Au fil des années, les nouvelles technologies ont menacé de faire disparaître les mots de passe, mais aucune n’y est parvenue jusqu’à présent. La plupart des utilisateurs sont donc confrontés à un problème.
Les mots de passe constituent un risque potentiel pour la sécurité, ce qui est particulièrement grave lorsque l’on sait qu’ils protègent l’accès à votre messagerie et vos réseaux sociaux, vos comptes de streaming et de mise en relation avec des chauffeurs, etc. Ajoutez à cela le fait que de nombreuses personnes n’utilisent pas l’authentification à deux facteurs, même sur leurs comptes en ligne les plus précieux.
Par conséquent, lorsque des pirates informatiques parviennent à s’emparer de ces identifiants, ils peuvent accéder à un ensemble de données personnelles et de cartes bancaires stockées. Un important marché noir s’est développé pour monétiser les identifiants de connexion à des comptes personnels.
La bonne nouvelle, c’est que les gestionnaires de mots de passe offrent un moyen de pallier la faiblesse des mots de passe statiques et la façon peu sûre dont beaucoup d’entre nous les utilisent. Mais tous ces services ne sont pas égaux. L’essentiel est de trouver un fournisseur digne de confiance qui propose la bonne combinaison de fonctionnalités adaptée à votre entreprise.
Pourquoi les mots de passe robustes sont importants
Pourquoi les mots de passe représentent-ils un risque pour la sécurité ? Parce qu’ils peuvent être compromis de multiples façons. Ils pourraient être :
- Volés à des entreprises avec lesquelles vous faites des affaires, dans le cadre de fuites de données à grande échelle
- Obtenus auprès de vous via des attaques d’hameçonnage menées par des escrocs se faisant passer pour votre société, votre banque, votre fournisseur d’accès à Internet, etc.
- Déterminés par un logiciel automatisé d’attaque par « force brute » qui essaie des combinaisons d’identifiants couramment utilisés. Une récente étude a révélé que le mot « password » reste l’identifiant le plus populaire, suivi de « 123456 ». La plupart des 10 premiers peuvent être devinés en moins d’une seconde
Une fois volés, les mots de passe sont échangés sur le dark web, où ils sont souvent achetés en volume avec des noms d’utilisateur. Un rapport de 2022 a révélé que 24 milliards de ces combinaisons circulaient sur les marchés de la cybercriminalité, soit une augmentation de 65 % par rapport à 2020. Les pirates introduisent souvent ces identifiants volés dans des outils de « credential stuffing » (bourrage d’identifiants), afin de vérifier si un même mot de passe a été réutilisé sur plusieurs sites web et applications. Lorsque c’est le cas, les pirates auront donc accès à plusieurs de vos comptes.
Il est donc plus important que jamais d’utiliser des mots de passe uniques et robustes pour tous vos sites web, applications et comptes en ligne. Un gestionnaire de mots de passe constitue donc une excellente solution.
Que rechercher dans un gestionnaire de mots de passe ?
Les gestionnaires de mots de passe sont des applications conçues pour stocker tous vos mots de passe en lieu sûr. Le logiciel ne vous demande qu’un seul mot de passe principal, c’est tout ce qu’il faut retenir. Tout le reste est automatiquement géré par l’application, y compris la génération et le renseignement automatique de mots de passe longs et uniques pour chaque site.
Il existe bien sûr différentes options sur le marché. Voici quelques caractéristiques à rechercher pour vous aider à affiner votre recherche :
1. Des coffres-forts à mot de passe protégés par un puissant chiffrement. Cela signifie que même si le prestataire de gestion des mots de passe est piraté, les agresseurs ne seront pas en mesure d’obtenir les identifiants de ses clients. Le chiffrement AES 256 bits est la norme.
2. Un puissant générateur de mot de passe conçu pour suggérer de longues chaînes complexes et aléatoires de chiffres, de lettres et de symboles pour chaque mot de passe. Cela signifie qu’il n’y a pratiquement aucune chance qu’un pirate informatique puisse forcer votre mot de passe. Pour vous donner une idée de ce que nous avons en tête, vous pouvez essayer le générateur de mots de passe d’ESET.
3. Prise en charge multiplateforme et multi navigateur. Les gestionnaires de mots de passe ne sont utiles que s’ils se souviennent de vos mots de passe sur vos applications et sites web préférés. S’ils ne les prennent pas en charge, vous risquez de vous retrouver à la case départ, contraint d’utiliser des identifiants faciles à mémoriser. De même, le gestionnaire de mots de passe sera nettement plus facile à utiliser s’il est capable d’importer des identifiants à partir de navigateurs et d’autres gestionnaires de mots de passe.
4. Renseignement/identification automatique. L’une des caractéristiques les plus importantes d’un gestionnaire de mots de passe est sa capacité à renseigner automatiquement le mot de passe robuste et complexe attribué à chaque compte, une fois que vous avez saisi le mot de passe principal. Si ce n’est pas le cas, l’expérience utilisateur sera fortement dégradée.
5. Déconnexion à distance. Renforce la sécurité et la confidentialité en vous permettant de vous déconnecter à distance de vos comptes, d’effacer l’historique de navigation et les cookies, et de fermer à distance tous les onglets ouverts.
6. Intégration de l’authentification à deux facteurs (2FA). Bien que les gestionnaires de mots de passe soient importants, la 2FA est la norme de gestion des identités et des accès. Elle exige un second « facteur » en plus du mot de passe, tel que la reconnaissance faciale ou un code d’accès à usage unique. Un gestionnaire de mots de passe qui s’intègre à des applications de 2FA tierces populaires telles que Google Authenticator permettra de faciliter l’utilisation.
7. Fonction de réinitialisation du mot de passe principal. Disposer d’un mot de passe principal est une bonne chose. Mais que se passe-t-il si vous l’oubliez ? S’il n’y a pas de fonction de réinitialisation, tous vos mots de passe seront enfermés dans un coffre-fort numérique que vous ne pourrez pas ouvrir.
8. Un fournisseur digne de confiance. Il ne s’agit pas tant d’une caractéristique que d’un élément à garder à l’esprit lors de vos recherches. Si l’entreprise de gestion des mots de passe est victime d’une intrusion, tous vos mots de passe pourraient être compromis. Un fournisseur populaire a récemment été victime d’un incident de sécurité majeur qui a exposé les mots de passe chiffrés de ses clients, ce qui a incité les utilisateurs à changer de fournisseur.
9. Les rapports de sécurité peuvent vous aider à améliorer continuellement la sécurité de vos mots de passe en vous indiquant ceux qui sont trop faibles.
10. Stockage local ou dans le Cloud ? Cette question peut s’avérer un peu difficile et nécessiter la prise en compte de votre propre situation. Le stockage dans un coffre-fort local vous offre souvent un meilleur contrôle et une meilleure sécurité, mais les appareils peuvent être volés, égarés ou piratés, et les disques durs peuvent tombent en panne. Une option centralisée dans le Cloud peut alors s’avérer plus pratique, mais elle présente potentiellement ses propres inconvénients, notamment celui de vous obliger à faire confiance à votre prestataire de services. Il existe également une troisième option : un coffre-fort qui utilise une base de données locale, mais qui est stocké dans votre compte en ligne auprès d’un grand prestataire de services en ligne en qui vous avez confiance. En fin de compte, la sécurité de vos mots de passe dépend d’un chiffrement fort (point 1) et de la posture de cybersécurité.
Il est important de rappeler les limites des gestionnaires de mots de passe, ou en fait, des mots de passe en tant que tels. Un mot de passe ne représente qu’une seule ligne de défense et peut ne pas suffire à éloigner les criminels. Par conséquent (et nous n’insisterons jamais assez sur ce point), combinez vos mots de passe avec la 2FA afin d'optimiser vos chances de tenir les pirates à distance.