Utiliser un gestionnaire de mots de passe
30 Dec 2019
Maintenant que l'on a vu dans un précédent article comment créer un mot de passe robuste, il devient assez évident qu'il est impossible de retenir des centaines de mots de passe différents, il faut les stocker quelque part.
Méthodes "à l'arrache" à bannir
Il va sans dire que les méthodes de stockage de mot de passe ci-dessous sont à bannir d'urgence :
- dans le sticky notes de Windows
- dans un fichier Excel, Word… en local sur son PC/smartphone ou sur un service de stockage en ligne (Google Drive, Evernote, …)
- dans un mail
- dans un sms
- dans le navigateur web (voir cet article)
Le gestionnaire de mots de passe
On va donc se simplifier la vie en utilisant un gestionnaire de mot de passe.
Le principe est hyper simple : c'est un logiciel qui va retenir tous vos mots de passe à votre place, nous n'avez besoin que d'en retenir un seul : le mot de passe maître, qui permet de le déverrouiller. Et même mieux, il va générer lui-même des mots de passe très robustes pour tous vos comptes, vous n'aurez pas besoin de les créer vous-même.
Les avantages sont immenses : avoir des mots de passe robustes différents pour tous ses comptes, sans avoir besoin de s'en souvenir.
Evidemment mettre tous ses oeufs dans le même panier a sa part de risque :
- rien ne dit que le logiciel n'a pas de failles de sécurité, même s'il est régulièrement audité
- si votre mot de passe maître n'est pas assez robuste alors il peut être deviné et on peut déverrouiller le gestionnaire et accéder à tous vos mots de passe
Il existe de nombreux gestionnaires de mot de passe : 1Password, Dashlane, LastPass, KeePass pour ne citer que les plus connus.
J'ai choisi KeePass car :
- c'est un logiciel libre (code source librement accessible, et donc vérifiable)
- certifié par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information)
- multi-plateforme (Windows, Linux, Mac OS, Android, iOS, Blackberry…)
- aucun moyen de le déverrouiller sans le mot de passe maître (pas de système de récupération potentiellement moins sécurisé, ce qui oblige aussi à ne pas l'oublier)
NextInpact a fait un article détaillé sur ce logiciel, et également un autre article sur le gestionnaire de mots de passe qu'il vous faut.
KeePass en pratique
1e étape : créer sa "base de données"
Pour tout la partie création de sa base de données sur son ordinateur, je vous laisse consulter le site https://keepass.fr/ qui donne pas mal d'indications.
Vous trouverez aussi des tutoriels sur internet assez facilement.
Pour choisir votre mot de passe maître, je vous conseille la lecture de mon article dédié.
Une des particularités de KeePass est de ne pas avoir d'interface web ou de stockage en ligne intégré, pour l'instant votre base de données c'est juste un fichier .kdbx stocké sur votre ordinateur. Attention à bien faire attention où vous l'enregistrez pour ne pas le perdre ! On verra à l'étape 3 comment faire pour le rendre accessible de partout.
2e étape : stocker tous ses comptes dans KeePass
Etape très chronophage : il faut bien remplir son gestionnaire de mots de passe avec tous ses comptes, et ça prend un temps fou, mais c'est un passage obligé.
Tant que vous y êtes, je vous conseille de changer en même temps vos mots de passe avec des mots de passe aléatoires générés par KeePass (configurer une longueur de 25 caractères, avec ça vous êtes tranquille).
3e étape : synchroniser son fichier KeePass
Maintenant que vous avez renseignés vos comptes dans le fichier KeePass, vous avez probablement envie de pouvoir y accéder de votre smartphone/tablette, ou d'un autre ordinateur.
Pas de mystère, la seule solution c'est de déposer ce fichier sur un espace de stockage en ligne comme Google Drive, Dropbox ou encore Nextcloud, ce qui permettra de le synchroniser entre les différents appareils.
Normalement si vous avez choisi un bon mot de passe, il n'y a pas de raison de s'inquiéter car le fichier est protégé par un chiffrement complexe. Même s'il est piraté, il ne pourra pas être déverrouillé.
J'utilise Nextcloud comme espace de stockage en ligne pour y déposer mon fichier KeePass, et sur smartphone (Android 7.1) j'utilise les applications Nextcloud pour synchroniser en temps réel mes fichiers et KeePass2Android pour ouvrir le fichier KeePass.
UPDATE 03/05/2020 :
Pour dire à quel point l'adoption des gestionnaires de mots de passe commence à être la norme, Dashlane (un éditeur de gestionnaire de mots de passe) a acheté un espace publicitaire pendant le SuperBowl aux Etats-Unis : https://www.wired.com/story/dashlane-super-bowl-ad/