Utiliser le même mot de passe pour plusieurs comptes (messagerie, réseaux sociaux, services en lignes, comptes bancaires…), voici l'erreur à ne surtout pas commettre. Pour palier ce problème, une des solutions consiste à utiliser un coffre fort numérique afin de stocker ses mots de passe ainsi que d'autres informations sensibles. Cela permet de stocker tous ses passwords dans un coffre fort inviolable et de ne retenir que sa combinaison, aussi appelée mot de passe maître.
Les gestionnaires de mots de passe sont légion. Pas facile ainsi de s'y retrouver lorsqu'on cherche un bon coffre fort simple, efficace et sécurisé. Entre les gestionnaires des navigateurs web, les services en ligne, les applications pour smartphone, les logiciels de bureau… Il n'est pas évident de trouver le gestionnaire de mots de passe qui correspond à ses besoins.
Comment choisir son mot de passe ?
Il n'existe pas de « recette » permettant de sécuriser à 100% un mot de passe, mais des conseils simples suffisent pour en obtenir un solide et sécurisé :
- Choisir un mot de passe d'une longueur minimum de 8 caractères (14, voire 20 idéalement).
- Utiliser toutes les possibilités du clavier : Combiner des lettres minuscules, majuscules, chiffres, symboles et signes diacritiques (^,¨,$,!,#/, etc.).
- Éviter d'utiliser votre nom, prénom, date de naissance, code postal… ou toute autre information pouvant faciliter le déchiffrage de votre mot de passe.
Afin de générer facilement un mot de passe fort et sécurisé, il est conseiller d'utiliser un générateur de mot de passe tel que celui-ci (ou celui intégré à votre gestionnaire de mots de passe) ou en tapant simplement openssl rand -base64 20 (modifier le dernier chiffre pour changer la longueur du mot de passe) dans le terminal. Pour vérifier la force de votre mot de passe, vous pouvez utiliser un service tel que celui-ci.
Les gestionnaire de mots de passe
Par souci d'éthique, de sécurité et de respect de la vie privée de utilisateurs, je ne vais lister ici que des gestionnaires de mots de passe gratuits et open source. Il existe bien sûr de nombreuses autres alternatives telles que LastPass, 1Password, Dashlane, RoboForm ou Enpass, pour ne citer que les plus connues, mais je vous invite à lire mon (court) article sur l'open source et la cubersécurité afin de comprendre pourquoi je souhaite privilégier l'utilisation et la démocratisation de logiciels et services libres.
pass est un gestionnaire de mots de passe standard pour les systèmes Unix.
KeePass est un gestionnaire de mots de passe open source (publié sous licence GPL v2 ou ultérieure), qui sauvegarde les mots de passe dans un fichier chiffré appelé « base de données ».
KeePassX est une application multiplate-forme libre (distribuée sous licence GPL) qui centralise la gestion de vos mots de passe personnels. Il est utile pour gérer les sécurités relatives à des informations personnelles (nom, mot de passe, URL, commentaires, etc.).
KeeWeb est un gestionnaire de mots de passe multiplate-forme gratuit et open source compatible avec KeePass et KeePassX. L'interface est soignée et il utilise une version web ainsi que de nombreuses extensions pour les principaux navigateurs web.
MacPass est un client KeePass/KeePassX pour macOS.
Master Password est un algorithme conçu par Maarten Billemont afin de créer des mots de passe uniques de manière reproductible. Il diffère des gestionnaires de mot de passe traditionnels car les mots de passe ne sont pas stockés sur le disque dur ou dans le cloud, mais sont recréés à chaque fois en utilisant les informations entrées par l'utilisateur (le nom complet, le mot de passe principal et un nom unique pour le service auquel le mot de passe est destiné). En ne stockant pas les mots de passe n'importe où, cette approche tente de rendre plus difficile pour les attaquants de les voler ou de les intercepter. Il supprime également la nécessité de synchronisation entre les périphériques et les sauvegardes de bases de données.
SiperOak Encryptr est un gestionnaire de mots de passe gratuit, privé et sécurisé. Il est uniquement accessible par l'utilisateur et le cloud zero knowledge de SpiderOak (pour la synchronisation).
Less Pass est un gestionnaire de mots de passe open source utilisable en ligne ou avec les navigateurs web Firefox et Chrome. L’astuce de LessPass réside dans le calcul de mots de passe plutôt que dans la génération aléatoire et le stockage. LessPass génère des mots de passe uniques pour les sites web, comptes de messagerie… à partir d’un mot de passe fort et d’informations connues de vous. LessPass ne sauvegarde ainsi pas vos mots de passe dans une base de données et n'a pas besoin de synchroniser vos appareils entre eux (à la manière de Master Password que j'ai évoqué un peu plus haut).
KeePassDroid est une implémentation de KeePass pour Android.
Android Password Store est un gestionnaire de mots de passe compatible avec pass. Les mots de passe sont stockés dans des fichiers texte simples qui sont chiffrés avec OpenPGP.
Keepass2Android est une application open-source de gestion de mots de passe pour Android. Elle utilise les fichiers .kdbx du logiciel KeePass 2.x Password Safe, reconnu sous Windows ainsi que d'autres OS.
L'interface est basée sur Keepassdroid, porté de Java vers Mono pour Android. Le logiciel utilise les librairies originales de KeePass pour gérer les fichiers afin d'assurer la compatibilité des formats de fichiers.
Padlock est un gestionnaire de mots de passe simple et minimaliste compatible avec Windows, macOS, Linux, iOS et Android.
Les mots de passe sont partout. Nous avons besoin d'eux pour accéder à nos appareils, nos comptes de courrier électronique et tout un tas d'autres services sur lesquels nous comptons au quotidien. Malheureusement, les mots de passe sont difficiles à retenir et la multiplicité croissante des services rend pratiquement impossible de garder une trace de toutes nos données d'identification. La plupart des gens essaient d'atténuer cela en composant leurs mots de passe à partir d'informations familières telles que des noms ou des dates d'anniversaires, mais ceux-ci peuvent être devinés facilement et ne fournissent donc pas une protection suffisante. La réutilisation d'un même mot de passe — pratique également très largement répandue — est encore plus dangereuse et facilite grandement le travail des pirates, des organisations ou des gouvernements. Les gestionnaires de mots de passe vous aident à garder une trace de vos différents mots de passe en fournissant un stockage sécurisé (chiffrement AES par exemple) protégé par un mot de passe unique. Reste à bien choisir ce mot de passe maître afin qu'il soit suffisament compliqué pour ne pas être deviné mais pas trop non plus pour ne pas être oublié.