Un gestionnaire de mots passe, nous devrions tous en avoir un, car il est impossible de tous retenir facilement tous nos mots de passe robustes et autres informations. Mais comment bien sécuriser son gestionnaire de mots de passe.
Premièrement, l’objectif d’un gestionnaire de mots passe ou voûte de mot de passe est de bien sécuriser à double tour tout ce qu’il contient. Il peut contenir des mots de passe, des numéros d’identification personnels (NIP), les réponses à nos questions de sécurité que certains sites nous demandent, des codes secrets, possiblement des clés MFA de certains comptes, une copie de nos clés privées de chiffrement, etc.
Étant donné qu’il contient tous vos autres mots de passe et autres informations super importantes et critiques, alors il est très important voir crucial de super bien le sécuriser.
Les gestionnaires de mots passe existent depuis longtemps, localement dans une base de donnée chiffrée sur votre poste de travail. Il y a maintenant les versions Cloud pouvant être intéressantes, car disponibles où que nous soyons à condition que leur service ne soit pas en panne et qu’Internet soit aussi accessible. Certains offrent aussi la synchronisation entre le Cloud et la base de donnée locale sur votre poste de travail. Évidement, les cannaux de communication entre ceux-ci sont sécurisés avec des protocoles de chiffrement lors du transit d’information.
Pour la très grande majorité, les gestionnaires de mots passe sont très sécuritaires, car ils offrent maintenant un niveau de chiffrement de 256 bits ou plus. Par contre, vous devez bien configurer la sécurité quant à son accès pour l’ouverture et son et utilisation sécuritaire.
C’est du sérieux
Finalement, la sécurité des gestionnaires de mots de passe ne doit pas être prise à la légère, car ils sont et seront mis de plus en plus à l’épreuve par des pirates. Dernièrement, ce fut LastPass qui semble avoir fait l’objet d’attaques. Alors voici comment bien sécuriser vos gestionnaires de mots passe.
Dans tous les cas, la responsabilité d’une utilisation sécuritaire vous revient.
1 – Mot de passe très robuste
Rappelez-vous que vous devez sécuriser tous vos trésors contenus dans votre gestionnaire de mots passe.
Alors, il ne faut surtout pas lésiner sur ce point, car il est trop facile pour les ordinateurs conventionnels de casser un mot de passe de 8 à 15 caractères, même avec des caractères complexes.
En conséquence, assurez-vous d’avoir au moins 21 caractères ou plus pour votre mot de passe « maître ». Je vous donne un truc pour retenir tout ça simplement au point suivant.
2- Mot de passe unique et facile à retenir
Utilisez quatre mots, ou plus selon le besoin, de choses qui vous entourent. Ce n’est pas farfelu, regardez la petite vidéo de sensibilisation sur les mots de passe de CyberEco.
Maintenant, voir à inclure des majuscules, des chiffres et aussi des caractères spéciaux ici et là dans et entre vos mots. Vous verrez qu’il est facile d’obtenir un mot de passe d’un minimum de 15 caractères.
Aussi, ce mot de passe sera utilisé uniquement pour votre gestionnaire de mots passe. Il ne devra jamais être utiliser ailleurs. On ne veux pas qu’il soit compromis via une autre utilisation sur un service ou une application mal gérées.
3- Authentification à double facteur applicatif 2FA / MFA
Maintenant, la cerise sur le Sunday. Vous y activer l’authentification à double facteur, et à plus forte raison pour les versions Cloud.
Cette option offrira une sécurité supplémentaire afin que vous soyez la seule et unique personne à pouvoir déverrouiller votre base de données de mots de passe.
Pas certain de bien saisir cette option, alors voici un article qui vulgarise très bien la chose pour une compréhension facilité afin de tout saisir sur l’Authentification à double facteur 2FA / MFA et son efficacité.
Voici quelques applications pour n’en nommer que quatre. Pensez à faire une sauvegarde de vos codes.
PS Avoir de l’authentification à double facteur d’activée n’est surtout pas une raison pour diminuer la robustesse de votre mot de passe maître.
En passant, un gestionnaire de mots de passe le moindrement sérieux doit offrir l’authentification à double facteur. S’il ne l’offre pas, changer de produit. Cela démontre qu’il n’offre pas de solutions sérieuses. De plus, s’il offre l’authentification à double facteur via SMS, oubliez ce mode. L’authentification par SMS n’est pas suffisamment sécuritaire, voir article « Cessez les SMS comme authentifiant ».
4- Authentification à double facteur physique 2FA / U2F
Pour davantage de sécurité, certains gestionnaires de mots sécuritaire offrent aussi la possibilité d’activer l’authentification à double facteur avec des jetons de sécurité. Ces jetons sont de réelles clés physiques conçues expressément pour l’authentification à double facteur et davantage pour certaines. Elles sont très faciles à utiliser, très sécuritaires et de plus en plus abordables pour la valeur de sécurité que ces clés offrent.
On les appelle des Universal 2nd Factor (U2F). C’est le véritable deuxième facteur en sécurité soit « Ce que vous posséder ». Voir l’article « Authentification à double facteur 2FA / MFA » pour plus d’explications et leur distiontion.
Considérez d’avoir un type jeton qui fonctionne pour chaque appareils sur lesquels vous en ferez l’utilisation.
Aussi, toujours considérer configurer un jeton supplémentaire pour garantir le risques de la perte d’un jeton.
Feitian, Google et Yubico sont très bien connus pour leurs jetons qui offrent des fonctionnalités pour différentes usages et à des prix de plus en plus abordables.
Pour ma part, je fais l’utilisation de jetons de sécurité depuis déjà un certain temps. Autant pour mon gestionnaire de mots de passe que pour gérer l’accès à des sites et services Web critiques tel que mes Email, Amazon, Réseaux Sociaux et mes sites de cryptomonnaie et autres.
Contactez-moi, si vous avez besoin d’aide pour leur configuration.
5- Configurations de la voûte de mots de passe
Plusieurs éléments de sécurité sont à cosidérer pour une utilisation sécuritaire et tous n’offrent peut-être pas les fonctionnalisté attendues. Au minimum, considérez les deux suivant.
- Premièrement, l’application doit pouvoir limiter dans le temps la rétention de capture en mémoire d’un mot de passe que vous venez de « Copier ». Exemple : 30 sec.
- Deuxièmement, l’application doit pouvoir refermer la base de données après un délai d’inutilisation maximal. Pour les version Cloud sur l’interface Web, on parlera de “logout“. Exemple : 2 min.
Vous trouverez certainement d’autres paramètres intéressants à considéer pour vos usages.
6- Les extensions des fureteurs Web
Bien que les extensions de fureteur Web ou utilitaires enfichables “Plugin” puissent être forts utiles pour récupérer vos mots de passe de la voûte et les copier dans une fenêtre d’authentification sur un site Web, n’en demeure pas moins que les “Plugin” peuvent présenter des failles de sécurité supplémentaires importantes. D’autant plus que les “Plugin” sont trop souvent oubliés pour leur maintien des mises à jour.
Pour ces raisons, je ne recommande donc pas l’utilisation d’extensions des fureteurs Web.
7- Ordinateur compromis
Cela peut paraitre évident losqu’on y pense, mais il ne faut pas utiliser son gestionnaire de mots de passe sur un ordinateur ou système sur lequel nous avons des doutes qu’il soit compromis.
Ne pas oublier…
Assurez-vous de maintenir à jour votre logiciel. La majorité des gestionnaires de mots de passe vous aviseront lors des nouvelles mises à jour.
Conclusion
Avoir un mot de passe complexe d’un moins de 21 caractères est obligatoire. Vous devez aussi activer l’authentification à double facteur. Pourquoi pas avec des clés U2F qui sont encore plus sécuritaires. De plus, une configuration de base de sécurité sur son utilisation est fortement suggérée. Finalement, l’utilisation d’extension ou “Plugin” de fureteur Web ne fait qu’augmenter les risques.
Si vous mettez en place toutes ces bonnes pratiques, vous pouvez avoir la conscience très tranquille que vos mots de passe et informations critiques sont en toute sécurité.
Pour plus d’information, n’hésitez pas à joindre le groupe d’entraide ou me contacter pour de l’accompagnement.
Devenez vous aussi rapidement avisés, proactifs et Cybersécuritaire !
« Les bénéfices d’une prévention minimale en sécurité dépassent largement son investissement »
– Joel Dubois