Indispensable et quasiment obligatoire, les mots de passe associés à des comptes font légions. Voici quelques bonnes pratiques pour gérer vos précieux sésames.
Enregistrer ses mots de passe dans un espace sécurisé
Inutile d’avoir des mots de passe complexes si vous les notez sur un cahier, agenda ou post-it. Il faut les stocker de manières sécurisées. Pour cela, il existe des coffres-forts de mots de passe qui permettent de les enregistrer. Le stockage est chiffré donc inaccessible à moins de connaitre le secret. Il faut choisir celui qui convient le mieux en fonction de différents critères (esthétiques ou fonctionnels) :
- Certains coffres-forts permettent de créer des arborescences (avec des dossiers), ce qui permet de mieux les classer et retrouver;
- Ils peuvent fonctionner sous différents systèmes d’exploitation (Windows, Linux, Mac, Android etc…);
- Il peuvent être en ligne, hébergés dans le « cloud » de l’éditeur ou en auto-hébergement;
- Ils peuvent être propriétaire ou open-source
- Ils peuvent disposer d’extensions pour les navigateurs, ce qui permet de remplir automatiquement les champs d’un formulaire de connexion.
Même si la plupart de ces coffres-forts sont robustes, n’oubliez pas de le sauvegarder également. En fonction du coffre-fort et de sa technologie de stockage, cela peut être une copie externalisée des fichiers ou un export sous format fichier de type CSV (ce qui est souvent le cas pour les solutions en ligne).
Il convient également de penser au fonctionnement de votre entité dans le cas où le coffre-fort devient inaccessible, suite à une panne ou un effacement (on parle de continuité d’activité), la copie doit être rapidement disponible et ne pas dépendre du service habituel. Pour cela, il est possible :
- D’avoir une copie sur une clé USB;
- D’avoir une copie imprimée.
Afin de pallier des problématiques physiques, ces copies doivent être stockées dans un lieu externe. En effet, vous n’êtes pas à l’abri d’un incendie de vos locaux, ce qui ferait, de facto, perdre tous les mots de passe. Vous pouvez, par exemple, louer un coffre-fort physique dans une banque et y déposer la clé USB ou l’enveloppe avec les mots de passe sous format papier. Toutes ces précautions s’avéreront très utiles dans une situation critique.
Et dans les navigateurs ?
L’enregistrement des mots de passe dans les navigateurs est une possibilité. Ce n’est pas la meilleure et il y a un certain nombre de recommandations à prendre en compte, ainsi que des concepts à comprendre, malheureusement différents en fonction des navigateurs.
En utilisant les paramètres de base, la zone de stockage des mots de passe respecte les principes cryptographiques. En revanche, il faudra paramétrer le navigateur pour utiliser une clé de protection. Sinon, quiconque ayant accès à votre compte et navigateur aura également accès à vos mots de passe.
Ensuite, le stockage des mots de passe dans un coffre-fort de navigateur a une limite : les mots de passe sont accessibles pour une utilisation au sein du navigateur, c’est à dire avec des sites web. Pour d’autres applications ou dans un autre environnement (connexion à des serveurs, applications métiers), il faudra tout de même utiliser un coffre-fort pour stocker vos mots de passe.
Les mots de passe vont-ils disparaitre ?
Ce n’est pas évident dans un avenir très proche car la protection par mot de passe reste un moyen simple et accessible pour un utilisateur. Cela étant dit, un mot de passe peut facilement être récupéré via un faux courriel envoyé à une personne (phishing) qui, en cliquant sur le lien, donnera au fraudeur son mot de passe. C’est toute la limite du système, et c’est pourquoi d’autres technologies apparaissent :
- L’introduction d’un second facteur d’authentification comme un code généré via une smartphone ou la validation via une applications
- Les passkeys : Que sont les passkeys ?
- Les clés de sécurité physiques
A moyen terme, les mots de passe vont vraisemblablement devenir un moyen secondaire d’authentification réservé à ces cas précis mais l’adoption de moyens plus sûrs se confrontera aux méthodes des utilisateurs, en particulier du grand public.