Les mots de passe sont une nécessité du monde en ligne. Ils sont l’un des moyens les plus importants pour sécuriser votre vie numérique, empêchant les pirates et toute autre personne d’accéder à votre compte bancaire, adresse e-mail, comptes sur les réseaux sociaux, et tout ce que vous faites en ligne.
C’est pourquoi il est vital d’utiliser des mots de passe forts que personne d’autre ne peut deviner. Il est également important de ne pas réutiliser les mots de passe sur plusieurs sites internet et services car si un adversaire obtient vos identifiants de connexion d’un site (par exemple, à la suite d’une fuite de données), il pourra utiliser ces informations pour accéder à tous vos autres services utilisant les mêmes identifiants.
Ceci est connu sous le nom de usurpation de justificatifs d’identité(nouvelle fenêtre), et c’est l’une des techniques d’attaque les plus couramment utilisées par les pirates informatiques.
Un mot de passe réellement sécurisé nécessite l’utilisation de majuscules et minuscules mélangées(nouvelle fenêtre), de chiffres et de symboles, et doit comporter au moins huit caractères (plus il est long, mieux c’est). Malheureusement, l’évolution n’a pas préparé le cerveau humain à mémoriser des chaînes telles que kf6Tg&M)2D*7, et encore moins plusieurs de ces chaînes pour chaque service web que nous utilisons. Comme toujours, xkcd a une bande dessinée qui explique bien les choses :
Heureusement, les ordinateurs sont très doués pour mémoriser ce type d’informations.
Quel est le but d’un gestionnaire de mots de passe ?
Un gestionnaire de mots de passe est un programme informatique (application) qui génère des mots de passe sécurisés et les stocke de manière sécurisée pour vous. Il stockera également les mots de passe que vous créez vous-même. La plupart des gestionnaires de mots de passe modernes facilitent la saisie de ces mots de passe enregistrés (et d’autres détails de connexion, tels que votre nom d’utilisateur) lorsque vous vous connectez à des sites internet et des applications.
Un gestionnaire de mots de passe « se souvient » de vos mots de passe (et d’autres détails de connexion) pour que vous n’ayez pas à le faire. Cependant, parce que le gestionnaire de mots de passe détient les clés de votre vie numérique entière, il est crucial que votre gestionnaire de mots de passe soit lui-même sécurisé.
Les gestionnaires de mots de passe eux-mêmes utilisent un mot de passe principal (qui, dans le cas de Proton Pass, est votre mot de passe de compte Proton) pour empêcher l’accès non autorisé. Cela signifie que si vous utilisez un gestionnaire de mots de passe, vous n’avez besoin de vous souvenir que de son mot de passe principal au lieu de vous souvenir des mots de passe pour tous vos comptes. Mais vous devez vous assurer que votre mot de passe principal est difficile à deviner.
Comment fonctionne un gestionnaire de mots de passe ?
Nous utiliserons Proton Pass comme exemple pour montrer comment un gestionnaire fonctionne en pratique. La plupart des gestionnaires de mots de passe fonctionnent de manière similaire.
Lorsque vous vous inscrivez pour la première fois à un service, on vous demandera de fournir un mot de passe. Vous pouvez fournir le vôtre (que le gestionnaire de mots de passe proposera d’enregistrer), mais il est généralement plus facile de laisser le gestionnaire de mots de passe en créer un pour vous. Le mot de passe qu’il générera sera probablement bien plus sécurisé que celui que vous auriez pu imaginer vous-même.
Lors de votre prochaine visite sur ce site internet ou à l’ouverture de son application mobile, le gestionnaire de mots de passe proposera de remplir automatiquement vos détails de connexion.
Proton Pass peut même générer des codes A2F pour faciliter la connexion sécurisée à vos services en ligne.
Quel est le principal risque lié à l’utilisation d’un gestionnaire de mots de passe ?
Un bon gestionnaire de mots de passe sécurise vos mots de passe à l’aide d’un chiffrement robuste. Cependant, tous vos mots de passe sont sécurisés à l’aide d’un seul mot de passe principal, donc le plus grand danger est que celui-ci soit compromis. Si cela arrive, un adversaire aura un accès complet à tous vos autres mots de passe.
Il existe trois moyens clés pour atténuer ce risque :
1. Utiliser un mot de passe fortPass
Une phrase composée de plusieurs mots aléatoires de différentes longueurs avec des espaces entre chaque mot est bien plus sécurisée que n’importe quel mot de passe unique et bien plus facile à retenir. Diceware(nouvelle fenêtre) offre une excellente méthode pour générer une telle phrase secrète sécurisée.
2. Utiliser l’authentification à deux facteurs
L’authentification à un facteur nécessite quelque chose que vous connaissez (votre mot de passe principal). L’authentification à deux facteurs requiert un élément supplémentaire qui prouve votre identité. À moins qu’un adversaire n’ait un accès physique à cet objet, il ne pourra pas accéder à vos comptes.
Tous les comptes Proton peuvent être sécurisés en utilisant l’authentification à deux facteurs, offrant ainsi une précieuse seconde couche de défense.
Apprenez comment activer l’authentification à deux facteurs sur votre compte Proton
3. Utiliser le chiffrement de bout en bout
De nombreux gestionnaires de mots de passe stockent vos mots de passe sur leurs serveurs où ils peuvent y accéder. Cela facilite la synchronisation de vos mots de passe sur différents appareils, et si vous oubliez votre mot de passe principal, il est facile de récupérer votre compte (une fois que vous avez prouvé votre identité auprès d’eux).
Cependant, cela signifie également que le gestionnaire de mots de passe peut accéder à vos mots de passe. Ce n’est pas une grande préoccupation si l’entreprise est réputée, mais si ses serveurs sont compromis, un pirate pourrait accéder aux informations d’identification du mot de passe principal stockées et les utiliser pour déchiffrer vos mots de passe.
Proton Pass utilise à la place le chiffrement de bout en bout. Vous chiffrez vos coffres-forts de mots de passe sur votre appareil en utilisant votre mot de passe de compte Proton que vous seul connaissez. Proton ne connaît jamais votre mot de passe de compte Proton, donc nous ne pouvons pas déchiffrer vos coffres-forts de mots de passe. Et dans le cas très improbable où nos serveurs seraient compromis, le pirate ne le pourrait pas non plus.
Notez que nous avons également développé plusieurs méthodes pour récupérer votre compte si vous perdez votre mot de passe de compte Proton, sans jamais avoir accès à votre mot de passe.
En savoir plus sur les méthodes de récupération de compte en cas d’oubli du mot de passe Proton
Pour conclure
Les mots de passe non sécurisés et réutilisés sont de loin le point de défaillance le plus important lorsqu’il s’agit de prévenir la cybercriminalité. Un gestionnaire de mots de passe facilite l’utilisation de mots de passe forts et uniques pour tous vos comptes, ce qui en fait sans doute l’outil le plus important pour sécuriser votre vie numérique.
Utiliser un gestionnaire de mots de passe est mieux que de ne pas en utiliser, mais tous les gestionnaires de mots de passe ne se valent pas. Proton Pass est un gestionnaire de mots de passe chiffré de bout en bout proposé par l’équipe derrière Proton Mail, le service d’e-mails chiffrés de bout en bout le plus populaire au monde.