Vous pouvez commencer sans risquer des mots de passe de grande valeur
Si les risques ci-dessus vous font hésiter à utiliser un gestionnaire de mots de passe pour tous vos comptes, envisagez de commencer par les mots de passe que vous vous inquiéteriez le moins de perdre ou d’être compromis.
Par exemple, vous ne vous souciez probablement pas d’un mot de passe utilisé pour créer un abonnement d’essai de sept jours à un logiciel, des articles d’actualité ou des recherches. Si vous faites des achats sur de nombreux sites web différents, vous avez peut-être des dizaines de comptes qui protègent tous des copies des mêmes informations : votre numéro de carte de crédit, votre numéro de téléphone et votre adresse. Aucune de ces informations n’est très secrète, votre responsabilité est limitée si votre numéro de carte de crédit est volé, et il est facile de réinitialiser le mot de passe de la plupart des sites d’achat en recevant un courriel de réinitialisation de mot de passe.
En commençant par vos mots de passe de valeur inférieure, vous pouvez vous familiariser avec le fonctionnement des gestionnaires de mots de passe alors que les conséquences des erreurs sont faibles. En acquérant de l’expérience, vous comprendrez également mieux les risques et les avantages. Vous constaterez peut-être que lorsque vous n’aurez plus à créer, à vous souvenir et à taper ces mots de passe de moindre valeur, vous pourrez consacrer une partie de cet effort économisé à la protection des mots de passe des comptes de plus grande valeur.
Vous pouvez également utiliser votre gestionnaire de mots de passe pour générer des mots de passe aléatoires que vous ne devez pas enregistrer. Vous voudrez probablement les écrire. Vous devriez être en mesure d’apprendre des mots de passe aléatoires pour quelques comptes au fil du temps, juste en les utilisant.
La plupart des utilisateurs peuvent commencer sans acheter ou télécharger de nouveaux logiciels. Si vous utilisez principalement Safari ou Chrome, ces deux navigateurs ont des gestionnaires de mots de passe qui généreront des mots de passe aléatoires pour vous. Je ne vais pas couvrir Brave, Edge ou Firefox parce que, au moment où j’écris ces lignes, ils ne génèrent pas de mots de passe.
Bien que vous devriez envisager des gestionnaires de mots de passe autonomes, en particulier si vous stockez les mots de passe de vos comptes les plus précieux, vous pouvez facilement y importer les mots de passe que vous avez enregistrés en essayant les gestionnaires de mots de passe intégrés dans Chrome ou Safari.
Une raison d’aller au-delà de Chrome est qu’il n’identifiera pas quels mots de passe vous avez réutilisés entre les sites . L’audit des mots de passe réutilisés est essentiel pour obtenir les avantages de sécurité qu’un gestionnaire de mots de passe peut offrir. La plupart des gestionnaires de mots de passe autonomes offrent une fonction d’audit, et le gestionnaire de mots de passe intégré de Safari (le Trousseau d’Apple) en a récemment ajouté une également.
Même si vous essayez de ne pas stocker les mots de passe importants dans votre gestionnaire de mots de passe, il est toujours utile de revoir périodiquement les mots de passe que vous avez enregistrés et ceux qui sont réutilisés – certains comptes qui semblaient sans valeur lorsque vous les avez créés peuvent se révéler plus précieux avec le temps. Certains gestionnaires de mots de passe vous signaleront également si certains de vos mots de passe sont manifestement faibles (par exemple, s’ils figurent sur des listes de mots de passe courants). Si vous souhaitez remplacer vos anciens mots de passe, la quantité de travail peut être décourageante. Vous ne devez pas attendre d’avoir assez de temps pour les changer tous en même temps ; établissez des priorités et commencez.
Alas, les gestionnaires de mots de passe qui testent si vous avez réutilisé un mot de passe ne le feront que si vous les autorisez à stocker ce mot de passe. Si vous ne stockez que les mots de passe des comptes de faible valeur, le gestionnaire de mots de passe ne pourra que vous dire lesquels de vos mots de passe de faible valeur ont été réutilisés. Je ne connais aucun gestionnaire de mots de passe qui vous alertera si vous tapez un mot de passe que vous avez enregistré pour un autre site dans la page Web actuelle. Il n’y a aucune raison technique pour laquelle la plupart des gestionnaires de mots de passe ne pourraient pas vous alerter d’une telle réutilisation de mots de passe, alors j’espère que certains le feront bientôt.
Apprendre un mot de passe maître fort
La plupart des gestionnaires de mots de passe protègent vos mots de passe avec encore un autre mot de passe -commoniquement appelé mot de passe maître. Les gestionnaires de mots de passe autonomes vous demanderont de créer un mot de passe maître lorsque vous commencerez à les utiliser. Si vous utilisez le navigateur Chrome de Google pour stocker vos mots de passe et les partager avec d’autres appareils, vos mots de passe seront stockés par Google et protégés par le mot de passe de votre compte Google (ainsi que par tout autre facteur secondaire que vous pouvez utiliser). Le trousseau iCloud d’Apple s’appuie principalement sur les mots de passe et les fonctions de déverrouillage de vos appareils pour protéger régulièrement ses données, mais il dispose d’un mot de passe principal de secours appelé code de sécurité iCloud .
N’utilisez pas un mot de passe principal que vous avez utilisé pour autre chose. Cela mérite d’être répété car vous avez probablement appris les mises en garde contre la réutilisation des mots de passe après avoir reçu de tels conseils pour des comptes dont vous ne vous souciez pas. Contrairement à ces mots de passe sans valeur, le mot de passe principal qui protège tous vos autres mots de passe doit vraiment être unique.
Si vous utilisez le gestionnaire de mots de passe Chrome synchronisé via votre compte Google, et que vous n’êtes pas sûr à 100 % que votre compte Google dispose d’un mot de passe fort et unique, créez-en un nouveau (après vous être assuré d’avoir un plan de récupération en cas d’oubli de ce nouveau mot de passe, comme nous le verrons plus loin). C’est également le bon moment pour réévaluer si vous devez disposer d’une authentification à deux facteurs pour ce compte. De même, si vous utilisez le trousseau iCloud d’Apple, ne réutilisez pas un mot de passe comme code de sécurité iCloud.
Votre mot de passe principal doit être généré de manière aléatoire et suffisamment long pour protéger votre mot de passe même si des attaquants mettent la main sur la liste des mots de passe cryptés d’un site Web et tentent de casser ce cryptage. Pour vous assurer que votre mot de passe est vraiment aléatoire, laissez votre gestionnaire de mots de passe le générer (ou utilisez des dés et une liste de mots). De nombreuses personnes croient à tort qu’elles peuvent générer du hasard en invoquant des lettres dans leur esprit ou en tapant sur leur clavier, mais la plupart des processus mentaux que nous considérons comme aléatoires ne le sont pas vraiment. Un bon gestionnaire de mots de passe utilisera un générateur de nombres aléatoires cryptographiques pour s’assurer que votre mot de passe est suffisamment aléatoire (et les dés sont une source éprouvée d’aléa physique dont vous pouvez vérifier l’équité simplement en les lançant).
Votre mot de passe principal doit comporter au moins 12 caractères minuscules ou cinq mots. Pourquoi utiliser des caractères minuscules ou des mots quand on vous a probablement dit (et contraint) d’utiliser des caractères majuscules et des symboles dans le passé ? Si vous devez saisir le mot de passe sur un appareil doté d’un clavier à l’écran (comme celui de votre téléphone), chaque lettre ou symbole en majuscule peut nécessiter des pressions de touche supplémentaires. Vous pouvez obtenir la même sécurité, et vous épargner beaucoup de frustration, en faisant en sorte que votre mot de passe tout en minuscules soit 30 % plus long que s’il était en majuscules. En d’autres termes, un mot de passe minuscule de 13 caractères généré au hasard, qui peut être saisi avec 13 frappes, est aussi sûr qu’un mot de passe mixte de 10 caractères, qui peut en nécessiter beaucoup plus.
Ne vous attendez pas à apprendre votre nouveau mot de passe principal immédiatement – très peu de personnes peuvent apprendre une longue chaîne générée au hasard en une seule séance. Au contraire, la meilleure façon d’apprendre votre mot de passe principal est de le noter et de l’utiliser souvent. Configurez votre gestionnaire de mots de passe pour qu’il vous demande de le saisir à nouveau au moins une fois par jour jusqu’à ce que vous le connaissiez, et ne jetez votre copie papier qu’après l’avoir saisi de mémoire de manière fiable pendant plusieurs jours. Bien que la capacité des gens à apprendre des mots de passe aléatoires ne soit pas bien étudiée, les recherches que mes collaborateurs et moi-même avons effectuées suggèrent qu’il faut entre 10 et 30 utilisations pour s’en souvenir. (Cette recherche étudie les techniques que les gestionnaires de mots de passe pourraient utiliser pour vous aider à apprendre des mots de passe maîtres forts, mais aucun n’offre actuellement une aide quelconque.)
Enfin, ne supposez pas que vous ne perdrez pas votre copie papier du mot de passe maître avant de l’avoir mémorisé, ou que vous n’oublierez pas plus tard.
Factoriser la récupération dans le choix d’un gestionnaire de mots de passe
Puisque l’une des plus grandes différences entre les gestionnaires de mots de passe est le processus de récupération de vos données si vous perdez votre mot de passe maître, vous ne devriez pas choisir un gestionnaire de mots de passe sans faire des recherches sur son processus de récupération d’urgence. Après avoir fait votre choix, la première chose à faire, en plus de choisir votre mot de passe principal, est de mettre en place ce processus de récupération. Vous pourriez en avoir besoin très rapidement, car vous êtes le plus susceptible d’oublier un mot de passe maître peu de temps après l’avoir créé, et avant de l’avoir appris par une utilisation répétée.
Bien que les conséquences de la perte de vos mots de passe puissent sembler minimes lorsque vous mettez les choses en place, et que vous n’avez pas encore de mots de passe enregistrés à perdre, vous pouvez rapidement devenir dépendant de votre gestionnaire de mots de passe. Vous pouvez penser à tort qu’une fois que vous avez appris votre mot de passe, vous ne l’oublierez jamais. S’il est plus courant d’oublier les mots de passe peu de temps après les avoir créés, il est également fréquent de les oublier après une période de non-utilisation. Par exemple, vous pourriez oublier après ces prochaines vacances que vous avez planifiées, ou, comme un ami l’a appris il y a quelques années, après un séjour imprévu à l’hôpital.
Pourquoi chaque produit gère-t-il la récupération différemment ? En partie, parce que c’est un problème vraiment difficile, même pour les entreprises qui sont parmi les plus grandes, les mieux financées et les plus connues pour leur grande convivialité. Prenons le cas d’iCloud d’Apple, qui stocke le trousseau iCloud utilisé par Safari. L’un des moyens de récupérer un compte iCloud est de passer par l’assistance clientèle, mais des pirates ont piégé des agents d’assistance en compromettant des comptes d’utilisateurs, notamment pour un journaliste très en vue en 2012. Apple a donc offert aux utilisateurs la possibilité de stocker un mot de passe généré de manière aléatoire à utiliser pour la récupération (Apple a appelé cela une clé de récupération) et de configurer leurs comptes de sorte que le support client ne puisse pas changer leur mot de passe. Peu d’utilisateurs ont adopté les clés de récupération, et certains qui l’ont fait ont été contrariés lorsqu’ils ont découvert qu’en fait, le support client ne pouvait plus les aider lorsqu’ils en avaient besoin. Apple a cessé de proposer des clés de récupération en 2015 . Apple permet actuellement de réinitialiser les mots de passe après avoir vérifié les clients via leur numéro de téléphone, bien que ce processus soit assez vulnérable aux attaques.
Comme si ce n’était pas assez grave, les exigences qui déterminent si le support client réinitialisera le mot de passe ou d’autres informations d’identification d’un utilisateur ne sont pas accessibles au public. Parmi les entreprises qui autorisent le support client à réinitialiser les informations d’identification des comptes des utilisateurs, je n’en connais aucune qui partage les règles qu’elle utilise pour prendre des décisions sur ce qui est nécessaire pour revenir dans le système. Sans ces règles, les utilisateurs ne peuvent pas savoir dans quelles conditions ils pourront récupérer leur compte et dans quelles conditions un attaquant pourra prendre le contrôle de leur compte. Cela vaut la peine de le répéter : ces entreprises s’attendent à ce que vous leur fassiez confiance avec votre compte, mais ne vous diront pas les règles qui dictent si vous pourrez continuer à y accéder ou si un attaquant peut vous le voler .
Plutôt que de s’appuyer sur des règles opaques de support client, de nombreux gestionnaires de mots de passe utilisent des solutions qui sont moins vulnérables aux attaques, mais plus vulnérables aux pertes accidentelles.
Les gestionnaires de mots de passe open source KeePass et PasswordSafe (le gestionnaire de mots de passe original) vous laissent le soin de trouver un moyen de stocker et de sauvegarder le fichier contenant vos mots de passe, ainsi que la clé utilisée pour protéger (chiffrer) les données de ces fichiers. Ainsi, si vous souhaitez partager vos mots de passe entre plusieurs machines, vous devrez créer un compte de stockage de fichiers en ligne (par exemple, DropBox). Votre sauvegarde pourrait être une copie écrite du mot de passe principal et du mot de passe du compte de partage de fichiers. Si vous utilisez une authentification à deux facteurs sur ce compte, vous aurez besoin d’une sauvegarde pour cela aussi.
LastPass, Keeper , et Dashlane vous permettent d’autoriser au préalable les contacts d’urgence à accéder à votre compte… à condition qu’ils aient également un compte avec le même gestionnaire de mots de passe. Cette exigence est en place parce que ces produits utilisent la cryptographie pour garantir que vos amis, mais pas les entreprises, pourront avoir accès à ces données. Cela permet de vous protéger en cas de piratage de leur service ou si un attaquant réussit à se faire passer pour vous auprès de leur personnel d’assistance clientèle. L’inconvénient est qu’un pirate qui compromet le compte de votre contact peut ensuite compromettre le vôtre. Vous pouvez réduire le risque que cela se produise en fixant un délai avant que vos informations puissent être communiquées à votre contact d’urgence. Si vous connaissez des personnes qui utilisent l’un de ces produits et en qui vous auriez confiance pour être votre contact d’urgence, ce produit peut être meilleur pour vous que ceux que vos contacts n’utilisent pas.
Avec 1Password, votre secret maître est en fait en deux morceaux : une clé secrète, que le logiciel stocke sur chaque appareil sur lequel vous avez mis vos mots de passe, et votre mot de passe maître. Pour utiliser un nouvel appareil avec 1Password, vous devez y transférer votre clé secrète. Vous pouvez sauvegarder votre clé secrète en générant un « kit d’urgence », un PDF que vous pouvez imprimer et qui contient votre secret et un espace pour écrire votre mot de passe principal. (J’espère que votre écriture est meilleure que la mienne.) Comme LastPass et Dashlane, 1Password a conçu son service en ligne de manière à ne pas conserver ces secrets et à ce que le support client ne puisse pas aider un attaquant – ou vous – à accéder à vos données sans eux. Contrairement à LastPass et Dashlane, leur processus de récupération ne nécessite aucune interaction avec le service, ni avec quiconque. Cela fait de 1Password l’option la plus privée, mais il y a un coût à ce niveau de confidentialité pour chaque client : 1Password ne peut pas savoir quelle fraction des clients a imprimé les kits de récupération, combien les ont utilisés avec succès, ni combien ont perdu leurs mots de passe pour toujours. Les seules données qu’ils obtiennent pour les aider à améliorer la fiabilité de leur processus de récupération proviennent de ce que les utilisateurs offrent volontairement s’ils contactent le support.
Si vous utilisez Chrome avec un compte Google et une authentification à deux facteurs, vous pouvez obtenir dix mots de passe de récupération à usage unique (des numéros à huit chiffres qu’ils appellent des codes de sauvegarde) qui peuvent remplacer l’un de vos deux facteurs . Google vous recommande de les « imprimer ou de les télécharger ». Google stocke également ces codes et donc, contrairement aux mots de passe générés aléatoirement bien gérés, vos codes pourraient être compromis si Google subit une brèche.
Si vous utilisez un secret de récupération imprimé avec Chrome ou 1Password, ou si vous créez le vôtre pour KeePass ou PasswordSafe, vous devrez décider où stocker vos secrets de récupération après les avoir imprimés. Un coffre-fort ou un coffre-fort domestique peut être approprié, surtout si vous en avez déjà un ou si vous en avez besoin de toute façon. Il n’y a aucune raison technique pour laquelle vous ne pourriez pas partager les impressions de vos secrets de récupération avec vos amis. Si vous deviez le faire, vous ne voudriez peut-être pas que la feuille indique à qui elle est destinée, car le fait d’exclure ce fait pourrait constituer une petite défense en cas de vol. Une autre option consiste à donner à deux contacts de confiance la moitié d’un code, ou à trois contacts de confiance les deux tiers de chaque code (de sorte que deux contacts quelconques pourraient vous aider).
Si vous n’aimez aucune des options ci-dessus, vous pourriez imprimer tous vos mots de passe périodiquement ou les écrire. Si vous imprimez, vous compterez sur le fait que votre imprimante est sécurisée et que vous disposez d’une connexion réseau sûre à cette imprimante.
Votre mot de passe principal de courriel doit également faire l’objet d’une attention particulière lors de la planification de votre stratégie de récupération, car de nombreux autres mots de passe peuvent être réinitialisés par courriel. C’est peut-être le mot de passe le plus important à changer pour un mot de passe généré de manière aléatoire, mais c’est aussi celui dont vous aurez le plus besoin si vous perdez l’accès à votre gestionnaire de mots de passe. Si vous changez ce mot de passe, vous devriez envisager de le noter ou de le sauvegarder également.