Comme je l’ai mentionné dans mon article précédent, cela fait quelques fois que des lecteurs me demandent de discuter de la question des gestionnaires de mots de passe. C’est vrai qu’il en existe beaucoup et qu’ils demeurent malgré tout relativement méconnus des utilisateurs moyens. Je vais donc tenter de vous expliquer comment le tout fonctionne, et surtout, comment les utiliser.

Quossa mange en hiver, un gestionnaire de mots de passe?

Bon, en résumé, un gestionnaire de mots de passe, c’est un logiciel qui a essentiellement trois principaux objectifs.

Tout d’abord, il vise à regrouper tous vos mots de passe dans un seul et même endroit, et ce, pour en faciliter la gestion. Il vous permet notamment d’avoir une vue d’ensemble de tous vos accès. Le tout est généralement placé dans une espèce de «conteneur» chiffré qui doit être déchiffré par le logiciel avec votre mot de passe maître. Cela signifie que ce conteneur peut être placé à différents endroits – pour des copies de sauvegarde, par exemple.

Comme le gestionnaire fait du remplissage automatique, il permet de contourner la surveillance d’un logiciel de capture de frappes pouvant être présent sur votre ordinateur.

Ensuite, il vous permet d’en choisir des longs et complexes, sans pour autant avoir à vous soucier de les retenir par cœur. Cet avantage augmente considérablement votre sécurité, car vous êtes en mesure de choisir d’excellents mots de passe, en plus de les varier selon chaque service web sur lequel vous êtes inscrit. En d’autres mots, vous pouvez plus facilement appliquer la règle de «un mot de passe unique par service», vous protégeant ainsi d’un piratage de masse dans l’éventualité qu’un de ces services soit victime de piratage. Arrêtez, je le sais que vous avez tendance à utiliser un même mot de passe à plusieurs endroits différents, et ne me faites pas croire le contraire.

Enfin, et c’est probablement la force dudit logiciel, il vous permet d’utiliser vos mots de passe à la volée en employant simplement votre mot de passe maître, sans avoir à les taper manuellement sur le site qui vous demande de vous authentifier. Comme le logiciel fait du remplissage automatique sur votre navigateur, cette méthode permet de contourner la surveillance d’un logiciel de capture de frappes pouvant être présent sur votre ordinateur. Son utilisation permet aussi d’éviter l’hameçonnage, car le logiciel va reconnaître si vous avez déjà inscrit vos informations de connexion sur le site que vous visitez. Si ce n’est pas le cas, le gestionnaire de mots de passe refusera tout simplement de vous y authentifier.

Calculer les risques

«Oui, mais avoir tous ses mots de passe au même endroit, ça me semble dangereux, non?»

C’est certain que c’est un risque à prendre. Rien n’est parfait dans le merveilleux monde de la sécurité. Par exemple, si vous oubliez votre mot de passe maître, bien disons que vous êtes pas mal dans la chenoute. Certains gestionnaires de mots de passe vous permettent de récupérer le tout d’une autre façon, mais ce n’est pas toujours simple, et en plus, cette fonction représente une vulnérabilité supplémentaire potentielle au système. En sécurité, offrir une porte à quelqu’un est toujours un risque, et ce, même si ladite porte est verrouillée.

Aussi, c’est clair que si une partie tierce finit par accéder à votre «conteneur», il est toujours possible qu’elle finisse par le décrypter. Il faut donc vérifier que le gestionnaire que vous choisissez offre une méthode de chiffrement solide, mais surtout, il faut que votre mot de passe maître soit extrêmement rigide. Pour ma part, mon mot de passe maître a 21 caractères. Ça vous donne une idée!

Il faut également comprendre qu’un gestionnaire de mots de passe est un compromis entre une utilisation simple et une utilisation sécuritaire. Bien malheureusement, les solutions de sécurité ne sont généralement pas vraiment conviviales pour la moyenne des ours, faisant en sorte de rendre le tout plus fastidieux dans une utilisation quotidienne. Les gestionnaires de mots de passe sont donc construits de manière à avoir un certain équilibre entre une utilisation relativement simple et une sécurité accrue. Oui, leur utilisation vous ralentira, mais c’est définitivement mieux que rien.

Lequel choisir?

La discussion qui découle de cette question pourrait véritablement être interminable. Il en existe des payants, mais il y en a aussi des gratuits. Personnellement, j’ai opté pour la solution payante avec 1Password qui, d’ailleurs, est développée au Canada. Cependant, il existe d’autres solutions tout aussi fiables. Je vous refile ce comparatif effectué par PC Mag qui est assez intéressant.