Choisir le gestionnaire de mots de passe qui vous convient
Dernière révision : August 18, 2023
Les violations de mot de passe sont courantes et si vous utilisez le même mot de passe sur chaque site, cela peut donner accès à des acteurs malveillants qui essaient ce mot de passe ailleurs pour accéder à vos comptes. La meilleure façon de vous protéger est d’utiliser un mot de passe unique partout (et une authentification à deux facteurs , lorsque cela est possible). Un gestionnaire de mots de passe est un programme qui facilite cette tâche en créant et en stockant pour vous des mots de passe uniques et forts.
Un gestionnaire de mots de passe génère des mots de passe longs et uniques, stocke ces mots de passe dans ce qu'on appelle généralement son « coffre-fort de mots de passe », puis peut remplir le nom d'utilisateur et le mot de passe pour vous lorsque vous devez vous connecter à un site. Il protège tous ces mots de passe derrière un seul « mot de passe principal », ce qui signifie que vous ne devez mémoriser qu'un seul mot de passe au lieu de dizaines. En fonction de la mise en œuvre du gestionnaire de mots de passe, cela peut signifier qu'il est important que vous rendiez ce mot de passe principal aussi fort que possible et que vous configuriez une authentification à deux facteurs sur votre compte de gestionnaire de mots de passe. Dans la plupart des cas, un gestionnaire de mots de passe synchronise également vos mots de passe entre différents appareils, comme votre téléphone et votre ordinateur, afin que vous puissiez vous connecter depuis n'importe quel appareil.
Quand vous voudrez peut-être éviter un gestionnaire de mots de passe
Un bon gestionnaire de mots de passe fait de son mieux pour atténuer les problèmes de sécurité potentiels, mais il est toujours important de se rappeler :
- L'utilisation d'un gestionnaire de mots de passe crée un point de défaillance unique.
- Les gestionnaires de mots de passe sont une cible évidente pour les adversaires.
C'est pourquoi vous devez disposer d'un mot de passe principal fort et activer l'authentification à deux facteurs lorsque cela est possible. Mais si un adversaire puissant comme un gouvernement vous cible, il est important de choisir soigneusement le bon gestionnaire de mots de passe et de le configurer pour une sécurité maximale.
Si vous ne souhaitez pas utiliser de gestionnaire de mots de passe pour une raison quelconque, vous devez quand même utiliser un mot de passe unique pour chaque connexion. Nous pensons qu’il est préférable de les écrire et de les conserver dans un endroit sûr, comme un portefeuille, plutôt que d’essayer de les mémoriser.
Comment choisir un gestionnaire de mots de passe qui me convient ?
Tout le monde a des besoins différents en matière de gestionnaire de mots de passe, et ce qui fonctionne pour une personne peut ne pas fonctionner pour une autre. La plupart des gestionnaires de mots de passe de qualité, même les options payantes, proposent une sorte de période d’essai pour les vérifier, et nous vous suggérons d’en profiter lorsque vous en avez le temps.
Modèle d'affaires
L’entreprise derrière un gestionnaire de mots de passe doit gagner de l’argent d’une manière ou d’une autre. Cela peut se faire via des frais d'abonnement, ou cela peut cibler les utilisateurs d'entreprise et offrir des logiciels gratuits ou bon marché à tout le monde. Recherchez les plans d'abonnement proposés par l'entreprise, les fonctionnalités qui peuvent être bloquées derrière un paiement et les outils, le cas échéant, qui sont gratuits. Avec des frais d’abonnement payants, soyez particulièrement prudent avec les forfaits dont le prix augmente après la première année. Certains gestionnaires de mots de passe payants peuvent proposer des forfaits familiaux, dans lesquels vous et votre famille avez tous accès au service à un prix réduit. Ces forfaits donnent généralement à chaque famille son propre coffre-fort privé, mais vous pouvez également souvent partager facilement des mots de passe en cas de besoin. Cela peut être utile pour les comptes partagés, comme les utilitaires ou les services de streaming. Gardez à l’esprit que le gestionnaire du compte peut être en mesure de récupérer (et donc de révéler) les mots de passe d’un membre de la famille, vous devez donc faire confiance dans une certaine mesure à votre gestionnaire de compte.
Prise en charge de l'authentification à deux facteurs
Étant donné qu'un gestionnaire de mots de passe verrouille tous vos mots de passe importants derrière un seul mot de passe, il est préférable de rechercher un gestionnaire de mots de passe prenant en charge l'authentification à deux facteurs. Avec l'authentification à deux facteurs, si quelqu'un accède à votre mot de passe principal, il a toujours besoin de ce deuxième facteur pour accéder à votre compte. Certains gestionnaires de mots de passe peuvent également disposer d'autres nouvelles formes de sécurité, comme la « clé secrète » de 1Password, qui méritent d'être étudiées plus en détail.
Extensions de navigateur et prise en charge de diverses plates-formes
La plupart des gestionnaires de mots de passe fonctionneront partout où vous avez besoin d'accéder aux mots de passe, y compris les applications de bureau pour Windows, Mac ou Linux et les applications mobiles pour Android ou iPhone. Lorsque vous créez un mot de passe sur un appareil, il sera alors disponible partout ailleurs. La plupart des gestionnaires de mots de passe prennent également en charge les extensions de navigateur sur le bureau, ce qui permet au gestionnaire de mots de passe de remplir automatiquement les mots de passe lorsque vous arrivez sur une page de connexion, sans copier-coller requis. Si un adversaire puissant vous cible, vous pouvez choisir de ne pas activer la saisie automatique du navigateur, car les extensions de navigateur constituent l'endroit le plus courant des vulnérabilités du gestionnaire de mots de passe. Mais pour la plupart des gens, la fonctionnalité de saisie automatique d'un mot de passe n'est pas seulement une commodité, mais une protection importante contre le phishing.
Sauvegardes chiffrées de bout en bout
Étant donné que la plupart des gestionnaires de mots de passe synchronisent les mots de passe entre les appareils en stockant votre coffre-fort de mots de passe en ligne, il est important que l'entreprise utilise un cryptage de bout en bout sur ces coffres-forts. Personne, pas même l'entreprise qui fabrique le gestionnaire de mots de passe, ne devrait pouvoir accéder à vos mots de passe. Parcourez les fonctionnalités et la documentation d'un gestionnaire de mots de passe pour vous assurer qu'il dispose de détails sur ses méthodes de cryptage avant d'en choisir une.
Les gestionnaires de mots de passe les plus populaires n'incluent pas de moyen de désactiver la synchronisation avec le cloud. Mais il existe une poignée de gestionnaires de mots de passe plus spécialisés, notamment KeePassXC, qui vous donnent plus de contrôle sur l'endroit (et si) votre coffre-fort de mots de passe est stocké en ligne. Notez que même s'il est open source, KeePassXC n'a pas fait l'objet d'audits de sécurité et qu'il existe de nombreux projets portant des noms similaires (notamment KeePass, KeePassX et KeeWeb), alors assurez-vous d'utiliser le bon. Sans synchronisation des mots de passe ni sauvegardes en ligne fournies par le gestionnaire de mots de passe, il peut être difficile d'utiliser ce type de gestionnaire de mots de passe au quotidien.
Audits de sécurité indépendants et programmes de bug bounty
Certains gestionnaires de mots de passe populaires soumettent leurs logiciels à des audits de sécurité indépendants. Bien qu'ils ne soient pas parfaits, n'offrant qu'un instantané du logiciel à un moment précis, ces audits indiquent que le développeur travaille activement à sécuriser son logiciel. Parfois, ces rapports sont rendus publics, mais pas toujours. Cela peut également être un bonus lorsque le développeur propose un programme de bug bounty, qui permet aux chercheurs en sécurité indépendants de soumettre tous les problèmes qu'ils pourraient rencontrer. Voici quelques exemples de gestionnaires de mots de passe qui participent aux audits de sécurité :
Cette liste n'est pas exhaustive et ne doit pas non plus être considérée comme une recommandation, mais vous donne une idée de ce à quoi tendent ces audits.
C'est une bonne idée de rechercher des articles d'actualité sur un gestionnaire de mots de passe pour vous assurer qu'il ne fait pas régulièrement l'objet d'actualités en raison de failles de sécurité, de violations, de violations de la vie privée ou de tout autre élément susceptible de vous faire douter de son utilisation.
Mises à jour logicielles actives
Passez quelques secondes à parcourir l'historique des mises à jour d'une application mobile pour vous assurer que l'application est fréquemment mise à jour avec la prise en charge des systèmes d'exploitation les plus récents. Le développement actif ne se limite pas uniquement aux fonctionnalités, il s'agit également de garantir que le logiciel fonctionne de manière cohérente avec chaque mise à jour, qu'elle soit mineure ou majeure, avec les systèmes d'exploitation que vous utilisez, et de signaler que les développeurs restent au courant des mises à jour de sécurité.
Portabilité
Tout bon gestionnaire de mots de passe vous permettra d'emporter vos informations de connexion et de mot de passe avec vous si vous décidez de changer de logiciel. Bien que cela puisse paraître compliqué, le déplacement de mots de passe entre gestionnaires de mots de passe est généralement un processus simple dans lequel vous exporterez un fichier CSV avec tous vos mots de passe, puis importerez ce même fichier dans un nouveau gestionnaire de mots de passe. Consultez la documentation du gestionnaire de mots de passe pour obtenir des instructions plus spécifiques sur la façon de procéder.
Qu'en est-il du gestionnaire de mots de passe intégré à mon navigateur ?
Google, Apple et Mozilla proposent tous leurs propres versions de gestionnaires de mots de passe. Bien que techniquement, vous puissiez généralement accéder à vos mots de passe stockés dans ces gestionnaires de mots de passe sur tous les systèmes d'exploitation, applications et appareils, les solutions de Google et d'Apple ont tendance à mieux fonctionner lorsque vous utilisez les navigateurs (Chrome de Google ou Safari d'Apple) ou les systèmes d'exploitation (Android, ChromeOS, iOS ou macOS). Le gestionnaire de mots de passe de Mozilla ne fonctionne que dans Firefox et ne peut pas être facilement intégré ailleurs. D'autres navigateurs Web peuvent proposer un type similaire de gestionnaire de mots de passe, mais assurez-vous de rechercher comment il crypte les données avant de les utiliser.
Les options basées sur un navigateur manquent parfois de fonctionnalités supplémentaires offertes par un logiciel autonome que vous pouvez ou non utiliser, comme des notes cryptées, le stockage des réponses aux questions de sécurité (pour lesquelles vous devriez envisager d'utiliser des réponses aléatoires), la mémorisation de l'endroit où vous avez utilisé l'authentification unique. pour les comptes (comme la connexion à un service avec votre compte Google) et de solides options de partage de mot de passe familial.
Le meilleur gestionnaire de mots de passe est celui que vous utiliserez, et comme ils sont si bien intégrés au système d'exploitation, les options basées sur le navigateur peuvent être plus faciles à maîtriser si vous n'avez jamais utilisé de gestionnaire de mots de passe auparavant. Et comme ils sont intégrés à leurs navigateurs respectifs, ils offrent une protection contre le phishing sans l’insécurité potentielle des extensions de navigateur. La sécurité par défaut de chacun diffère cependant : le trousseau iCloud d'Apple est crypté de bout en bout par défaut, mais pas le gestionnaire de mots de passe de Google. Au lieu de cela, Google propose un moyen d'activer une phrase secrète pour activer le « cryptage sur l'appareil », mais vous devez accéder manuellement aux paramètres pour activer cette fonctionnalité sur vous-même, ce que vous devez faire. Mozilla fournit des détails sur la manière dont Firefox gère le cryptage.