Oui, je suis ici pour vous dire sans ambages que je n'ai jamais utilisé de gestionnaire de mots de passe auparavant. Ce n’est pas comme si je n’avais jamais envisagé de m’en inscrire. Je suis toujours incité à essayer différentes options, mais une partie de moi ressent toujours des démangeaisons en mettant tout les œufs dans le même panier, surtout lorsque les violations de données nous rappellent constamment à quel point cela pourrait être mauvais idée. Je sais que je ne suis pas seul sur ce bateau car les vieilles habitudes ont la vie dure. Je pensais que je serais « plus en sécurité » si je me souvenais de mes mots de passe ou si je les notais quelque part. Mais avec une liste croissante de comptes en ligne, j'ai enfin du mal à créer des mots de passe uniques et solides pour chacun. Ma résolution technique pour 2023 était donc de donner une chance aux gestionnaires de mots de passe, alors nous y sommes.
Choisir un bon gestionnaire de mots de passe peut être délicat, et le grand nombre d’options disponibles ne rend pas la tâche plus facile. J'ai beaucoup appris au cours de mon voyage et j'espère que ces conseils pourront également vous aider dans le vôtre.
Recherchez les fonctionnalités que vous souhaitez
La plupart des gestionnaires de mots de passe font bien plus que simplement remplir vos mots de passe sur un formulaire de connexion. Keeper, par exemple, est un gestionnaire de mots de passe très riche en fonctionnalités qui peut également stocker les informations de votre carte de crédit, verrouiller des fichiers et des photos dans un coffre-fort sécurisé, vous aider à partager vos mots de passe et bien plus encore. 1Password est également livré avec de nombreuses cloches et sifflets, et il peut effectuer des tâches supplémentaires telles que supprimer des secrets de votre presse-papiers et vous alerter des failles de sécurité.
Il est important de comprendre ce que vous attendez de votre gestionnaire de mots de passe, à moins que vous ne souhaitiez emprunter le chemin sans fin rempli d'options. Après tout, cela ne sert à rien de payer un supplément pour tous les extras si vous ne comptez pas les utiliser. Vous disposez peut-être déjà d'un dossier sécurisé sur votre smartphone pour verrouiller les fichiers et photos importants, ou vous n'avez pas besoin de payer pour des nouveautés telles que la surveillance et les alertes du Dark Web. Recherchez plutôt les fonctionnalités utiles qui comptent pour vous.
Voici les fonctionnalités importantes que je recommande de rechercher :
- Prise en charge multiplateforme pour accéder et gérer vos mots de passe enregistrés sur n'importe quel appareil ou plateforme
- Authentification multifacteur pour sécuriser votre coffre-fort de mots de passe
- Accès hors ligne pour vous assurer de conserver votre mot de passe même lorsque vous n'êtes pas en ligne
- Prise en charge des extensions de navigateur pour vous assurer que vous pouvez accéder à votre mot de passe quel que soit le navigateur Web que vous utilisez
Par exemple, je cherchais un gestionnaire de mots de passe pour m'aider à éviter de réutiliser les mêmes mots de passe sur différents comptes. J'ai atteint un point où je commençais à réutiliser certains de mes mots de passe, laissant ainsi la porte ouverte à des acteurs malveillants pour s'introduire dans plusieurs comptes. Pour faire court, j'ai donné la priorité à un générateur de mots de passe simple et sécurisé plutôt qu'à un générateur doté de fonctionnalités sophistiquées pour éviter de dépenser plus que ce que je souhaitais en tant que nouveau client. Votre kilométrage peut cependant varier.
Le cryptage « zéro connaissance » est important
La plupart des gestionnaires de mots de passe utilisent également un cryptage sécurisé comme AES 256 bits et XChaCha20 pour verrouiller votre mot de passe avant qu'il ne quitte votre appareil. Ainsi, même si vous utilisez un service de gestion de mots de passe qui enregistre votre mot de passe sur un serveur distant, il se peut qu'il ne soit pas immédiatement accessible aux pirates qui tentent de le voler. Tous les gestionnaires de mots de passe fiables utilisent des techniques de cryptage complexes pour sécuriser votre coffre-fort, afin que vous ne soyez pas dans le noir lorsque vous transmettez des informations importantes.
Bitwarden, par exemple, utilise le cryptage AES-CBC 256 bits pour vos données de coffre-fort et PBKDF2 SHA-256 pour dériver votre clé de cryptage. Toutes vos données sont cryptées ou hachées avant d'être envoyées aux serveurs distants, et elles ne peuvent être déchiffrées qu'avec la clé dérivée de votre mot de passe principal. NordPass, quant à lui, utilise XChaCha20, qui est plus rapide et plus facile à mettre en œuvre que les méthodes standard.
Je recommande de choisir uniquement ceux qui utilisent une solution de cryptage sans connaissance, ce qui signifie qu'ils ne peuvent pas lire ou partager vos informations sensibles. Bien sûr, il n’existe aucun moyen de rester en sécurité à 100 % en ligne, mais il est utile de couvrir les bases.
Choisissez des gestionnaires de mots de passe avec des sauvegardes sécurisées
Il est également important de choisir des gestionnaires de mots de passe qui vous permettent de créer une sauvegarde de tous vos mots de passe cryptés au cas où le serveur distant contenant tous vos mots de passe tomberait en panne. Certains gestionnaires de mots de passe créent une sauvegarde du mot de passe crypté, tandis que d'autres vous permettent simplement de créer une sauvegarde des données décryptées dans un format lisible par l'homme. Quoi qu'il en soit, il est important de créer une sauvegarde au cas où vous perdriez l'accès à votre coffre-fort en raison de une erreur de serveur et vous retrouvez dans une situation où vous ne pouvez plus accéder à vos comptes en ligne.
En regardant le récent incident de LastPass et comment il a géré la situation, je sais que je ne laisse jamais de sauvegarde de mes mots de passe en ligne, même si elle est cryptée. Vous pouvez toujours créer une sauvegarde manuelle et télécharger une copie de tous vos mots de passe, mais assurez-vous de la déplacer et de la stocker en toute sécurité pour éviter qu'elle ne tombe entre de mauvaises mains.
Vérifiez les données biométriques et d'autres moyens de vous connecter
L'authentification multifacteur (MFA), comme je l'ai mentionné plus tôt, est l'une des fonctionnalités les plus importantes à rechercher dans un gestionnaire de mots de passe. Vous devriez chercher à combiner un mot de passe fort avec une authentification à deux facteurs (2FA) ou même une authentification biométrique, comme une empreinte digitale ou un scan du visage. La protection biométrique agit généralement comme une couche supplémentaire, vous devrez donc toujours utiliser votre mot de passe principal et toute connexion en deux étapes activée. Il n’existe pas trop de niveaux de sécurité, surtout lorsqu’un seul mot de passe/clé peut déverrouiller un coffre-fort rempli de données sensibles.
Il convient également de noter que la mise en place d'une authentification MFA ou biométrique n'est pas une alternative à votre mot de passe principal. Vous aurez toujours besoin de la clé principale pour déchiffrer les données du coffre-fort avant d'y accéder après avoir traversé des couches supplémentaires. Techniquement, vous n'aurez besoin de saisir le mot de passe principal qu'une seule fois pour chaque appareil, car les données du coffre-fort du serveur sont ensuite automatiquement téléchargées et stockées localement. Cela m’amène également à mon prochain point – et probablement le plus important.
N'oubliez pas votre mot de passe principal!
Presque tous les gestionnaires de mots de passe modernes fonctionnent avec un cryptage sans connaissance, ils ne peuvent donc pas lire ou récupérer votre mot de passe principal. Certains d'entre eux vous offrent des outils pour récupérer le mot de passe en cas d'oubli, mais vous ne pouvez pas vraiment les utiliser à moins d'avoir pré-autorisé ces options. Certaines de ces options incluent :
- Un indice de mot de passe : Votre gestionnaire de mots de passe vous enverra l'indice de mot de passe (si vous en avez configuré un) par e-mail.
- Accès via le contact d'urgence: À condition que l'option d'accès d'urgence soit activée sur votre compte, vous pouvez contacter votre contact d'urgence pour retrouver l'accès à votre coffre-fort.
- Réinitialisation du mot de passe administrateur: ceux qui possèdent un compte d'entreprise peuvent contacter leurs administrateurs pour réinitialiser et retrouver l'accès à leurs comptes.
Les options de récupération mentionnées ci-dessus ne fonctionneront que si vous les avez préalablement autorisées. Certains gestionnaires de mots de passe comme Dashlane vous permettent également de récupérer votre mot de passe principal à l'aide de l'authentification biométrique, mais même cela ne fonctionnera que si vous l'avez activé avant d'oublier le mot de passe principal.
Tous les gestionnaires de mots de passe modernes fonctionnent avec un cryptage sans connaissance, ils ne peuvent donc pas lire ou récupérer votre mot de passe principal.
Si aucune de ces options ne vous donne accès, vous n'avez d'autre choix que de supprimer votre compte et d'en créer un nouveau. Cela signifie également que vous perdrez les éléments stockés dans votre coffre-fort, vous devrez donc réinitialiser vos informations de connexion pour chaque compte.
Commencer un débutant
J’étais tout aussi bouleversé que vous l’êtes probablement en ce moment après avoir tout lu. Si vous n'êtes pas à l'aise avec la configuration d'un gestionnaire de mots de passe pour tous vos comptes, pourquoi ne pas commencer à l'utiliser pour certains comptes basiques ou occasionnels? Vous savez, ceux que vous avez peut-être créés pour bénéficier d’un essai gratuit ou lire un article derrière un paywall.
Je recommande également de tester le terrain avec des gestionnaires de mots de passe gratuits avant de souscrire à un abonnement premium. En tant que personne relativement nouvelle dans le monde des gestionnaires de mots de passe, j'ai commencé à utiliser Bitwarden pour me familiariser avec les comptes à faible risque. Bitwarden est livré avec tous les éléments essentiels et ne verrouille rien d'important sous un paywall. Il est également entièrement open source, ce qui signifie que vous pouvez réviser, auditer et contribuer au code de Bitwarden sur GitHub.
Je trouve également la paix en sachant que je peux ignorer le stockage cloud de Bitwarden et l'intégralité de la pile d'infrastructure de l'hôte sur la plateforme de mon choix. Encore une fois, cela dépend des fonctionnalités que vous souhaitez, alors assurez-vous de rechercher différentes options et de sélectionner celle qui, selon vous, convient le mieux à votre cas d'utilisation. Vous pouvez toujours consulter notre collection des meilleurs gestionnaires de mots de passe une fois que vous connaissez les tenants et les aboutissants et que vous êtes prêt à vous lancer.