Les gestionnaires de mots de passe : Une solution séduisante mais risquée – Geek on Web

Geek on Web

Un site auto-hébergé

Les gestionnaires de mots de passe : Une solution séduisante mais risquée

Quand on a beaucoup de mots de passe à retenir, on peut être tenté d’utiliser un gestionnaire de mots de passe comme 1Password.
Pour rappel, 1Password est une application fonctionnant comme un coffre-fort. L’application vous permets d’enregistrer tous vos mots de passe permettant l’accès à vos comptes en ligne de différents services, le tout étant protégé par un mot de passe master verrouillant l’application et les informations qu’elle renferme.
Le but du jeu étant d’avoir des mots de passe très complexes pour vos différents services, que vous n’aurez pas besoin de retenir, l’application s’en chargeant pour vous. Le mot de passe master devra lui aussi bien entendu être complexe, mais vous n’aurez que lui, un seul mot de passe, à retenir, en lieu et place de l’ensemble des nombreux mots de passe protégeant vos nombreux comptes en ligne.

Si sur le principe ce genre d’applications peuvent être séduisantes, il y a quand même quelques soucis, qui selon moi rendent cette solution peu intéressante et dangereuse niveau sécurité/confidentialité.

Un service synchronisé via internet entre vos différents appareils

Que faire si l’on possède iPhone, Mac (un ou plusieurs) et iPad par exemple ? On synchronise les données ! Bah oui… Mais la synchronisation se fait via internet, que faire dès lors si le serveur contenant vos données (sur lequel vous n’avez aucun contrôle, celui-ci ne vous appartenant pas) se fait pirater ?

La réponse est simple : Tous vos services, tous vos comptes en lignes seraient alors compromis.
Ce genre de serveurs sont une cible de choix pour les hackers, puisqu’ils renferment des millions de mots de passe permettant potentiellement d’accéder à des millions de comptes différents.

Rien que ce point là est pour moi rédhibitoire à l’utilisation de ces services.
Une solution serait d’auto-héberger le serveur de synchronisation chez sois (et certains services du genre le proposent), ce qui aurait ainsi pour effet de répartir les sésames de tous les utilisateurs sur plein de serveurs au lieu d’un seul. Si un serveur se fait hacker, les autres sont encore en sécurité.
Le butin est donc moins important et moins intéressant pour les pirates. De plus, répartir les informations permets de leur donner plus de difficulté avant d’arriver à leur but (plus de serveurs à hacker, donc plus de temps requis pour y arriver, plus de mots de passe à déchiffrer etc…).

J’aime bien me connecter sur mon réseau social préféré avec l’ordinateur d’amis de confiance

Avec les services tels que 1Password, c’est simple, vous ne pourrez pas !
1Password et les autres services équivalents sont disponibles via une application installée localement sur vos appareils. C’est via cette applications que vous accédez à vos mots de passe dont vous déverrouillez l’accès grâce au mot de passe master que vous avez choisis, configuré, et qui est le seul dont vous avez connaissance.

Sur l’ordinateur de vos amis, votre compte 1Password ne sera pas configuré (et pour des soucis évidents de sécurité, je vous déconseille très fortement de le faire), du coup, pas de 1Password, pas de Facebook ! Dommage… (ou pas)

Voilà ce qui me dérange principalement avec ces services.

Je reconnais que le seconds point n’est pas forcément un soucis pour tout le mode. Moi-même je ne me connecte jamais à aucun de mes comptes sur des machines qui ne m’appartiennent pas.
Quand au premier point, il est pour moi indispensable d’auto-héberger ce genre de services.

En résumé

À moins d’auto-héberger votre instance serveur pour un tel service, je ne vous recommande pas d’utiliser les services de ce type.
Si vous pouvez vous auto-héberger (et quand je parle d’auto-hébergement je parle bien d’une machine localisé à votre domicile, et non pas d’un serveur dédié ou d’un VPS loué à un tiers, pour moi ce n’est pas de l’auto-hébergement, puisque vous dépendez d’une infrastructure tierce, vous n’êtes pas autonome. ni propriétaire de a à z de votre installation), alors il faudra veiller à ce que le deuxième point ne soit pas dérangeant pour vous.

Ça demande un peu de réflexion, mais c’est essentiel à mon sens.
La sécurité est très importante, surtout aujourd’hui.

Dans tous les cas, 1Password n’est pas auto-hébergeable (code source propriétaire), donc, par sécurité, poubelle.

Pour ceux qui n’utilisent pas ces services, je vous donne ma méthode de création de mots de passe complexes, que vous devrez retenir intégralement sans aucune aide telle qu’elle soit.

Mot de passe aléatoire

Un bon mot de passe « fort » se présente comme étant un mot de passe composé de lettres minuscules, de majuscules, de chiffres, de lettres accentuées et de symboles/caractères spéciaux. L’ensemble devant être assemblé aléatoirement et devant faire au moins 12 caractères de long.

Il est important que votre mot de passe n’ait aucune signification particulière dans aucune langue telle qu’elle soit.

Pour générer des mots de passe de ce type, j’utilise diverses méthodes, allant du trousseau d’accès de macOS, à des services en lignes qui vous proposent la génération de mots de passe aléatoires suivant certains critères que vous leur donnez (nombre de caractères, majuscules, chiffres, caractères spéciaux etc…).

Voilà pour mes conseils. 😉

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.