ne peux plus m'en passer ! C'est un outil qu'à mon sens tout le monde devrait utiliser, donc je partage le tuyau ;)

En gros, un gestionnaire de mot de passe permet de sauvegarder à un seul endroit tous les identifiants que vous utilisez sur Internet : sites de shopping, banques, email, forums, réseaux sociaux... Vous pouvez également y inclure d'autres informations, comme des numéros de passeport, de cartes bancaires, numéros de sécu, contacts... Bref, n'importe quel texte que vous voudriez garder à portée de main.

Le premier réflexe est de se dire : oulà, toutes ces infos précieuses et personnelles, stockées à un seul endroit... et sur Internet ?! Heuuu

Pas de panique ! :P Les gestionnaires de mots de passe, comme celui que j'utilise, cryptent toute les informations que vous y entrez, via un mot de passe unique. C'est un peu comme un coffre-fort, dont vous êtes le seul à connaître la combinaison. Et cette combinaison n'est stockée nulle part. Conséquence : personne ne peut accéder à ces informations sans le mot de passe maître que seul vous connaissez. Et impossible de le craquer : même avec tous les superordinateurs de la NASA, ça prendrait des milliers d'années.

Il y a plusieurs avantages à utiliser un gestionnaire de mot de passe (en tout cas, pour Bitwarden, l'outil que j'utilise) :
  • Plus besoin de se rappeler du mot de passe et de l'email utilisé pour tel ou tel site. Tout est stocké dans l'outil, de manière sécurisée. Il vous faut simplement mémoriser 1 seul mot de passe maître.
  • Par ailleurs, vous pouvez utiliser un mot de passe différent pour chaque site (c'est ce que je fais : une base commune + une partie variable, par exemple les initiales ou les premières lettres du site : xxxFB, xxxGoo, xxxIP), plutôt que le même mot de passe partout (s'il est compromis... bon courage pour tout changer !)
  • Lorsque vous vous inscrivez ou vous connectez à un site, vous pouvez sauvegarder en 1 clic le mot de passe. Et Bitwarden peut remplir vos identifiants automatiquement quand vous visitez la page de connexion.
  • Vous pouvez accéder à votre "coffre" depuis n'importe quel navigateur (via une extension à installer), votre smartphone, tablette ou PC/Mac (via une application dédiée), ou simplement via le site de Bitwarden depuis n'importe où (pratique si vous êtes chez un ami ou en voyage par exemple).
  • Vous pouvez partager certains identifiants avec quelqu'un d'autre, par exemple un membre de votre famille.
  • Bitwarden est "open source", ce qui veut dire que le code de toutes les applications est public. C'est un gage de confiance et de transparence, car on sait ce que l'application fait (contrairement à Google Chrome, par exemple, dont le code source est privé -- et lié à une entreprise Américaine qui revend nos données personnelles, au passage...).
  • Bitwarden a une fonction qui permet de savoir si votre mot de passe a fait partie d'une fuite de données. Toutes les grandes entreprises se font hacker un jour ou l'autre, et parfois, des identifiants et mots de passe sont dérobés (ex: en 2016, 68 millions de comptes Dropbox ont été exposés...). Ce qui permet de ne pas utiliser un mot de passe "connu", surtout pour les services ou sites critiques (type Paypal, Dropbox ou Google).
  • Vous pouvez aussi générer dans l'application un mot de passe aléatoire, en choisissant sa complexité. Pratique si vous êtes en panne d'inspiration !
  • C'est une bonne sécurité contre le phishing, ou hameçonnage. Le gestionnaire lie un identifiant à une adresse internet, par exemple www.instinct-photo.fr. Si un hacker vous demande de vous connecter à www.instinct-photo.com, par exemple, le gestionnaire ne vous proposera pas de mot de passe enregistré... Ce qui peut vous mettre la puce à l'oreille, et vous faire comprendre que vous êtes sur le mauvais site (.com au lieu de .fr)
  • La version premium (10€ par an) propose 1 Go de stockage. C'est pratique si vous voulez garder une copie d'un passeport ou d'un permis de conduire par exemple. Il sera aussi crypté comme les mots de passe, donc aucun risque que ça finisse dans la nature (contrairement à s'envoyer son passeport par pièce-jointe... vos emails et leurs pièces-jointes ne sont pas cryptés, et si votre fournisseur se fait hacker...)

Vous utilisez peut-être déjà, comme je le faisais avant, la fonction "se souvenir du mot de passe" dans votre navigateur. C'est une alternative, mais elle est réputée moins fiable, car plus floue : on ne sait pas vraiment ce que font Google, Microsoft ou autres avec nos données, si/comment ils cryptent ces informations, les sécurisent, etc. Elle est également moins pratique, car liée à votre navigateur, et les fonctionnalités sont limitées : si vous êtes en vacances à l'autre bout du monde, pas sûr que vous puissiez accéder à vos informations vitales.

J'utilise Bitwarden, car il est simple, gratuit, transparent et fonctionne partout. Il y a d'autres solutions connues (1Password, LastPass, IDSafe de Norton Antivirus), mais beaucoup sont ou semblent payantes, et ne sont pas forcément open source ou aussi flexibles. Cf cet article: https://www.techadvisor.fr/banc-essai/o ... t-3666137/

Certaines de ces solutions (comme Keepass) peuvent fonctionner uniquement en local. Ce qui veut dire que tout est stocké sur votre ordinateur, et rien n'est envoyé/synchronisé sur Internet. C'est un peu de sécurité en plus, mais l'inconvénient, c'est que vous ne pouvez pas utiliser ces mots de passe ailleurs (smartphones, tablettes et autres). Donc beaucoup moins pratique.

Voici également un article du Monde qui traite de ce sujet : https://www.lemonde.fr/pixels/article/2 ... 08996.html

Sur le même sujet, vous pouvez aussi utiliser cet outil très pratique, qui vous dit si votre email a déjà fait partie d'une brèche de données (en Anglais) : https://haveibeenpwned.com/
J'ai testé avec un vieux compte Gmail inutilisé, et mes informations personnelles (email, mot de passe, date de naissance...) ont été exposées lors de 9 (!!!) piratages, parmi lesquels Adobe, Linkedin, OVH et Dropbox.

Bref, tout ça fait froid dans le dos, et je vous conseille vivement d'utiliser ce type d'outil pour éviter les mauvaises surprises... On n'est jamais trop prudent !

N'hésitez pas si vous avez des questions ! :)

Konzy
Mon fil photoPortfolioInstagram

Gestionnaires de mots de passe

#6
Le nombre de mots de passe que chacun utilise croit de façon quasi exponentielle (j'exagère mais à peine...) et les "bons" sont difficilement mémorisables.
Chacun ses solutions et c'en est une à étudier de plus près car probablement plus sûre que la plupart. Merci Konzy :good:
Il est nécessaire d'espérer pour entreprendre, il n'est pas nécessaire de réussir pour persévérer
Sur mes chemins de traverse
Répondre

Retourner vers « Coin détente »

cron