You are currently viewing Un gestionnaire de mots de passe, pour quoi faire ?

Un gestionnaire de mots de passe, pour quoi faire ?

  • Commentaires de la publication :0 commentaire

Dans un précédent article, je vous parlais des contraintes de l’utilisation des mots de passe. Pour rappel, il y a deux règles importantes à suivre quant à l’utilisation des mots de passe :

1 ) Utiliser de mots de passe différents sur plusieurs sites

2) Utiliser des mots de passe forts

Or mémoriser des dizaines de mots de passe longs est quasiment impossible. Du moins, j’en suis bien incapable personnellement. La solution est donc d’utiliser un gestionnaire de mots de passe qui le fera pour nous. Et même pas besoin de lui demander gentiment.

Un gestionnaire de mots de passe, c’est quoi ?

Un gestionnaire de mots de passe, la plupart du temps, se présente sous la forme d’une extension de navigateur et permet de générer et mémoriser à notre place tous nos mots de passe dans ce que l’on appelle un coffre-fort de mots de passe. C’est à dire un stockage sécurisé qui contient l’ensemble de nos mots de passe.

Je vous entends déjà : « Mais je ne vais pas confier mes mots de passe à un hébergeur en ligne que je ne connais absolument pas ! ». Mais si ! et je vous explique pourquoi.

C’est sécurisé ?

Tous les mots de passe générés par le gestionnaire de mots de passe sont chiffrés dans le navigateur AVANT d’être envoyés dans le coffre-fort, qui plus est en utilisant un algorithme « béton » pour le chiffrement. En général de l’AES 256, c’est à dire un chiffrement symétrique (La même clé sert à chiffrer et déchiffrer). Si bien que l’hébergeur en question ne connaît pas les mots de passe et sera incapable de les déchiffrer. De même, si le coffre-fort est compromis et que le contenu des mots de passe est dérobé, personne ne pourra rien en faire, du fait de ce chiffrement. De même, aucune trace sur votre ordinateur des mots de passe car ils ne sont absolument pas stockés en local. Mais alors, qui peut utiliser les mots de passe, s’ils sont chiffrés ? Réponse : Vous et vous seul

En fait, l’ensemble du coffre-fort est protégé par un seul mot de passe appelé mot de passe maître que, seul vous, devez connaître et c’est le seul mot de passe à mémoriser. Comme il n’y en qu’un à mémoriser et qu’il est particulièrement sensible, autant bien le protéger celui-là et utiliser un mot de passe long composé de plusieurs mots par exemple. Je vous suggère d’ailleurs une méthode intéressante pour générer des mots de passe forts mais facile à mémoriser : La Méthode Diceware, dont je reparlerai certainement dans un prochain article. C’est donc ce mot de passe maître qui va servir pour chiffrer l’ensemble du coffre-fort de mots de passe. Il ne sera pas lui-même utilisé comme clé de chiffrement, mais servira à générer une clé de chiffrement.

Attention, si vous perdez votre mot de passe maître, personne ne pourra rien pour vous et il sera impossible de déchiffrer vos mots de passe. C’est le prix de la sécurité ! Certains gestionnaires, toutefois, utilisent des fonctionnalités de récupération de mots de passe maître.

À quoi ça sert ?

Un gestionnaire de mots de passe conservera donc vos mots de passe en sécurité dans un « coffre-fort » dont vous seul avez la clé pour l’ouvrir : Votre mot de passe maître

Mais un gestionnaire de mots de passe ça sert aussi à :

  • Générer des mots de passe à votre place

Vous êtes sur une site où l’on vous demande la création d’un compte, appeler votre gestionnaire de mot de passe, il vous génèrera un mot de passe fort de la longueur que vous souhaitez.

  • Remplir automatiquement des formulaires de connexions

Vous êtes sur un site doté d’un formulaire de connexion pour lequel vous avez enregistré un compte et un mot de passe dans votre gestionnaire de mots de passe ? Dans ce cas, le gestionnaire pourra préremplir le formulaire à votre place

  • Vous protéger contre le phishing

Il ne s’agit pas d’une protection à toute épreuve contre le phishing, mais comme le gestionnaire est capable de préremplir un formulaire s’il détecte un site pour lequel il connaît un compte, il ne le fera pas s’il s’agit d’un site qu’il ne connait pas. Donc, si vous êtes sur un site malveillant qui imite un site de confiance avec un nom de domaine inconnu, le gestionnaire le détectera et ne proposera pas de préremplir le formulaire. Il s’agit donc d’une indication pour vous et d’une brique en plus pour la lutte contre le phishing.

  • Être disponible sur tous vos appareils

Last but not least, comme les mots de passe sont stockés en ligne, il sont disponibles sur tous vos appareils, en vous authentifiant avec votre mot de passe maître : Vos ordinateur bien sûr, mais aussi tablettes et mobiles. Si vous utilisez plusieurs navigateurs, il suffit d’installer l’extension adéquate pour retrouver instantanément ses mots de passe.

Lequel choisir ?

Il existe de nombreux gestionnaires de mots de passe gratuits ou pas, mais j’ai personnellement une petite préférence pour Bitwarden. Ce gestionnaire de mots de passe propose en effet une solution de stockage en ligne gratuite pour une utilisation de base (sur l’ensemble de vos appareils) qui conviendra à beaucoup d’entre nous et des offres payantes pour plus de fonctionnalités.

Cerise sur le gâteau, si vraiment vous ne souhaitez pas stocker vos mots de passe en ligne, Bitwarden offre une possibilité de l’héberger vous-même sur votre infrastructure.

Bitwarden étant une solution OpenSource, son code source est librement consultable. Et il a déjà été audité deux fois par des sociétés d’audit en cybersécurité. Ce qui pour moi est un gage de confiance. Mais d’autres solutions, je le répète, font également très bien le job.

Et vous, vous utilisez déjà un gestionnaire de mots de passe ?

Laisser un commentaire