Les gestionnaires de mots de passe sont les légumes d’internet. Nous savons qu’ils sont bons pour nous, mais la plupart d’entre nous sont plus heureux de grignoter l’équivalent mot de passe de la malbouffe. Pendant sept années consécutives, il s’agissait de « 123456 » et de « mot de passe », les deux mots de passe les plus couramment utilisés sur le Web. Le problème est que la plupart d’entre nous ne savent pas ce qui fait un bon mot de passe et ne sont de toute façon pas capables de s’en souvenir de centaines.
Maintenant que tant de personnes travaillent à domicile, en dehors de l’intranet du bureau, le nombre de mots de passe dont vous avez besoin a peut-être considérablement augmenté. La façon la plus sûre (si la plus folle) de les stocker est de toutes les mémoriser. (Assurez-vous qu’ils sont longs, solides et sécurisés !) Je plaisante. Cela pourrait fonctionner pour Memory Grand Master Ed Cooke, mais la plupart d’entre nous ne sont pas capables de tels exploits fantastiques. Nous devons décharger ce travail sur des gestionnaires de mots de passe, qui offrent des coffres-forts sécurisés pouvant remplacer notre mémoire.
Un gestionnaire de mots de passe est pratique et, plus important encore, vous aide à créer de meilleurs mots de passe, ce qui rend votre existence en ligne moins vulnérable aux attaques par mot de passe. Lisez notre guide des fournisseurs de VPN pour plus d’idées sur la façon dont vous pouvez améliorer votre sécurité, ainsi que notre guide sur la sauvegarde de vos données pour vous assurer de ne rien perdre si l’inattendu se produit.
Mise à jour en août 2022 : nous avons mis à jour les prix et ajouté quelques notes sur les efforts de l’Alliance FIDO pour se débarrasser du mot de passe, et pourquoi nous ne proposons plus LastPass.
Offre spéciale pour les lecteurs Gear : obtenez un Abonnement d’un an à FILAIRE pour 5 $ (25 $ de rabais). Cela inclut un accès illimité à WIRED.com et à notre magazine imprimé (si vous le souhaitez). Les abonnements aident à financer le travail que nous faisons chaque jour.
Si vous achetez quelque chose en utilisant des liens dans nos histoires, nous pouvons gagner une commission. Cela aide à soutenir notre journalisme. Apprendre encore plus.
Pourquoi ne pas utiliser votre navigateur ?
La plupart des navigateurs Web offrent au moins un gestionnaire de mots de passe rudimentaire. (C’est là que vos mots de passe sont stockés lorsque Google Chrome ou Mozilla Firefox vous demandent si vous souhaitez enregistrer un mot de passe.) C’est mieux que de réutiliser le même mot de passe partout, mais les gestionnaires de mots de passe basés sur le navigateur sont limités.
La raison pour laquelle les experts en sécurité vous recommandent d’utiliser un gestionnaire de mots de passe dédié revient à se concentrer. Les navigateurs Web ont d’autres priorités qui n’ont pas laissé beaucoup de temps pour améliorer leur gestionnaire de mots de passe. Par exemple, la plupart d’entre eux ne généreront pas de mots de passe forts pour vous, ce qui vous ramènera à “123456”. Les gestionnaires de mots de passe dédiés ont un objectif unique et ajoutent des fonctionnalités utiles depuis des années. Idéalement, cela conduit à une meilleure sécurité.
Les lecteurs de WIRED ont également posé des questions sur le gestionnaire de mots de passe MacOS d’Apple, qui se synchronise via iCloud et offre de belles intégrations avec le navigateur Web Safari d’Apple. Il n’y a rien de mal avec le système d’Apple. En fait, j’ai utilisé Keychain Access sur Mac dans le passé, et cela fonctionne très bien. Il n’a pas certains des extras intéressants que vous obtenez avec des services dédiés, mais il gère la sécurisation de vos mots de passe et leur synchronisation entre les appareils Apple. Le principal problème est que si vous avez des appareils non Apple, vous ne pourrez pas synchroniser vos mots de passe avec eux, car Apple ne crée pas d’applications pour d’autres plates-formes. Tout sur Apple ? Il s’agit alors d’une option viable, gratuite et intégrée qui mérite d’être considérée.
Qu’en est-il de la “mort du mot de passe ?”
Il y a eu un effort concerté pour se débarrasser du mot de passe depuis environ deux jours après l’invention du mot de passe. Les mots de passe sont une douleur – il n’y a aucun argument là-dedans – mais nous ne les voyons pas disparaître dans un avenir prévisible. Le dernier effort pour se débarrasser du mot de passe vient de l’Alliance FIDO, un groupe industriel visant à normaliser les méthodes d’authentification en ligne. Il est pris en charge par de nombreux grands fabricants de navigateurs, mais nous n’avons pas encore vu de démonstration fonctionnelle. Pourtant, c’est un effort sur lequel nous gardons un œil car il est plus prometteur que ceux qui l’ont précédé. Pour l’instant au moins, vous avez toujours besoin d’un gestionnaire de mots de passe.
Comment nous testons
Les algorithmes cryptographiques les meilleurs et les plus sécurisés sont tous disponibles via des bibliothèques de programmation open source. D’une part, c’est très bien, car n’importe quelle application peut incorporer ces chiffres et protéger vos données. Malheureusement, tout cryptage est seulement aussi fort que son maillon le plus faible, et la cryptographie seule ne gardera pas vos mots de passe en sécurité.
Voici ce que je teste : quels sont les maillons les plus faibles ? Votre mot de passe principal est-il envoyé au serveur ? Chaque gestionnaire de mots de passe dit que ce n’est pas le cas, mais si vous surveillez le trafic réseau pendant que vous entrez un mot de passe, vous trouvez parfois que c’est le cas. J’examine également le fonctionnement des applications mobiles : par exemple, laissent-elles votre magasin de mots de passe déverrouillé mais nécessitent-elles une épingle pour y revenir ? C’est pratique, mais cela sacrifie trop de sécurité pour cette commodité.
