Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

La prévention des risques

Правила гигиены

D'autres publications de cette rubrique (76)
  • Ajouter aux favoris
    Ajouter aux favoris

Comment choisir un gestionnaire de mots de passe

Lu par: 1250 Commentaires: 0 Cote de popularité: 0

jeudi 11 janvier 2024

Les mots de passe sont utilisés pour authentifier les utilisateurs depuis l'aube de l'ère informatique. Avec le développement d'Internet et l'augmentation progressive des exigences de sécurité numérique, d'autres méthodes de contrôle d'accès ont commencé à être utilisées, telles que l'authentification à deux facteurs et par SMS, les jetons, la reconnaissance biométrique et d'autres technologies. Dans le même temps, les mots de passe restent aujourd'hui l'un des moyens standard de protection des accès et des informations.

Le concept même d'utilisation d'un mot de passe implique la présence d'une vulnérabilité fondamentale : un mot de passe peut être « cracké ». Les utilisateurs utilisent souvent des mots de passe identiques pour se connecter à différents systèmes et services, et (trop) souvent, des mots de passe (trop) simples. Les cybercriminels l’ont compris depuis longtemps. De plus, ils utilisent des techniques d’ingénierie sociale pour tromper l’internaute, qui va, de fait, littéralement donner son mot de passe sans se méfier, se croyant sur une page officielle d’un quelconque service. Pourtant, un mot de passe long, complexe, unique et périodiquement mis à jour sera dans la plupart des cas un obstacle très difficile à surmonter pour un attaquant. Reste qu’un très grand nombre de personnes ne peut ou ne souhaite retenir plusieurs mots de passe dits « forts » et encore moins les changer régulièrement.

Existe-t-il une solution pour organiser et stocker des mots de passe compliqués ? Dans cette publication du projet Lumières sur la sécurité, nous allons parler des logiciels spécialisés dits gestionnaires de mots de passe.

Pourquoi avez-vous besoin de mots de passe complexes ?

Rappelons l'une des règles d'or de la sécurité : un bon mot de passe doit être long, unique, combiner différents types de caractères, et il doit être mis à jour périodiquement. Avec la longueur, tout est simple : plus il y a de caractères dans code, plus il est difficile de le pirater par force brute. De plus, la complexité de la mise en correspondance en cas de piratage par force brute dépend du nombre de caractères et croît de manière non linéaire. Un rôle tout aussi important est joué par l’ensemble de caractères constituant un mot de passe. Plus il est varié, plus le mot de passe lui-même peut être court tout en maintenant le niveau de persistance. Par exemple, la puissance informatique moderne vous permet de choisir une combinaison de 5 à 6 caractères presque instantanément. Dans le même temps, cela pourrait prendre des milliers d'années en théorie pour calculer un mot de passe composé de 12 à 15 caractères alphanumériques. Un tel mot de passe est difficile à deviner, car il contient des mots ou une séquence de caractères absolument aléatoires. Dans ce cas, il est plus facile pour un attaquant potentiel d'obtenir le mot de passe d'une autre manière — par exemple, le voler ou tromper l'utilisateur en le poussant à saisir le mot de passe lui-même. Il est important de comprendre que si vous utilisez le même mot de passe partout, sa compromission dans un système met automatiquement en danger le reste des comptes protégés par le même mot de passe. Par conséquent, des combinaisons uniques doivent être utilisées dans la mesure du possible. Enfin, même un mot de passe fort et unique peut être compromis par une fuite, l’activité d'un logiciel malveillant, une attaque réseau ou de phishing. Ainsi, même un bon mot de passe doit être périodiquement remplacé par un mot de passe d'une complexité comparable.

Une question juste se pose : comment se souvenir d'un ou de plusieurs mots de passe complexes ? N'oublions pas que cette liste doit être mise à jour régulièrement. Les analystes de la sécurité publient d'année en année les mêmes statistiques sur les mots de passe piratés, où vous trouverez toujours « qwerty123 », « Password1 », « admin321 », etc.

Mais que se passe-t-il si vous stockez des mots de passe forts localement, par exemple dans un fichier txt ? Cette approche présente des inconvénients importants. Tout d'abord, dans ce cas, tous les mots de passe sont stockés en un seul endroit sous une forme claire — ce qui signifie qu'en accédant à un fichier texte de manière numérique ou en accédant physiquement à la machine, un attaquant potentiel obtiendra immédiatement tous vos secrets.

Peut-être serait-il pratique d'archiver le fichier, en le protégeant lui-même avec un autre mot de passe ? Maintenant, pour consulter tous les mots de passe, vous devez entrer le mot de passe principal (master), le seul dont vous devrez vous souvenir. Nous venons d'inventer un gestionnaire de mots de passe le plus simple et le plus primitif. Cependant, c'est sur ce principe de base que la plupart des logiciels similaires fonctionnent. Bien sûr, il est beaucoup plus facile de les utiliser que d'utiliser une archive cryptée.

Avant de passer directement aux gestionnaires de mots de passe, revenons à la règle d'or de la sécurité : ne pas se fier uniquement aux mots de passe. La paire login-mot de passe est utilisée pour l'authentification à un facteur, qui dans les réalités modernes ne fournit parfois pas le bon niveau de sécurité. Nous vous recommandons d'activer l'authentification à deux facteurs dans la mesure du possible et de prêter attention à la sécurité de l'appareil utilisé comme deuxième facteur pour vous connecter à un système ou service.

Qu'est-ce qu'un gestionnaire de mots de passe et comment en choisir un ?

Un gestionnaire de mots de passe est un programme spécialisé pour stocker, organiser, utiliser et protéger facilement vos mots de passe et autres combinaisons secrètes. Bien sûr, tout le monde peut identifier les risques, développer une politique de mot de passe personnelle et son propre algorithme pour se souvenir de mots de passe complexes et sécurisés et se passer d'un gestionnaire. Un gestionnaire de mots de passe n'est pas une panacée, mais il peut aider les utilisateurs qui ont décidé de travailler avec des mots de passe en conscience à ne pas se surcharger la tête et à conserver la commodité et la rapidité de la connexion à divers sites et systèmes.

Il existe de nombreux produits différents de ce type, payants ou gratuits. Comment choisir la bonne solution ? Dans cet article, nous ne recommanderons pas de produits spécifiques, mais nous vous aiderons à déterminer certains critères pour mieux faire un choix.

Voici quelques points communs à prendre en compte :

  1. Type de mise en place : service cloud, programme sur site ou solution client-serveur.
  2. Ouverture du code source.
  3. Mise en œuvre technique.
  4. Possibilités d'intégration dans les navigateurs.
  5. Compatibilité avec différentes plateformes.
  6. Possibilité d'importer et d'exporter des mots de passe, ainsi que de synchroniser entre les appareils.
  7. Possibilité de différenciation des droits et des niveaux d'accès.
  8. Prise en charge de l'authentification à deux facteurs et des codes à usage unique.
  9. Interface d'utilisateur conviviale.

Penchons-nous sur chaque point plus en détail. Les gestionnaires de mots de passe pour les particuliers sont divisés en deux grands groupes : les services cloud et les programmes isolés locaux. Les solutions cloud vous fournissent une application client ou une extension de navigateur pour la gestion, avec tous vos mots de passe stockés sur le serveur du développeur sous forme cryptée. À première vue, le stockage cloud semble pratique, mais il y a un bémol, qui est que vous ne pouvez pas vérifier la sécurité de vos mots de passe pendant le stockage et la transmission sur Internet, ni s'ils sont transmis à des tiers ou aux employés du développeur. Par exemple, un attaquant peut pirater votre compte dans un tel service et accéder à tous les mots de passe à la fois. Les cybercriminels peuvent également attaquer une entreprise et compromettre le code source, les données des clients ou même une base de données avec des mots de passe. Hélas, l'histoire connaît de tels précédents. Il s’agit ici de la confiance que vous mettez dans l'opérateur de services cloud. Par conséquent, lorsque vous choisissez une solution en ligne, vous devez évaluer les risques.

Les gestionnaires de mots de passe locaux fonctionnent différemment. Le programme est installé sur l'ordinateur local (bien qu'il existe des versions portables) et tous les mots de passe sont stockés dans l'appareil lui-même sous forme cryptée. Dans cette méthode, les mots de passe ne sont pas transmis à des serveurs tiers. Pour le chiffrement et l'accès aux informations, un mot de passe master ou un fichier clé est utilisé, qui doit être suffisamment résistant, car la sécurité de tous les autres mots de passe dépendra de leur sécurité.

Un autre critère de sélection est l'ouverture du code source. Un logiciel source fermé ne vous permet pas de vérifier indépendamment le code contre les erreurs, les vulnérabilités et les portes dérobées. Les détails de la mise en œuvre sont également inconnus, ce qui signifie que vous devez croire le développeur du produit sur parole. Néanmoins, il n'est pas si important pour un utilisateur ordinaire que le code source du programme soit ouvert ou fermé. Les logiciels open source sont faits pour les passionnés et les utilisateurs aguerris, si vous le souhaitez, vous pouvez rechercher des études pertinentes sur le programme sélectionné. Si vous vous assurez ainsi qu'il est fiable, vous pouvez choisir un gestionnaire de mots de passe open source. Aussi, la possibilité technique d'affiner une solution particulière parle en faveur de l'open source. Cela peut être un critère important si vous choisissez un gestionnaire de mots de passe pour une entreprise.

Les solutions client-serveur sont principalement conçues pour une utilisation en entreprise. Dans ce cas, le serveur est configuré dans le réseau d'entreprise, et les applications clientes sont configurées sur les appareils des employés. L'ouverture du code source dans ce cas est plus importante, notamment en ce qui concerne les logiciels clients. Les caractéristiques distinctives de ces gestionnaires de mots de passe, en plus de l'architecture elle-même, sont la possibilité de configurer de manière flexible les niveaux d'accès et l'intégration avec les protocoles d'accès aux répertoires standard.

Le niveau de mise en œuvre technique est responsable de la fiabilité, de la sécurité et, en général, de la qualité du programme. Il existe un certain nombre de vulnérabilités que les attaquants peuvent utiliser pour intercepter les mots de passe. Par exemple, il s'agit de la possibilité de récupérer un mot de passe de la RAM. Le gestionnaire peut également utiliser un générateur de mot de passe mal implémenté ou un algorithme de cryptage vulnérable. Il n'y a aucun moyen pour un utilisateur non formé de le vérifier, mais le code source ouvert et l'attention des chercheurs permettent de faire connaître de tels problèmes, ainsi que de publier les améliorations nécessaires. Par conséquent, avant de choisir un gestionnaire de mots de passe, vous devez étudier les documents et publications disponibles sur Internet.

Le générateur de mots de passe est une autre fonctionnalité dont disposent tous les gestionnaires de qualité. Le générateur vous permet de créer un mot de passe aléatoire. C'est pratique, mais l'algorithme de génération doit être fiable afin que les logiciels malveillants spéciaux ne tirent pas parti de la vulnérabilité d'un gestionnaire de mots de passe et ne déchiffrent pas la combinaison générée. Les programmes éprouvés et soutenus par les développeurs avec des mises à jour régulières sont la meilleure solution pour ceux qui se soucient vraiment de la sécurité de leurs données.

Quant aux autres critères énumérés ci-dessus, ils rendent tous les gestionnaires de mots de passe plus fonctionnels et pratiques mais ils n'ont aucun sens sans un niveau approprié de mise en œuvre technique et de sécurité. Les gestionnaires de cloud sont destinés à fonctionner avec des pages Web, de sorte que chacun d'entre eux doit fonctionner correctement dans tous les navigateurs. En ce qui concerne les solutions locales, la plupart d'entre elles prennent en charge le travail avec les navigateurs à l'aide de plug-ins. Notez que toute extension tierce est une faille de sécurité potentielle, la meilleure solution serait donc d'utiliser uniquement des plugins officiels ou éprouvés par les développeurs. En règle générale, ils peuvent être trouvés sur le site officiel du programme lui-même.

Certains gestionnaires de mots de passe sont tout à fait capables de vous protéger contre le phishing. Ainsi, lorsqu'un utilisateur accède à une fausse page Web avec un formulaire d'autorisation, le gestionnaire de mots de passe ne mettra pas automatiquement des données d'authentification, car techniquement, une telle page ne correspondra pas à celle d'origine. C'est une fonctionnalité utile, mais nous ne recommandons pas de compter uniquement sur elle.

La compatibilité avec différentes plateformes permet au programme de fonctionner sur différents appareils. Si vous devez accéder à la base de données du gestionnaire de mots de passe à partir de votre ordinateur et de votre smartphone, choisissez un programme doté des fonctionnalités appropriées. La possibilité de synchroniser les mots de passe entre les appareils peut également être utile, bien que toute synchronisation implique le transfert d'une base de données cryptée sur un réseau. La synchronisation dans le gestionnaire local peut être configurée manuellement — en plaçant une base de données cryptée dans le cloud pour y accéder ultérieurement à partir de divers appareils. Rappelez-vous que sans un mot de passe principal (master) ou un fichier clé, il ne sera pas possible d'obtenir des mots de passe à partir d'une base de données cryptée, donc, avec une certaine réserve, une telle solution peut être appelée sûre.

Certains gestionnaires de mots de passe prennent en charge l'authentification à deux facteurs pour plus de sécurité. Par exemple, le programme peut être configuré de sorte que lorsque vous essayez d'accéder à des enregistrements cryptés, non seulement le mot de passe principal est demandé, mais également un fichier clé qui peut être stocké sur un lecteur amovible. Cette approche permettra de sécuriser les codes même si le mot de passe master est compromis. Les solutions cloud prennent également en charge l'authentification à deux facteurs pour accéder à votre compte. A part cela, il existe des gestionnaires de mots de passe qui peuvent générer des codes à usage unique pour l'autorisation dans les systèmes avec une authentification à deux facteurs configurée. Cette fonctionnalité peut être présente initialement ou ajoutée en installant des plugins.

Enfin, pour ce qui est de l'interface, c'est une question d'habitude et de goût. L'essentiel est que le produit soit fonctionnel. Nous noterons seulement que des fonctionnalités riches et une grande fiabilité ne coexistent pas toujours avec une belle interface graphique — et vice versa. Les solutions open source gratuites peuvent également effrayer les nouveaux arrivants avec une apparence discrète ou un design archaïque. Cependant, lorsqu'il s'agit de la sécurité de presque toutes les données numériques, nous devrions nous concentrer sur des critères plus importants, dont nous avons discuté ci-dessus.

À propos de l'enregistrement des mots de passe dans les navigateurs

La possibilité d'enregistrer des mots de passe dans les navigateurs est parfois considérée comme un gestionnaire de mots de passe intégré. Cependant, cette fonctionnalité est plus un moyen d'augmenter la vitesse et la commodité du travail qu'une solution à part entière conçue pour protéger les données. Tout d'abord, les mots de passe stockés de cette manière sont particulièrement vulnérables aux logiciels malveillants qui se spécialisent dans le vol d'informations d'identification des navigateurs. Deuxièmement, il existe un risque potentiel d'accès physique. Par défaut, dans ce cas, les mots de passe ne sont protégés que par le compte utilisateur. Dans ce cas, si un appareil est perdu et qu’il est déverrouillé, tous les mots de passe stockés seront ouverts. De plus, les pirates peuvent voler le compte lui-même dans le navigateur.

Est-ce que la situation est si grave que ça ? Avec une attitude négligente et si vous sauvegardez ainsi les mots de passe pour tout ce dont vous avez besoin — plutôt, oui. Mais cette option a également le droit à la vie, si vous l'utilisez à bon escient - par exemple, n'enregistrez que les mots de passe des sites où vous n'avez pas indiqué de données personnelles ou autres données importantes.

Points faibles des gestionnaires de mots de passe

« Un porte-clés est une très petite chose qui peut vous faire perdre toutes les clés à la fois. » Une telle phrase explique le principal inconvénient des gestionnaires de mots de passe. Le porte-clés dans ce cas est votre mot de passe principal. Si un mot de passe principal, un fichier clé ou un compte cloud est perdu ou compromis, tous les mots de passe stockés sont plus susceptibles d'être perdus ou volés. Pour éviter que cela ne se produise, le mot de passe principal doit être long, complexe, unique et en même temps mémorisable pour vous personnellement.

Comme tout logiciel, les gestionnaires de mots de passe peuvent être attaqués par des pirates ou des logiciels malveillants. Les éventuelles vulnérabilités, les attaques contre l'infrastructure du développeur, les mises à jour frauduleuses, l'utilisation d'enregistreurs de frappe — tout cela constitue une menace directe pour la sécurité des utilisateurs finaux.

Enfin, l'utilisation d'un gestionnaire de mots de passe peut créer un faux sentiment de sécurité. Il est recommandé de ne pas les considérer comme une panacée, mais comme un outil pratique qui vous permet d'organiser vos mots de passe et de compliquer la vie des pirates potentiels. L'utilisation efficace de ces logiciels nécessite une approche consciente de la sécurité et le respect des règles d'hygiène numérique.

Le projet Lumières sur la sécurité recommande

  1. C'est à vous de décider d'utiliser ou non un gestionnaire de mots de passe. Nous vous recommandons de commencer par analyser vos mots de passe en tenant compte des informations contenues dans cet article. Utilisez-vous les mêmes mots de passe ou des mots de passe similaires sur plusieurs sites ? Combien de mots de passe devriez-vous garder à l'esprit s’ils étaient tous différents ? Si vous comprenez qu'un gestionnaire de mots de passe peut vraiment améliorer la sécurité et la commodité dans votre cas, essayez de vous familiariser avec ce logiciel.
  2. Pour commencer, vous pouvez choisir un gestionnaire local avec du code open source, l'avantage est que ces solutions sont gratuites. Les services cloud commerciaux peuvent gagner en fonctionnalité, mais dans ce cas, vous devez faire entièrement confiance à l'opérateur. Dans tous les cas, lors du choix d'un produit, nous vous recommandons de rechercher des informations à ce sujet sur Internet.
  3. N'oubliez pas que le mot de passe seul n'est pas la meilleure protection. Activez l'authentification à deux facteurs pour protéger les données sur les sites et services importants. N'oubliez pas la protection du deuxième appareil, qui reçoit un code à usage unique.
  4. Téléchargez toujours le programme uniquement sur le site officiel du développeur. Cette recommandation est pertinente pour tout logiciel, mais elle est d'une importance primordiale pour un gestionnaire de mots de passe.
  5. Si vous avez configuré un gestionnaire de mots de passe, définissez un mot de passe master extrêmement fort. Configurez un rappel de mot de passe master dans le programme, s'il existe une telle fonction. Cela vous aidera à vous en souvenir afin que vous puissiez désactiver le rappel. N'oubliez pas que la perte du mot de passe principal rend l'ensemble de la base de données inutile.
  6. Lorsque vous commencez à utiliser le gestionnaire, modifiez tous les mots de passe. Cela peut prendre beaucoup de temps, mais vous saurez avec certitude que vos nouveaux mots de passe ne sont pas compromis.
  7. N'oubliez pas de sauvegarder la base de données avec des mots de passe.
  8. Si vous pensez que le gestionnaire manque de fonctionnalités, recherchez des extensions sur le site officiel du programme. Gardez cependant à l'esprit que les extensions peuvent également être vulnérables.
  9. Faites attention à la protection de l'ordinateur lui-même et assurez-vous d'utiliser un antivirus fiable. Aucun gestionnaire de mots de passe ne fonctionnera en toute sécurité sur un système infecté.

#navigateur #piratage #authentification_a_deux_facteurs #protection_contre_perte_de_données #technologies_Cloud #mot_de_passe #données_personnelles #remplacement_de_pages #vulnérabilité

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.