À présent, il devrait être évident que vous devez utiliser un gestionnaire de mots de passe. Pourquoi? Eh bien, considérez les étapes standard pour sécuriser votre compte :
Ces trois principes de base signifient qu'à moins d'avoir une mémoire incroyable, vous ne pouvez pas espérer vous souvenir de toutes vos informations d'identification sans les écrire quelque part.
Bien sûr, vous ne pouvez pas les enregistrer dans Excel pour des raisons de sécurité, les écrire avec un stylo et du papier n'est pas bon lorsque vous n'êtes pas chez vous, et les gestionnaires de mots de passe de navigateur ne sont pas aussi sûrs que les gestionnaires de mots de passe.
Cependant, tous les gestionnaires de mots de passe ne sont pas nés égaux. Examinons la sécurité de certains des principaux fournisseurs.
LastPass est le gestionnaire de mots de passe le plus populaire. Il était déjà largement adopté, mais après être devenu gratuit sur tous les appareils fin 2016, il a explosé pour atteindre un tout nouveau niveau de popularité.
En raison de sa popularité, il attire davantage l'attention des pirates et des cybercriminels. Il y a eu deux incidents de sécurité notables dans l'histoire de LastPass :un en 2011 et un en 2015. À ces deux occasions, l'entreprise a remarqué un trafic réseau suspect et a forcé tous les utilisateurs à modifier leur mot de passe principal.
L'intense intérêt criminel pour LastPass joue parfois en sa faveur. À de nombreuses reprises, il a été en mesure d'identifier et de corriger les vulnérabilités avant qu'elles ne deviennent un problème sérieux.
LastPass dispose désormais de certaines des fonctionnalités de sécurité les plus robustes du secteur. Par exemple, il utilise un hachage salé unidirectionnel utilisant des tours PBKDF2-SHA256 sur votre mot de passe, rendant ainsi les attaques par force brute presque impossibles. Votre mot de passe lui-même n'est jamais envoyé à LastPass ; le hachage vérifie qui vous êtes et la clé de déchiffrement, qui ne quitte jamais votre ordinateur, donne accès à votre coffre-fort.
Votre coffre-fort lui-même est encodé avant de se diriger vers le serveur LastPass en utilisant le cryptage AES 256 bits. De plus, toutes les données transférées entre votre appareil et LastPass utilisent SSL.
Enfin, LastPass utilise Paros pour vérifier tout risque d'attaques XSS ou SQL Injection et Funkload pour vérifier les performances de sécurité.
Dashlane est l'un des principaux concurrents de LastPass. Contrairement à certains autres gestionnaires de mots de passe, qui ne proposent que des copies stockées localement de vos identifiants, Dashlane propose également une synchronisation multi-appareils.
C'est trois ans plus jeune que LastPass, lancé en 2011.
Fait intéressant, Dashlane possède son propre système de sécurité breveté. La société l'a soumis à l'Office américain des brevets et des marques en mars 2012. Appelé "Sauvegarde et synchronisation des données basées sur le cloud avec le stockage local et les clés d'accès", il s'agit du modèle de fonctionnement de la sécurité de Dashlane. Il peut être divisé en deux parties :le chiffrement des données et l'authentification des utilisateurs.
Le chiffrement des données explique comment vos mots de passe, vos informations de paiement et vos informations personnelles sont conservés en toute sécurité. Pour votre mot de passe maître, Dashlane dérive une clé de chiffrement à l'aide de 10 000 itérations PBKDF2. Dashlane crypte toutes les données sur ses serveurs en utilisant AES-256. Comme LastPass, la société ne stocke jamais votre mot de passe principal sur ses serveurs.
L'authentification de l'utilisateur fait référence au processus de vérification d'une première connexion à partir d'un nouvel appareil. Plutôt que d'utiliser les hachages de votre mot de passe principal (qui sont souvent la cible de cyberattaques), Dashlane vous enverra un mot de passe à usage unique par e-mail. Après la connexion, Dashlane envoie une clé d'appareil utilisateur à ses serveurs afin que les futures connexions puissent être facilement identifiées.
Le KeePass open-source adopte une approche alternative à la gestion des mots de passe. Plutôt que d'être un service cloud multi-appareils, KeePass conserve toutes vos données enregistrées localement sur votre appareil.
Du côté positif, son approche locale signifie que vos données sont entièrement à l'abri de tout cybercriminel qui tente de pirater et de décrypter le trafic réseau. En revanche, vous devrez installer la version portable de l'application si vous souhaitez emporter vos mots de passe avec vous. Et même dans ce cas, ils ne seront disponibles sur aucun appareil sans port USB.
La fonction de sécurité hors concours de l'application est la possibilité de sélectionner un mot de passe principal ou un fichier clé comme principale méthode d'authentification. Pour plus de sécurité, vous pouvez même choisir d'exécuter les deux.
KeePass utilise SHA-256 pour compresser la clé principale composite, Argon2 (gagnant du concours Password Hashing) pour se protéger contre les attaques par dictionnaire et devinettes, et traiter la protection de la mémoire pour empêcher toute donnée sensible d'être enregistrée sur votre disque. Enfin, KeePass propose un bureau sécurisé pour se protéger contre les enregistreurs de frappe. Vous devez l'activer en allant dans Outils > Options > Sécurité .
Le plus gros point faible de l'application est la présence de plus de 100 plugins. Bien qu'ils soient le rêve d'un bricoleur et qu'ils vous permettent de tout faire, de la synchronisation des mots de passe sur le cloud à la capture automatique des mots de passe, il n'existe aucun moyen simple de vérifier leur sécurité.
Dans mon article sur les meilleures alternatives LastPass, la section des commentaires semble suggérer que Keeper est l'application préférée de beaucoup de nos lecteurs. Vous avez fait l'éloge de son ensemble de fonctionnalités, de sa facilité d'utilisation et de ses fonctions de sécurité.
Mais l'éloge est-il justifié ? Êtes-vous en sécurité si vous êtes un utilisateur Keeper ? En un mot, oui.
Tout d'abord, Keeper utilise une politique connue sous le nom de "zéro connaissance". En pratique, cela signifie que Keeper n'effectue aucun chiffrement ou déchiffrement de son côté. Tout se passe sur votre propre appareil. Comme la plupart des autres gestionnaires de mots de passe, il utilise AES 256 bits.
Ensuite, chaque mot de passe sur les serveurs de Keeper est chiffré individuellement avec deux clés uniques :une « clé de données » et une « clé d'enregistrement ». Toutes les données au repos sur votre appareil ajoutent une troisième clé, la "clé client".
Étant donné que tout ce cryptage se produit côté client, Keeper ne dispose que d'un code binaire brut sur ses serveurs. Le code est totalement inutile pour les pirates à moins qu'ils n'aient également votre appareil en leur possession. Vous êtes également protégé contre les renifleurs de réseau. Comme Keeper utilise un cryptage AES 256 bits, il faudrait des millénaires aux pirates pour le casser.
Enfin, il offre jusqu'à 100 000 itérations PBKDF2.
Sticky Password s'est efforcé de développer une réputation durement gagnée au cours des dernières années. C'est aujourd'hui l'un des principaux gestionnaires de mots de passe et il obtient souvent d'excellents résultats sur divers sites d'évaluation.
Sa meilleure fonctionnalité de sécurité est sans doute la synchronisation Wi-Fi. Plutôt que de synchroniser vos mots de passe entre les appareils à l'aide de serveurs cloud, la synchronisation Wi-Fi gardera vos appareils synchronisés, mais uniquement lorsqu'ils se trouvent sur le même réseau. Si vous choisissez d'utiliser la synchronisation dans le cloud à des fins pratiques, vous devrez saisir à la fois un mot de passe principal et un mot de passe en ligne pour y accéder.
Comme d'autres applications, votre mot de passe principal n'est jamais enregistré sur les serveurs de Sticky Password, et toutes les données envoyées sur un réseau sont cryptées à l'aide d'AES 256 bits.
Votre mot de passe principal constitue la base de la clé de cryptage. Avec le sel cryptographique, la dérivation PBKDF2 crée un hachage cryptographique à fonction unidirectionnelle.
Nous savons tous que vous devriez utiliser un gestionnaire de mots de passe, mais avez-vous déjà investi du temps pour vous assurer que votre gestionnaire de mots de passe est sûr et sécurisé ? Savez-vous quelles techniques de cryptage votre fournisseur choisit ou s'il a été victime d'une violation grave récemment ? Savez-vous s'il dispose de fonctionnalités de sécurité supplémentaires utiles ?
En fin de compte, vous confiez à ces entreprises les clés de votre vie numérique. Vous devez faire preuve de diligence raisonnable avant de remettre vos informations d'identification.
Quel gestionnaire de mots de passe utilisez-vous ? Quelles fonctionnalités de sécurité a-t-il en place ? Comme toujours, vous pouvez laisser toutes vos pensées et opinions dans les commentaires ci-dessous. Et n'oubliez pas de partager l'article avec des lecteurs partageant les mêmes idées sur les réseaux sociaux !
Crédits image :Phonlamai Photo/Shutterstock