Conseils pour protéger vos mots de passe contre les attaques
Les méthodes d’ingénierie sociale, de force brute ou d’attaque par dictionnaire sont évitables si vous gérez bien l’utilisation de vos mots de passe en ligne.
Ces quelques conseils devraient vous permettre de le faire :
- Des mots anglais ou français ne doivent pas être utilisés pour composer vos mots de passe
- Le stockage de vos mots de passe ne doit pas être confié à vos navigateurs internet
- Ne laissez pas d’autres personnes se connecter à votre session Windows
- Un mot de passe n’est jamais réutilisable
- 16 caractères doivent être utilisés au minimum, avec chiffres, lettres majuscules et minuscules et symbole
- Vos données privées comme par exemple votre date de naissance ou votre prénom ne doivent pas être utilisés
- Pensez à vous déconnecter de vos comptes lorsque vous surfez sur internet dans un espac public, sur un réseau Wi-Fi Mac Donald, sur Tor ou un proxy web public.
- Utilisez toujours des sites en HTTPS et évitez les autres
- En voyage, utilisez un VPN privé pour chiffrer vos donnnées et votre connexion
- Changez vos mots de passe tous les trimestres
- Vous pouvez vous souvenir d’un ou deux mots de passe importants, écrire les autres dans un fichier et compresser ce fichier à l’aide du logiciel 7Zip ou NordLocker pour les chiffrer.
- Sur les sites auxquels vous vous connectez, optez pour l’authentification en 2 étapes
- Evitez de stocker vos mdp dans le nuage
- Ne tombez pas dans le piège de l’hameçonnage et accédez aux sites internet par le biais de vos favoris ou de Google plutôt qu’en cliquant sur un courriel
- Mettez à jour vos navigateurs et autres logiciels
- Chiffrez tout votre disque dur
- N’hésitez pas à utiliser le mode privé de votre navigateur pour les sites sensibles
- Ayez une adresse email pour vos courriers courants (le mieux c’est d’utiliser le fournisseur sécurisé ProtonMail), et une autre pour vos inscriptions aux sites et aux applications
- Utilisez un deuxième n° de téléphone pour vos inscriptions aux applications et aux sites
Comment utiliser un gestionnaire de mots de passe
Qu’est-ce qu’un gestionnaire de mots de passe
Les gestionnaires de mots de passe : nous savons qu’ils sont bons pour nous, mais rares sont les personnes qui les utilisent.
Depuis le début, les mots de passe les plus courants au monde sont “123456” et “motdepasse”. Le problème, c’est que la plupart d’entre nous ne savons pas ce qui fait un bon mot de passe ni comment s’en rappeler.
Même si vous utilisez un excellent générateur de mots de passe en ligne, la question qui se pose, c’est comment les stocker pour les récupérer ensuite ?
Si vous pouvez mémoriser des mots de passe solides pour chaque site web que vous visitez et chaque application que vous utilisez, faîtes-le. En supposant que vous utilisiez des mots de passe sûrs, la mémorisation est la façon la plus sûre de s’y prendre, bien qu’un peu folle.
La plupart d’entre nous ne sommes pas prêts pour un tel exploit. Nous devons confier ce travail à un gestionnaire de mots de passe qui offre une chambre forte sécurisée pouvant remplacer nos mémoires.
Un gestionnaire de mots de passe est pratique et, plus important encore, il vous aide à créer de meilleurs password, ce qui rend votre existence en ligne moins vulnérable aux attaques.
Un seul mot de passe à retenir
Un bon gestionnaire de mots de passe stocke, génère et met à jour vos mots de passe en appuyant sur un bouton. Si vous êtes prêt à dépenser quelques dollars par mois, un gestionnaire de mots de passe peut synchroniser vos mots de passe sur tous vos appareils.
Un seul mot de passe à retenir : Pour accéder à tous vos mots de passe, vous ne devez vous souvenir que d’un seul mot de passe. Lorsque vous le saisissez dans le gestionnaire de mots de passe, il déverrouille la chambre forte contenant tous vos mots de passe réels. C’est bien de n’avoir à retenir qu’un seul mot de passe, mais cela signifie que ce mot de passe est très important. Assurez-vous que c’est un bon mot de passe.
Synchronisation sur tous vos appareils
Applications et extensions : La plupart des gestionnaires de mots de passe sont des systèmes complets composés d’applications ou d’extensions de navigateur pour chacun de vos appareils (Windows, Mac, Android, iPhone et tablettes), disposant d’outils pour vous aider à créer des mots de passe sûrs, les stocker et évaluer leur sécurité.
Toutes ces informations sont ensuite envoyées à un serveur central où vos mots de passe sont chiffrés, stockés et partagés entre les appareils.
Si les gestionnaires de mots de passe vous aident à créer des mots de passe sûrs et à les protéger des regards indiscrets, ils ne peuvent pas protéger votre mot de passe si le site web lui-même est violé. Cela ne signifie pas pour autant qu’ils ne sont pas utiles dans ce cas de figure. Les gestionnaires de mots de passe dont nous parlons sont basés dans le nuage et offrent des outils qui vous alertent en cas de compromission.
De même, la modification rapide d’un mot de passe est facilité.
Ne pas accepter le remplissage automatique
Certains gestionnaires de mots de passe remplissent et soumettent automatiquement des formulaires web pour vous. C’est très pratique, mais pour plus de sécurité, nous vous suggérons de désactiver cette fonction. Le fait de remplir automatiquement les formulaires dans le navigateur a rendu les gestionnaires de mots de passe vulnérables aux attaques dans le passé.
Le gestionnaire de mots de passe de Google
Si vous utilisez le navigateur Google Chrome, aussi bien sur PC que sur Android, vous devez avoir l’habitude d’enregistrer vos mots de passe dans votre navigateur pour aller plus vite.
Sachez que pour l’instant, ce n’est pas la technique la mieux adaptée pour enregistrer vos mots de passe, s’en souvenir et les remplir automatiquement. Certes c’est rapide, mais ce n’est pas très sûr puisqu’un navigateur internet comporte certaines failles peu sécurisantes. Voir en détail notre article sur le danger d’enregistrer ses mots de passe dans un navigateur.
Pourquoi ne pas utiliser votre navigateur ?
La plupart des navigateurs web offrent au moins un gestionnaire de mots de passe rudimentaire. C’est mieux que de réutiliser le même mot de passe partout, mais les gestionnaires de mots de passe basés sur les navigateurs sont limités.
Utiliser un gestionnaire de mots de passe dédié évite de concentrer tous les pouvoirs dans une seule main. Les navigateurs web ont d’autres priorités qui ne laissent pas beaucoup de temps pour améliorer leur gestionnaire de mots de passe.
Par exemple, la plupart d’entre eux ne génèrent pas de mots de passe forts pour vous. Les gestionnaires de mots de passe dédiés ont un objectif unique et ajoutent des fonctionnalités utiles depuis des années.
Comment accéder au gestionnaire de mots de passe de Google
Il existe une adresse internet rapide pour accéder à tous vos mots de passe Google : https://passwords.google.com/.
Une fois que vous avez cliqué sur cette URL, vous devez vous connecter à votre compte Google et s’afficheront tous les mots de passe enregistrés dans votre navigateur Chrome.
Les paramètres du gestionnaire de mots de passe de Google Chrome
Si vous cliquez sur “Paramètres”, le gestionnaire vous propose de :
Ensuite les paramètres vous affichent la liste des sites internet sur lesquels vous avez un compte mais auxquels vous refusez de vous connecter automatiquement.
Paramètres du gestionnaire de mots de passe de Google
Le Check-up de vos mots de passe
Le “check-up” de vos mots de passe vous est proposé à l’ouverture de la page.
Si vous le lancez, on vous avertit que ce service vérifie la sécurité des mots de passe que vous avez enregistrés dans Google.
Précisément, vous saurez si certains ont été piratés, ou s’ils ont déjà été utilisés ailleurs, soit par vous sur plusieurs comptes, soit par un étranger.
Check-up Mots de passe Google
Cliquez sur “Vérifier les mots de passe” pour lancer l’analyse.
Vérifier la sécurité de vos mots de passe
A l’issue des quelques secondes nécessaires à l’analyse de sécurité de Google, on vous affiche les trois données suivantes :
- Les mots de passe qu’on vous a piratés et qu’il vous faut modifier
- Les mots de passe réutilisés plusieurs fois sur internet, qu’il faut rendre uniques
- Vos comptes qui utilisent des mots de passe trop faibles
Vous êtes donc enjoints à créer des mots de passe sécurisés pour chacune de ces rubriques. Cliquez simplement sur le mot de passe que vous voulez changer : vous serez renvoyé sur le site. Identifiez-vous et changez-le.
Mots de passe piratés à changer
La meilleure option gratuite : Bitwarden
Bitwarden est devenu un choix populaire parmi les partisans du logiciel libre. Après l’avoir utilisé pendant quelques mois, je peux comprendre pourquoi. Il est gratuit et sans limites, et il est tout aussi raffiné et convivial que les premium.
Le code open source qui alimente Bitwarden est librement disponible pour quiconque veut l’inspecter, rechercher des défauts et les corriger. En théorie, plus il y a d’yeux sur le code, plus il est étanche. Bitwarden a également été audité par une tierce partie pour s’assurer de sa sécurité. Il peut être installé sur votre propre serveur pour un auto-hébergement facile si vous préférez gérer votre propre nuage.
Il existe des applications Bitwarden pour Android, iOS, Windows, MacOS et Linux, ainsi que des extensions pour tous les principaux navigateurs internet, même les moins courants comme Opera, Brave et Vivaldi (qui supportent les extensions Chrome).
Une autre chose que j’apprécie est l’outil semi-automatique de BitWarden pour remplir les mots de passe. Si vous visitez un site pour lequel vous avez enregistré des informations d’identification, l’icône du navigateur BitWarden indique le nombre d’informations enregistrées sur ce site.
Cliquez sur l’icône et il vous sera demandé quel compte vous souhaitez utiliser, puis vous remplirez automatiquement le formulaire de connexion. Cela permet de passer facilement d’un nom d’utilisateur à un autre et d’éviter les pièges de l’auto-remplissage.
Si vous devez simplement faire remplir votre formulaire de manière entièrement automatisée, Bitwarden prend également en charge cette fonction.
Bitwarden premium
Bitwarden propose un compte de mise à niveau payant. Bitwarden Premium coûte 10 $ par an. Il vous permet d’obtenir:
- 1 Go de stockage de fichiers chiffrés
- une authentification à 2 facteurs avec des appareils comme YubiKey, FIDO U2F, Duo
- un rapport régulier sur l’hygiène et la santé du coffre-fort
- une assistance clientèle prioritaire
Le gestionnaire premium NordPass
NordPass est un tout nouveau gestionnaire de mots de passe provenant d’une entreprise au pedigree impressionnant.
NordVPN est un fournisseur de VPN bien connu, et la société apporte à son gestionnaire de mots de passe une grande partie de la facilité d’utilisation et de la simplicité qui ont rendu l’offre VPN populaire.
Le processus d’installation et de configuration est un jeu d’enfant. Il existe des applications pour toutes les grandes plateformes (y compris Linux), tous les navigateurs et tous les appareils.
- La version gratuite de NordPass est limitée à un seul appareil ; elle ne propose pas de synchronisation
- La version premium offre un essai gratuit de sept jours qui vous permet de tester la synchronisation des appareils
- Mais pour l’obtenir définitivement, vous devrez passer au plan à 36 dollars par an
NordPass utilise une configuration à connaissance zéro dans laquelle toutes les données sont chiffrées avant d’être téléchargées sur les serveurs de l’entreprise.
Parmi les autres caractéristiques intéressantes, citons la prise en charge de l’authentification à 2 facteurs pour se connecter à votre compte et un générateur de mot de passe intégré qui offre de nombreuses options pour gérer les sites mal conçus exigeant des caractères spéciaux.
A lire aussi
Comment supprimer vos mots de passe enregistrés dans votre navigateur
Qu'est-ce qu'un mot de passe
Mot de passe
Séquence de caractères nécessaire pour accéder à un système informatique.
