On nous le répète à longueur de temps : les mots de passe de nos comptes doivent être forts pour éviter que des pirates s'emparent de nos données. Mais qu'est-ce qui définit un mot de passe fort ? Existe-t-il des astuces pour en créer facilement ? On vous explique. Et si le sujet vous intéresse davantage, profitez-en pour découvrir notre comparatif des meilleurs gestionnaires de mots de passe.
Vous l'avez déjà vu sur plusieurs sites : à la création d'un compte, lorsque l'on choisit un mot de passe, un indicateur nous permet de déterminer la force de notre mot de passe en se basant sur des critères comme sa longueur et la présence de majuscules, chiffres et caractères spéciaux. Mais pour qu'un mot de passe soit considéré comme fort, il est nécessaire de respecter quelques critères supplémentaires, qui ne sont pas toujours faciles à déterminer et à prendre en compte lorsque l'on définit notre sésame. C'est là où un générateur et un gestionnaire de mots de passe s'avèrent utiles.
Mots de passe forts, mots de passe faibles, quelles différences ?
Les mots de passe faibles
La première étape pour réussir à créer un mot de passe fort est de savoir ce qui fait qu'un mot de passe est considéré comme faible. Chaque année, des entreprises et chercheurs font des tops des mots de passe les plus utilisés, dans lesquels nous retrouvons un schéma courant. Afin de pouvoir mémoriser facilement leurs sésames, les utilisateurs ont tendance à utiliser ce qu'ils connaissent : des combinaisons de caractères évidentes ("azerty", "qwerty", "123456"), des mots communs, des noms d'équipes de sport ou d'éléments de la pop-culture, des prénoms ou encore des dates de naissance.
Ces mots de passe présentent de nombreux problèmes. Si des informations personnelles comme un prénom ou une date de naissance sont utilisées, il devient très facile pour des pirates de le deviner, ce genre d'informations étant facilement accessibles en ligne. Quant aux autres, ils sont sensibles aux attaques par force brute et particulièrement à celles qui utilisent un système de dictionnaires : pour se connecter à un compte, les attaquants tentent d'essayer tous les mots ou sésames courants présents sur une liste et leurs variations, jusqu'à trouver le bon. Et, évidemment, les mots de passe présents dans les tops et les mots du dictionnaire sont testés en priorité.
Mais même si votre mot de passe est une suite de chiffres ou de lettres aléatoires, s'il est trop court, il restera facile à craquer pour les pirates, qui vont tester automatiquement plusieurs combinaisons possibles. Il faut également éviter les schémas évidents, comme un mot de passe qui commence par une majuscule, avec des lettres minuscules et qui finit par un symbole.
Comment créer un mot de passe fort ?
Après avoir dit ça, la question se pose donc de comment créer un mot de passe fort. Un mot de passe fort doit être une suite aléatoire de chiffres, de lettres minuscules et majuscules et de symboles, d'une longueur assez importante pour qu'il soit trop long pour un ordinateur d'essayer de le craquer automatiquement. La recommandation reste un minimum de 12 caractères, mais les ordinateurs étant de plus en plus puissants, il est préférable d'avoir des mots de passe encore plus longs. Si la possibilité reste qu'une attaque par force brute soit possible, plus le mot de passe est long et aléatoire, plus il devient compliqué et trop coûteux en temps pour les ordinateurs de réussir à le trouver avec ces méthodes.
Le dilemme des mots de passe forts
Un mot de passe fort et unique
Il ne suffit pas qu'un mot de passe soit long et généré aléatoirement pour qu'il soit considéré comme fort, il faut également qu'il soit unique. Pour la majorité de nos actions sur Internet, il est nécessaire de se créer un compte avec un mot de passe et d'être capable de s'y connecter facilement sur tous nos appareils. Par conséquent, pour se faciliter la vie, de nombreux internautes réutilisent leurs mots de passe sur plusieurs sites. Et même si leur sésame respecte toutes les recommandations, plus il est réutilisé, plus il est à risque.
Si un site sur lequel vous avez créé un compte se fait attaquer et si les pirates arrivent à récupérer des informations sensibles comme les mots de passe, tous vos autres comptes qui possèdent le même mot de passe sont désormais à risque, même si le sésame en question est considéré comme résistant. Il n'est pas rare que les informations récupérées soient ensuite publiées sur des forums sur le dark web et accessibles à de nombreuses personnes malintentionnées. Si votre mot de passe n'a été utilisé que sur un seul site, il vous suffit de changer vos identifiants de connexion sur ce site pour être protégé à nouveau, ce qui réduit les risques d'un piratage massif de tous vos comptes.
Les gestionnaires et générateurs de mots de passe
Pour résumer, pour être considéré comme fort, un mot de passe doit être long, unique et composé d'une suite de lettres, chiffres et caractères spéciaux aléatoires. Et il est bien entendu impossible pour qui que ce soit de mémoriser une telle quantité de mots de passe aussi complexes ou même de les générer sans recréer un schéma facile à deviner. Pour résoudre ce problème, il est assez simple de trouver un générateur de mots de passe sur Internet. Le générateur de la CNIL, par exemple, propose d'entrer une phrase longue, qui est ensuite "transformée" en mot de passe en prenant les premières lettres des mots, les chiffres et les symboles. Mais même avec ce genre d'astuces, difficile de tout mémoriser. Reste donc la question de leur stockage et il n'est pas franchement recommandé de les écrire dans un fichier texte ou Excel.
Entrent les gestionnaires de mots de passe. Ces logiciels et applications sont indispensables si l'on souhaite pouvoir respecter les recommandations en matière de sécurité. Ils permettent de générer aléatoirement des mots de passe longs et uniques, de les enregistrer et d'y accéder facilement sur tous nos appareils pour pouvoir se connecter à nos comptes. Ils protègent également nos données en les chiffrant à l'aide d'un mot de passe maître que l'on choisit à la création de notre compte. Ainsi, en cas d'attaque, sans notre mot de passe maître, il est impossible pour les attaquants d'accéder au reste de nos informations confidentielles. Et au lieu de devoir retenir de multiples mots de passe, nous n'avons désormais besoin de mémoriser que l'un d'entre eux, le master password.
Les meilleurs gestionnaires de mots de passe
Il existe de multiples gestionnaires de mots de passe et faire le bon choix n'est pas forcément évident. S'ils possèdent tous les mêmes fonctionnalités de base, les différences se feront du côté de leurs fonctionnalités supplémentaires et de leur manière de stocker nos données, en ligne ou en local. Si les gestionnaires de mots de passe en local pourront être préférés par les utilisateurs qui souhaitent garder le contrôle sur leurs données, pour la majorité des internautes, les gestionnaires en ligne seront plus simples d'utilisation.
NordPass
- mood Version gratuite limitée
- database Stockage illimité
- browse_activity Notification de fuite
- lock Chiffrement XChaCha20
- Web
NordPass est un très bon gestionnaire de mots de passe sans fioritures. Il assure le service qu’on lui demande : gérer ses mots de passe et quelques données sensibles. Ce service est simple, efficace et il bénéficie d’une politique de cybersécurité plus que correcte. Cependant, il manque peut-être d’ambition en ne proposant pas de fonctionnalités innovantes pour se démarquer de la concurrence. Par exemple, LastPass permet de gérer les codes d’accès et mot de passe de vos applications installées sur Windows tandis que la version Premium de Dashlane intègre un VPN.
- Interface claire et efficace
- Niveaux de sécurité
- Authentification biométrique
- Importation des données
- Version Premium un peu chiche
- Pas de fonctionnalités qui sortent du lot
NordPass propose toutes les fonctionnalités que l'on attend chez un gestionnaire : le stockage, la création et la gestion des mots de passe bien sûr, mais également la synchronisation automatique entre tous les appareils, le stockage de notes et de cartes bancaires, ainsi que le remplissage des formulaires à l'aide de nos informations personnelles. La sécurité n'est pas oubliée, avec l'authentification multifacteur, et, pour les abonnés Premium, un partage sécurisé et une analyse du web pour être au courant au plus vite lorsqu'une fuite de données a eu lieu. La version gratuite de NordPass convient aux utilisateurs qui souhaitent enregistrer un nombre illimité de mots de passe et qui acceptent de n'être connecté que sur un seul appareil à la fois (NordPass est disponible sur navigateur, ordinateurs Windows, macOS et Linux ainsi que sur mobile), mais les abonnements Premium offrent des fonctionnalités supplémentaires intéressantes.
Dashlane
- mood Version gratuite limitée
- database Stockage illimité
- browse_activity Notification de fuite
- lock Chiffrement AES-256
- Web
Dashlane est un gestionnaire de mots de passe réputé pour ses performances et l'ergonomie de sa solution. Compatible avec les différents systèmes d'exploitation d'ordinateur et de smartphone, il propose une extension pour la majorité des navigateurs. La confidentialité de vos comptes est renforcée par différentes solutions d'authentification à multiples facteurs. Très complète, son offre premium intègre aussi un VPN afin de limiter les risques de piratage lorsque vous vous connectez à vos sites depuis une borne Wi-Fi. On regrette cependant que Dashlane ait décidé de limiter à nouveau son offre gratuite, qui devient inutilisable au quotidien.
- Offre complète
- VPN intégré (premium)
- Support technique en français
- Offre Famille un peu chère
- Surveillance du dark web réservée à la version premium
- Version gratuite très limitée
Dashlane met en avant son atout sécurité, à savoir le fait que le gestionnaire de mots de passe n'a jamais été victime d'un piratage. Les utilisateurs sur PC peuvent obtenir le gestionnaire en téléchargeant l'extension de navigateur Dashlane, et sur mobiles, des applications pour iOS et Android sont disponibles. Là aussi, la version gratuite est avantageuse : mots de passe et partage sécurisé illimités, alertes de sécurité, double authentification… La limite se trouve au niveau du nombre d'appareils qui peuvent être utilisés à la fois, un seul dans le cas de l'offre gratuite. Les offres payantes apportent des fonctionnalités supplémentaires, comme la surveillance du dark web, un nombre illimité d'appareils et, pour les offres les plus chères, un VPN inclus.
1Password
- mood Version d'essai limitée
- database Stockage illimité
- browse_activity Notification de fuite
- lock Chiffrement AES-GCM-256
- Web
1Password propose des applications faciles à utiliser et perfectionnées qui fonctionnent sur PC, Mac, Chromebook et smartphones (iOS et Android). Sa fonction Watchtower vous aide à identifier et à modifier les mots de passe faibles, réutilisés ou compromis. Son « mode itinérant » reste original et pratique si vous allez dans des pays un peu trop curieux avec vos données personnelles. En cas de difficultés, vous pouvez contacter le support technique (par email, Twitter ou chat) qui est assez réactif et précis. Pour finir, 1Password est un bon gestionnaire pour une famille ou un groupe d’utilisateurs professionnel. Pour un usage personnel et grand public, d'autres gestionnaires sont gratuits et plus adaptés.
- Mode itinérant
- Gestion de la sécurité
- Authentification à deux facteurs
- Offre « famille » très flexible
- Pas d’offre gratuite
- Peu d’options d’authentification multiple
- Traduction de la documentation partielle
Comme pour les deux autres gestionnaires présentés, on retrouve chez 1Password toutes les qualités nécessaires pour être considéré comme l'un des meilleurs gestionnaires de mots de passe : création, enregistrement et remplissage automatique des mots de passe, nombre illimité de mots de passe, éléments et documents, partage sécurisé de ces informations, et, bien entendu, l'authentification à deux facteurs pour une protection supplémentaire sur son compte. Son petit plus, c'est le mode voyage, qui permet de supprimer nos données sensibles de notre appareil et de les restaurer en un clic. Contrairement à NordPass et Dashlane, 1Password ne propose pas de version gratuite, mais il est possible d'essayer ses deux formules d'abonnement gratuitement pendant 14 jours.
Si vous souhaitez en savoir davantage sur les gestionnaires de mots de passe :
Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.
Lire d'autres articles
