25 mars 2019 | Autres tests
  • Partager :

Mots de passe sûrs – rien de plus facile !

Tout le monde peut utiliser des mots de passe sûrs – c’est très facile. Et si l’on ne peut mémoriser qu’un seul mot de passe complexe, mieux vaut l’utiliser comme gestionnaire de mots de passe qui conservera tous les autres !

Mots de passe sûrs

– rien de plus facile !

zoom

Les statistiques révèlent comment la plupart des utilisateurs se servent des mots de passe : plus de 50 % d’entre eux indiquent qu’ils mémorisent les mots de passe de tête. Malheureusement, dans ce cas, la plupart des mots de passe sont structurés de manière assez simple et utilisés sous une forme identique pour de nombreux services. Seul un utilisateur sur dix utilise un gestionnaire de mots de passe qui les conserve en toute sécurité. Alors comment faire ?

Choisir les mots de passe en fonction de leur utilisation

Une chose est claire : pour accéder à vos services, utilisez toujours des mots de passe générés de manière numérique, tout en réfléchissant à l’usage que vous faites de votre mot de passe.

Le mot de passe « peu importe » : il est utilisé pour accéder à des forums ou à des services qui ne requièrent pas d’informations sensibles, telles que les données de cartes de crédit. Pour un accès rapide et utilisé conjointement avec un gestionnaire de mots de passe, nous recommandons dans ce cas un navigateur comme Chrome, Firefox & Co. Le nouveau navigateur Chrome p. ex. reconnaît lorsqu’une interface demande à l’utilisateur de définir un mot de passe. En cliquant sur le bouton droit de la souris, Chrome propose un mot de passe à l’utilisateur. Si on sélectionne ce mot de passe, Google Chrome mémorise toutes les données d’accès y compris le mot de passe. Si les utilisateurs sont connectés sur Chrome avec un compte Google, l’accès mémorisé est alors disponible sur tous les appareils avec Chrome et le compte Google. L’inconvénient : si un tiers a accès à un appareil, il peut lire tous les mots de passe dans les paramètres de Chrome et même les exporter. Malheureusement, il n’existe pas de mot de passe principal. C'est pourquoi : Chrome offre une aide simple, mais ce n’est pas un véritable gestionnaire ni un coffre-fort de mots de passe !

Le gestionnaire de mots de passe pour un mot de passe sûr

Il est impossible de mémoriser des mots de passe sûrs et efficaces pour tout : boutiques, services et comptes de réseaux sociaux. Ceci ne fonctionne qu’avec un gestionnaire de mots de passe. Pour un gestionnaire, on n’a besoin en principe que d’un très bon mot de passe. Pour en créer un, il existe une bonne méthode : on imagine une phrase et l’on mémorise les initiales des mots, par ex. « Je vais nager très tôt le dimanche 10.08!». Le mot de passe correspondant serait : Jvnttld10.08!. Ce mot de passe a une longueur de 71 bits et même un ordinateur très performant mettrait plus de 100 millions d’années pour calculer les 51 quadrillions de combinaisons possibles. Utilisez ce type de mot de passe très efficace comme mot de passe principal pour un gestionnaire de mots de passe ! Plus la phrase est longue, plus le mot de passe est sûr.

Il existe de nombreux outils efficaces comme gestionnaires de mots de passe. Le programme de bureau gratuit et open source KeePass est très apprécié. Outre la version Windows, il existe d’autres versions pour Mac, iOS, Android et d’autres systèmes. L’inconvénient de KeePass : le fichier de mot de passe hautement sécurisé doit lui-même être stocké dans une mémoire en nuage par l’utilisateur pour que tous les systèmes puissent y avoir accès. Pour cela, il faut s’y connaître un peu et savoir bricoler.

KeePass pour Windows

Le gestionnaire de mots de passe open source est disponible pour de très nombreuses plateformes

zoom ico
Norton Password Manager

Cet outil est actuellement gratuit si l’on crée un compte Norton

zoom ico
F-Secure Key

Ce gestionnaire de mots de passe stocke les données sur les appareils et échange seulement les modifications dans le nuage F-Secure

zoom ico
Kaspersky Password Manager

Cet outil peut être acheté individuellement ou s’utiliser comme élément de la suite de protection Total Security

zoom ico
TwoFactorAuth.org

Ce site met à disposition de nombreuses informations sur l’authentification à deux facteurs de centaines de services sur Internet

zoom ico

1

KeePass pour Windows

2

Norton Password Manager

3

F-Secure Key

4

Kaspersky Password Manager

5

TwoFactorAuth.org

Gestionnaires de mots de passe en nuage et gestionnaires commerciaux

Si l’on souhaite utiliser le gestionnaire de mots de passe automatiquement de manière centralisée, on peut p. ex. utiliser gratuitement le service de base de LastPass. Les données d’accès avec les mots de passe peuvent y être gérées de manière pratique et utilisées pour de nombreux appareils et plateformes à l’aide de logiciels et d’applications. Certains experts en sécurité objectent toutefois que les services de mots de passe sont l’objet de cyberattaques répétées. Les gestionnaires de mot de passe des fabricants de suites antivirus constituent une bonne alternative.

Dans de nombreuses suites de sécurité, un gestionnaire de mots de passe est livré avec la version la plus complète. C’est le cas de Kaspersky ou de Symantec p. ex. Bien entendu, les fabricants proposent également les coffres forts pour mots de passe comme produit individuel, comme p. ex. F-Secure Key ou McAfee True Key. On peut également utiliser le gestionnaire de mots de passe de Norton, relativement récent et gratuit. Ce programme existe pour Windows, Mac, iOS et Android. Symantec stocke les données sous forme cryptée dans le nuage.

Une authentification à deux facteurs pour plus de sécurité

À l’aide de l’authentification à deux facteurs (two-factor authentication, 2FA), on sécurise ses mots de passe à l’aide d’une seconde barrière. En règle générale, un utilisateur s’identifie avec un mot de passe pour accéder à un service et on lui demande d’entrer un code. Le système envoie alors un code généré à un smartphone défini au préalable. Une fois que l’utilisateur a entré ce code, la seconde barrière est passée et il peut accéder à son service.

Ce système présente deux avantages : le mot de passe en soi n’a pas besoin d’être très fort puisqu’il est sécurisé par un deuxième appareil. Pour avoir accès, un attaquant aurait besoin du mot de passe et du smartphone. De nombreux services proposent désormais l’authentification à deux facteurs. Malheureusement, il n’est pas toujours facile de trouver la réponse à la question : « Comment et où active-t-on la 2FA ? » Le site Internet TwoFactorAuth.org donne un aperçu de nombreux services Internet et sur la manière d’activer la 2FA. Le cas échéant, chaque service propose une documentation et informe sur la manière d’activer la 2FA : par SMS, appel téléphonique, e-mail ou jetons matériels et logiciels.

L’authentification à deux facteurs protège mieux

Maik Morgenstern
Maik Morgenstern
Directeur technique d'AV-TEST GmbH

Comme l'explique l’article, la protection renforcée avec une authentification à deux facteurs (2FA) est une bonne chose.

Cependant, il est déconseillé aux utilisateurs de n’utiliser qu’un seul appareil – le smartphone p. ex. – pour l’accès et comme 2e facteur. Cela réduit la sécurité, car un smartphone piraté peut alors ouvrir toutes les portes. Il vaut mieux opter pour une combinaison avec un ordinateur ou une tablette. Avec la 2FA, un nouvel appareil ne doit être connecté la plupart du temps qu’une seule fois avec les deux facteurs. Dropbox p. ex. mémorise l’appareil et son ID matériel. Pour les comptes liés à de l’argent et des virements p. ex., la 2FA est toujours utilisée pour se connecter. Si l’on se connecte p. ex. avec une tablette, un SMS est en général envoyé avec un autre code sur le smartphone.

Pour certains comptes bancaires et comptes de trading, le compte doit impérativement être confirmé avec une application d’authentification pour l’utilisation de la 2FA. Souvent, c’est l’application Google Authenticator qui est recommandée. La manipulation de cette application est simple. On y crée un nouveau compte. La plupart du temps, le fournisseur affiche alors un code QR qui transmet tous les autres paramètres. Ensuite, l’application affiche un code à 6 chiffres qui change toutes les 30 secondes. Ce code doit être saisi pendant ce laps de temps pour que la connexion soit possible. Mais attention : les données de Google Authenticator ne sont mémorisées que sur le smartphone et pas dans le compte Google. Si le smartphone tombe en panne ou se perd, il n’est plus possible d’utiliser la clé. Si l’on utilise Google Authenticator au sein d’un service (ou une autre application d’identification) pour la 2FA, une série de codes de secours s’affiche toujours. À l’aide de ceux-ci, l’utilisateur peut toujours se connecter à son compte. Bien entendu, il faut toujours conserver ces codes de secours en sécurité dans un coffre-fort de mots de passe.

Social Media

Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.