Les gestionnaires de mots de passe

in #fr6 years ago (edited)

On utilise des mots de passe partout : du déverrouillage de notre cellulaire/ordinateur jusqu’à la connexion à des services professionnels.

Les mots de passe peuvent être divers et variés pour plusieurs raisons : changement de mot de passe, utilisations de plusieurs mots de passe pour augmenter la sécurité, des sites demandant un mot de passe composée de façon spéciale.

À force d’avoir plusieurs mots de passe différents, on commence à s’y perdre et on commence à s’en remettre à des services centralisant ceux-ci : les gestionnaires de mot de passe. Il existe plusieurs types de gestionnaire de mots de passe que nous allons voir ici.

Sans titre-4.png

Le premier gestionnaire de mot de passe : le papier.

Ça peut être bête, mais c’est réellement le premier que l’on utilisait. Qui n’a jamais vu un post-it sur un écran avec login et un mot de passe. Le gros problème étant qu’il n’y a aucun chiffrement : il n’y a aucune sécurité vue que les mots de passe sont en clair.

Avez-vous vu, assez récemment, le reportage de M6 où l’on pouvait apercevoir cette magnifique technique ?

Cette méthode peut-être bien si seulement le mot de passe est stocké dans un endroit sécurisé. N’étant pas sur une machine et ne pouvant pas être diffusé sur Internet aucun « hacker » ne pourra le dérober. Stocker seulement le papier dans un endroit sous verrou.

Le gestionnaire intégré au navigateur

Sur votre navigateur préféré, après une première connexion à un site, vous avez sûrement vu le message de mémorisation des identifiants. Ceci enregistre les informations dans un gestionnaire intégré au navigateur. Rien de très poussé en soit, car les mots de passe sont stockés en clair dans une base de données. Selon le navigateur, il y aura une sécurité plus ou moins minime : l’authentification par mot de passe Windows.


Sur Chrome, à partir de son compte Google, il est possible de télécharger un fichier Excel des mots de passe enregistrés. Il est aussi possible de récupérer les mots passes dans le dossier de Chrome.
Ceux-ci sont extraits des serveurs Google et ça fait assez peur de voir que les mots de passe sont en clair derrière. Une chose à ne pas faire et donc d’enregistrer ses mots de passe, et surtout ceux professionnels, sur un navigateur web.

Les gestionnaires de mot de passe hébergé

Vous avez sûrement entendu parler des gestionnaires de mots de passe tels que DashLane qui font parler d’eux en tant que gestionnaire de mot de passe les plus sécurisé du moment. Grâce à ce point, ils vous vendent une solution, mais pas seulement pour ça. Enfaite, ce sont eux qui hébergent votre gestionnaire de mot de passe.

Dans ces types de gestionnaires, on retrouve : DashLane, LastPass, 1Password, EnPass par exemple.
Pour moi, c’est la pire méthode. Vos différents mots de passe en plus d’être stocké sur un serveur d’une entreprise, il est aussi protégé par un seul mot de passe ce qui est faible malgré que les entreprises se vantent de la force de leur chiffrement sur les données sauvegardées. Aujourd’hui, la double authentification est de plus en plus présente pour améliorer cette sécurité.

Je vous déconseille fortement d’utiliser ces gestionnaires à des fins professionnels, vous partagez des données sensibles avec une autre entreprise / d’autres personnes.

Un autre conseil, c’est d’éviter d’enregistrer ses informations bancaires sur ce genre de plateforme et de résister à la tentation des propositions du logiciel à ce que vous l’enregistrez. N’oubliez pas, qu’à la façon dont OnePlus s’est fait subtiliser des informations bancaires il est probable que quelqu’un opère derrière ce genre de plateformes.

Malgré que certains médias adorent mettre ce genre de plateforme en avant, n’oubliez pas que ce sont des entreprises commerciales qui vous proposent ces produits et qu’ils feront tout pour vous montrer la meilleure image possible de leurs articles, quittent à proposer des opérations sponsorisées pas très honnête.

Le gestionnaire de mot de passe local

Le dernier type de gestionnaire est ceux stocker localement dans un fichier. Pour pouvoir exploiter ces bases de données, il existe des logiciels basés sur du code open source : KeePass. Il existe plusieurs alternatives basées sur KeePass. Pour ma part, j’utilise KeeWeb qui a une interface plus actuelle.
KeePass et ses alternatives, fonctionnent grâce à un fichier.

Capture.PNG

Ce fichier fonctionne telle une base de données et est chiffré en AES. Une double authentification est possible en ajoutant un fichier clé. Tout cela reste en local est n’est donc pas partagé sur un serveur d’une autre entreprise. Enfin, ce sont des fichiers, on peut les stocker où l’on veut.

En entreprise, c’est ce type de gestionnaire de mot de passe qui est conseillé pour les mots de passe professionnelle. Très pratique et pas compliqué à utiliser et assez sécuriser, je trouve que c’est la meilleure solution pour garder ses mots de passe au chaud. Après, il faut faire attention à ne pas perdre les fichiers et les stocker à un endroit sécurisé.

Pour la sécurité la plus optimale sur ce genre de gestionnaire serait de stocker ça sur une machine physique qui n’a aucun accès à Internet et dénué de cartes réseau.


Il existe donc plusieurs gestionnaires de mot de passe et si je dois les classer, je mettrais la feuille de papier et le gestionnaire local en premier. Tout simplement, car les deux restes de notre côté et ne vont pas autre part et de plus, car il est possible de les chiffrer et donc de les rendre plus difficile à exploiter.

Je pourrais bien expliquer les méthodes de chiffrement dans un autre article si besoin.

Je me répète sûrement, mais je pense que les gestionnaires de mot de passe hébergé sont la mauvaise solution. A ce moment, on peut d’ores et déjà dire que nos mots de passe nous appartiennent plus.

De plus, je trouve ça regrettable de payer un service qu’on retrouve gratuitement et en plus sécurisé. Enfin, cet article vient seulement mettre en lumière les différents types de gestionnaire de mot de passe. On connaît surtout le second que j’ai cité, à cause de la pub faite en masse dessus.

À vous de jouer !

Images :

Coffre Fort - Pixabay
Captures d'écran - Moi

Sort:  

Pour ma part, j'utilise Bitwarden depuis plusieurs mois, c'est un gestionnaire de mots de passe open-source qui permet de synchroniser les mots de passes entre plusieurs appareils depuis leur site, extension chrome, ou app mobile. Il permet aussi de ne pas stocker ses mots de passe sur leur serveurs et de les mettres sur un NAS pour y avoir accès via un cloud hébergé chez nous.

Je vais regarder ça de plus prêt je te ferais un retour dessus :')

A propos de ton article sur la photo, je tiens à te féliciter; personne n'est rentré aussi loin dans le fonctionnement d'un appareil photo à ma connaissance dans un but de vulgarisation.

Par contre cela fait 2 semaine que je bosse sur un guide complet photo/vidéo pour le mettre sur steemit. Il sera sous forme vidéo, c'est pour cela que ça me prend un temps fou. Je tenais à te le dire histoire qu'on ne fasse pas doublons. Comme tu l'as peut-être vu sur mon second compte, @slashformotion , je fais pas mal de photo, je cherche" un peu mon style en ce moment. Je fais également de la vidéo, sur ce compte ci principalement.

Merci pour cet article vraiment très éclairant! Tu viens de me confirmer que ma petite méthode "mémo" sur le coin de mon bureau n'est pas si mauvaise que ça! Lol (sauf pour les données bancaires, mais là, c'est autre chose! :P)

Sa dépend quel bureau :P Sur celui de l'entreprise c'est moins sécuritaire : un employé, une personne de la maintenance etc peuvent rentrée et voir tes mot de passes. Par contre chez toi y a moins de risque c'est sur :P

Effectivement... y'a une différence! Sans que ce soit sur un "post-it" au vu et au su de tous, y'a moyen de les écrire et de la garder à portée de main de façon plus discrète... même au boulot! :P

Y a toujours moyen d'améliorer la sécurité :) Mais y a toujours moyen de les contourner :)