Pourquoi il ne faudrait pas utiliser un gestionnaire de mots de passe ?

Quel est le meilleur accessoire pour perdre toutes ses clés en même temps ? Un porte-clé...

Cette devinette exprime tout à fait ce que je pense des gestionnaires de mots de passe.

Si je passe beaucoup de temps à taper des mots de passe, c'est que je fait pas confiance aux gestionnaires de mots de passe.

Seuls sont stockés dans mon ordinateur les mots de passe de mes messageries et de quelques comptes ftp.

A noter que des techniques complémentaires permettent alors de renforcer la sécurité (filtre par adresse IP,  cryptographie asymétrique avec utilisation de clés privées et publiques, ...).

Je n'utilise pas la fonctionnalité intégrée aux navigateurs (sauf pour quelques services non critiques) permettant de stocker les mots de passe, car n'importe qui peut, en une minute alors que vous allez, chercher un café ou aux toilettes, les afficher en clair si vous oubliez de verrouiller votre ordinateur. Une erreur est vite arrivée...

De plus, lorsque cela est proposé j'utilise systématiquement, pour les services importants, la double authentification ou un système équivalant.

Très récemment, le service de LastPass a été victime d'un piratage. Si les mots de passe étaient stockés avec un système de chiffrage réputé robuste (AES 256 bit), des données personnelles ont été siphonnées (nom, prénom, adresse, téléphone, e-mail...). Elles pourraient être utilisées pour du phishing (hameçonnage), et rien ne dit que d'ici quelques mois qu'une technique, via un bug, un nouvel algorithme ou un supercalculateur d'une puissance étrangère arrive à casser le code.

On trouve sur le web de nombreux articles dithyrambique sur les gestionnaires de mots de passe, des comparatifs, des conseils pour leur utilisation... Je pense, mais ce n'est que mon avis, qu'il est criminel d'inciter les gens à stocker tous leurs œufs dans le même panier.

Enfin, je fait systématiquement quelque chose que peu d'utilisateurs font. Je vide le cache de mon navigateur à chaque fois que je le ferme afin de détruire toutes les sessions qui pourraient encore être ouvertes.

Lorsque je vois quelqu'un allumer un ordinateur, ouvrir une session sans avoir à taper un mot de passe et se connecter à des services sensibles sans avoir besoin de se re-loguer, je me demande si cette personne est consciente de ce qu'elle fait !

J'imagine aussi ce que pourrait faire un logiciel malveillant ou un virus qui arriverait à corrompre ou supprimer les données de votre gestionnaire de mots de passe. Et pourquoi pas un ransomware qui changerait votre mot de passe racine...

Si vous n'êtes pas convaincus, je recommande la lecture de l'article suivant :

Gestionnaires de mots de passe comment contourner leur faille

Des hackers peuvent s’attaquer à Keepass, mettez à jour le gestionnaire de mot de passe

Comment avoir un bon mot de passe ?

Le mieux est de suivre les conseils avisés de la Cnil et de lire l'article suivant :

Les conseils de la cnil pour un bon mot de passe

J'impose à mes utilisateurs les règles suivantes : un minimum de 12 caractères, être composé d’au moins 4 types de caractères différents (3 de chaque) parmi majuscules, minuscules, chiffres et caractères spéciaux.

 

Quand utiliser un gestionnaire de mot de passe ?

Par contre, si vous n'avez pas bonne mémoire, si vous n'êtes pas à l'aide avec l'informatique, si vous utilisez (une pratique à bannir !) le même mot de passe pour différents services, si vous utilisez le nom de votre chat comme mot de passe ou 1234, alors il vaut mieux effectivement utiliser un gestionnaire de mot de passe.

Si vous avez de nombreux comptes, il est difficile de se souvenir de tous vos mots de passe. Un gestionnaire de mots de passe vous permetra alors de n'avoir qu'un seul mot de passe à retenir, celui pour accéder à votre gestionnaire.

Les mots de passe forts sont difficiles à mémoriser. Un gestionnaire de mots de passe peut également vous aider à générer des mots de passe sécurisés que vous n'aurez pas à retenir.

Si vous utilisez le même mot de passe pour plusieurs comptes vous risquez que l'un de ces comptes soit piraté. Si cela se produit, tous vos comptes qui utilisent le même mot de passe seront compromis. Un gestionnaire de mots de passe peut vous aider à utiliser des mots de passe différents pour chaque compte afin de minimiser ce risque.

La double authentification ou l'authentification à double facteur

Vous devriez utiliser la double authentification à chaque fois que cela s'avère possible, pour des services en ligne ou avec votre gestionnaire de mot de passe. Cela apporte une sécurité supplémentaire qui viendra s'ajouter à votre mot de passe. L'authentification à double facteur vous demandera via votre smartphone soi de tapper un code le sécurité ou plus simplement de valider la connexion.

Quelle autre alternative ?

 

Alors, je pense que "Il ne nous reste plus, suivant l'Usage ancien, que d'enfermer nos Secrets dans un lieu sûr et sacré…"