Comparatif des meilleurs gestionnaires de mots de passe (2022)

05 novembre 2021 à 12h33
43

Malgré ses défauts, le mot de passe reste toujours le principal Sésame pour accéder à ses comptes et protéger ses données sensibles. Encore faut-il respecter quelques règles de base qui apparaissent comme autant de contraintes. Les deux principales sont la mémorisation et la gestion de mots de passe uniques. Avec un gestionnaire de mots de passe, ce n’est plus un casse-tête. L’offre étant maintenant très large, voici notre sélection.

Freemium

LastPass

Freemium

  • Stockage illimité des mots de passe
  • Surveillance Dark web (Premium)
  • Interface
Choix de la rédac

Dashlane

Choix de la rédac

  • Offre complète
  • VPN intégré (Premium)
  • Synchronisation sur tous les appareils (Premium)
La solution familiale

1Password

La solution familiale

  • Mode itinérant
  • Gestion de la sécurité
  • Authentification à deux facteurs

Mots de passe écrits sur des post-it ou dans un tableau Excel, identiques pour plusieurs comptes, réduits à quelques caractères basiques comme un prénom et une date de naissance… Pour de nombreuses personnes, la gestion des mots de passe est un casse-tête. D’où ces pratiques très répandues, mais hélas très risquées. Pourtant, depuis des années, le Top 10 des mots de passe les plus utilisés dans le monde n’évolue pas beaucoup. Même chose en France.

Selon une étude menée par deux développeurs français, « 123456 », « 123456789 » et « azerty » composent le trio de tête des mots de passe les plus utilisés… Au risque de passer pour des rabat-joie, insistons encore sur le fait que ce type de mots de passe n’assure AUCUNE sécurité et confidentialité des données. Ils sont trop faciles à deviner et à trouver par des méthodes plus ou moins accessibles à tout le monde.

1. Lastpass : La solution ergonomique

Compatible Windows et MacOS mais aussi avec de nombreux navigateurs, LastPass est très facile à utiliser. Sa version gratuite permet de sauvegarder vos mots de passe, mais aussi vos informations sensibles.

LastPass
  • Stockage illimité des mots de passe
  • Surveillance Dark web (Premium)
  • Interface
Avis de la rédaction

LastPass est très facile à maitriser. Tout est intuitif et bien organisé, que ce soit avec la version à installer sur ordinateur ou les applications mobiles. Comme d’autres gestionnaires en ligne, la version desktop offre plus de possibilités de réglages. Disponible gratuitement ou en version Premium (et Famille), LastPass répondra à tous vos besoins. Y compris, assurer la sécurité de vos logiciels installés sur un ordinateur sous Windows (version Premium). Sa documentation en français (mais pas les vidéos…) est complète et accessible. Dommage que sa version Premium n’intègre pas un VPN comme Dashlane.

Avis de la rédaction

LastPass est très facile à maitriser. Tout est intuitif et bien organisé, que ce soit avec la version à installer sur ordinateur ou les applications mobiles. Comme d’autres gestionnaires en ligne, la version desktop offre plus de possibilités de réglages. Disponible gratuitement ou en version Premium (et Famille), LastPass répondra à tous vos besoins. Y compris, assurer la sécurité de vos logiciels installés sur un ordinateur sous Windows (version Premium). Sa documentation en français (mais pas les vidéos…) est complète et accessible. Dommage que sa version Premium n’intègre pas un VPN comme Dashlane.

Logiciel Freemium créé en 2008 et développé par l’éditeur américain
LogMeIn, LastPass est une solution intuitive et claire. Vous pouvez l’utiliser de deux façons sur votre ordinateur. Soit en ajoutant cette extension pour chaque navigateur que vous disposez. Soit en installant la version de bureau pour Windows, macOS et même Linux.

Offre, interface ergonomie, sécurité et fonctionnalités additionnelles

Offre


LastPass propose une version gratuite qui est très attractive, car elle permet le stockage illimité de vos mots de passe. Pour moins de 3 euros par mois, vous bénéficiez de la version Premium qui est elle aussi très intéressante. Comme Dashlane, LastPass propose un forfait conçu pour les familles. Ce compte familial coûte moins de 4 euros par mois et il est fourni avec six licences Premium.

L'interface et l'ergonomie


La configuration est très simple. Pour ajouter vos mots de passe dans LastPass, il suffit de se connecter au site dont vous voulez sauvegarder le mot de passe, puis de saisir vos identifiants sur la page de connexion et de vous connecter. L’ajout de documents dans votre coffre-fort est également très facile. A noter que les applications pour iPhone et Android sont des modèles d’intuitivité.

La sécurité


Pour assurer son business et ne plus ternir sa réputation, LastPass prend la sécurité au sérieux en utilisant le chiffrement AES 256 bits avec SHA-256 PBKDF2 et le hachage. Des mesures indispensables, car en 2015 l’éditeur avait été victime d’une intrusion informatique dans ses systèmes. Mais les mots de passe des utilisateurs n’auraient pas été compromis.

En 2019, une vulnérabilité signalée en privé, et pouvant potentiellement compromettre les mots de passe, avait été
rapidement corrigée. D’ailleurs, LastPass dispose de son programme de bug bounty.

Les fonctionnalités additionnelles


LastPass ne vous surprendra pas avec des fonctionnalités plus ou moins fantaisistes. Il propose quelques options intéressantes comme la possibilité de gérer les codes d’accès et mot de passe de vos applications installées sur Windows.

2. Dashlane : Le plus ergonomique

Société américaine co-fondée par plusieurs Français en 2009, Dashlane propose une solution très complète et simple à utiliser. Son offre Premium garantit une synchronisation parfaite entre vos différents appareils. Cet éditeur n’a jamais connu de violation des données des utilisateurs. Une assurance tranquillité.

Dashlane
  • Offre complète
  • VPN intégré (Premium)
  • Synchronisation sur tous les appareils (Premium)
Avis de la rédaction

Dashlane est un gestionnaire de mots de passe réputé pour ses performances et l’ergonomie de sa solution. Compatible avec les différents systèmes d’exploitation d’ordinateur et de smartphone, il propose une extension pour la majorité des navigateurs. La confidentialité de vos comptes est renforcée par différentes solutions d’authentification à multiples facteurs. Très complète, son offre Premium intègre aussi un VPN afin de limiter les risques de piratage lorsque vous vous connectez à vos sites depuis une borne Wi-Fi. Dommage que la version gratuite ne permette de stocker que 50 mots de passe.

Avis de la rédaction

Dashlane est un gestionnaire de mots de passe réputé pour ses performances et l’ergonomie de sa solution. Compatible avec les différents systèmes d’exploitation d’ordinateur et de smartphone, il propose une extension pour la majorité des navigateurs. La confidentialité de vos comptes est renforcée par différentes solutions d’authentification à multiples facteurs. Très complète, son offre Premium intègre aussi un VPN afin de limiter les risques de piratage lorsque vous vous connectez à vos sites depuis une borne Wi-Fi. Dommage que la version gratuite ne permette de stocker que 50 mots de passe.

Sur le papier, Dashlane propose les mêmes fonctionnalités que ses concurrents : création de mots de passe plus ou moins complexes, remplissage automatique de formulaires, partage de mots de passe… Dans la section Moyens de Paiements, vous pouvez enregistrer
toutes les données de votre carte et les compléter automatiquement lors du paiement. Mais quelques points font la différence avec la concurrence.

Offre, interface ergonomie, sécurité et fonctionnalités additionnelles

Offre


Dashlane propose une offre gratuite et une version Premium avec un large éventail de fonctionnalités. Le compte gratuit fonctionne avec un seul appareil et stocke jusqu’à 50 mots de passe. Pour 4 euros par mois, la version Premium offre un stockage illimité de mots de passe et un accès sur tous vos appareils, la surveillance du Dark web….

L'interface et l'ergonomie


Comme LastPass, la version de bureau de Dashlane propose d’ajouter automatiquement l’extension à tous vos navigateurs. Mais son extension est très minimaliste et n’intègre pas toutes les fonctionnalités que l’on peut retrouver dans le client lourd. À l’instar
des autres gestionnaires, la version Windows et MacOS embarque en effet beaucoup plus de réglages.  

La sécurité


Dashlane protège les données des utilisateurs grâce à un cryptage AES 256 bits, qui est la norme du secteur pour empêcher l’accès non autorisé aux comptes en ligne.  Non seulement il y a le mot de passe maître que vous définissez, mais Dashlane valide aussi l’appareil ou le navigateur que vous utilisez à l’aide d’un code 2FA envoyé par email.

Les fonctionnalités additionnelles


Dashlane propose de changer un ou plusieurs mots de passe enregistrés à la demande. Une fonctionnalité bien pratique pour mettre à jour vos données à intervalles réguliers. Attention toutefois, ces changements ne sont opérationnels qu’avec certains sites ! Enfin, Dashlane est le seul gestionnaire de mots de passe à mettre à disposition de ses utilisateurs Premium un VPN afin de renforcer la confidentialité de leurs échanges via un accès Wi-Fi.

3. 1Password : la solution pour une famille

Destiné dans un premier temps à l’écosystème d’Apple, il est dorénavant compatible avec la plupart des appareils, des navigateurs web et systèmes d’exploitation (MacOS, Windows, Linux), de sorte que vos mots de passe seront disponibles à tout moment, y compris sur les appareils mobiles (iOS, Android).

1Password
  • Mode itinérant
  • Gestion de la sécurité
  • Authentification à deux facteurs
Avis de la rédaction

1Password propose des applications faciles à utiliser et perfectionnées qui fonctionnent sur ordinateur (Windows, MacOS et Chromebooks) et smartphones (iOS et Android). Sa fonction Watchtower vous aide à identifier et à modifier les mots de passe faibles, réutilisés ou compromis. Son « mode itinérant » reste original et pratique si vous allez dans des pays un peu trop curieux avec vos données personnelles. En cas de difficultés, vous pouvez contacter le support technique (par email, Twitter ou chat) qui est assez réactif et précis. Pour finir, 1Password est un bon gestionnaire pour une… famille ou un groupe d’utilisateurs professionnel. Pour un usage personnel et grand public, LastPass est plus adapté et gratuit.

Avis de la rédaction

1Password propose des applications faciles à utiliser et perfectionnées qui fonctionnent sur ordinateur (Windows, MacOS et Chromebooks) et smartphones (iOS et Android). Sa fonction Watchtower vous aide à identifier et à modifier les mots de passe faibles, réutilisés ou compromis. Son « mode itinérant » reste original et pratique si vous allez dans des pays un peu trop curieux avec vos données personnelles. En cas de difficultés, vous pouvez contacter le support technique (par email, Twitter ou chat) qui est assez réactif et précis. Pour finir, 1Password est un bon gestionnaire pour une… famille ou un groupe d’utilisateurs professionnel. Pour un usage personnel et grand public, LastPass est plus adapté et gratuit.

À l’origine une application Premium pour MacOS uniquement, 1Password est maintenant compatible avec Windows et les systèmes d’exploitation iOS et Android. Sur le papier, cette solution partage de nombreuses fonctionnalités avec ses concurrents. Il y a cependant quelques différences.

Offre, interface ergonomie, sécurité et fonctionnalités additionnelles

Offre


Contrairement à la plupart des concurrents, le service de base n’est pas gratuit. Mais vous pouvez essayer gratuitement la « version 1Password » (environ 3 euros/mois) pendant 14 jours ou choisir « 1Password Families » (environ 5 euros/mois), là aussi, vous pouvez tester cette offre gratuitement durant 14 jours.

L'interface et l'ergonomie


L’application et les extensions web (appelées « 1Password X ») présentent une interface graphique plutôt réussie, à la fois sobre et élégante, facilitant la prise en main du logiciel. On regrette que la documentation ne soit pas disponible en français (seuls l’anglais, l’italien et le russe sont proposés).

La sécurité


Comme de nombreux gestionnaires de mots de passe, 1Password utilisent un modèle dit « zero-knowledge », ce qui signifie que votre mot de passe principal n’est jamais stocké sur leurs serveurs. Résultat, vous ne pouvez pas réinitialiser votre mot de passe principal en cas d’oubli. Si c’est votre cas, 1Password propose une solution de récupération de compte, mais qui est moins intuitive que celle de LastPass notamment.

Les fonctionnalités additionnelles


Son « Mode itinérant » permet de supprimer le contenu de votre coffre-fort 1Password lorsque vous êtes à l’étranger. Pratique pour éviter certains contrôles un peu trop tatillons aux frontières. À votre retour, vous pourrez le restaurer d’un simple clic. Enfin, son service Watchtower vous envoie des notifications (24 heures sur 24) dès
que l’un de vos comptes a été victime d’une fuite de données.

4. Bitwarden : la sécurité au juste prix

Développée depuis 2016 par une petite équipe aux États-Unis, cette solution est open source et multiplateformes. Elle ne dispose pas d’autant de fonctionnalités que celles proposées par LastPass ou Dashlane, mais sa politique de sécurité est une référence. Et son offre Premium est vraiment accessible.

Bitwarden
  • Politique de sécurité exemplaire
  • Hébergement sur un NAS
  • Offre Premium bon marché
Avis de la rédaction

Bitwarden est facile à utiliser, compatible avec Android et iOS et ses tarifs sont vraiment abordables. C’est aussi l’un des gestionnaires de mots de passe les plus sûrs, car son code source est accessible à tout le monde. Sa version gratuite offre les fonctionnalités de base dont vous avez besoin, y compris la possibilité de synchroniser autant de mots de passe que vous le souhaitez entre tous vos appareils, la prise en charge de l’authentification multiple (via une application ou une clé physique de type « Universal 2 Factor », YubiKey, Duo) et le partage. Dommage que sa version Premium n’intègre pas l’option « personne de confiance ».

Avis de la rédaction

Bitwarden est facile à utiliser, compatible avec Android et iOS et ses tarifs sont vraiment abordables. C’est aussi l’un des gestionnaires de mots de passe les plus sûrs, car son code source est accessible à tout le monde. Sa version gratuite offre les fonctionnalités de base dont vous avez besoin, y compris la possibilité de synchroniser autant de mots de passe que vous le souhaitez entre tous vos appareils, la prise en charge de l’authentification multiple (via une application ou une clé physique de type « Universal 2 Factor », YubiKey, Duo) et le partage. Dommage que sa version Premium n’intègre pas l’option « personne de confiance ».

Moins connu que d’autres poids lourds dans ce domaine, Bitwarden mérite qu’on s’y intéresse, car il ne manque pas d’atouts. Cette solution open source a mis en place une politique de sécurité exemplaire et son interface facilite son utilisation et les réglages. Bitwarden stocke vos identifiants de connexion, mais aussi vos identités, vos cartes bancaires et vos notes. Et plus encore….

Offre, interface ergonomie, sécurité et fonctionnalités additionnelles

Offre


Pour un usage personnel, vous pouvez vous contenter de la version gratuite qui ne limite pas le nombre de données sécurisées et la
synchronisation des appareils. Elle prend en charge l’authentification à deux facteurs à l’aide de Google Authenticator ou d’un équivalent.

L'interface et l'ergonomie


La version de bureau est assez simple. Il y a quelques paramètres à régler. Le plus surprenant concerne le niveau de sécurité imposé lors de la création d’un compte : Bitwarden ne vous impose rien comme le prouve votre capture. Autre point qui nous chagrine, il n’est pas possible d’importer les données d’autres logiciels ou d’une extension pour navigateur.

La sécurité


C’est le gros point fort de cette solution. Le fait que Bitwarden soit une solution open source la rend non seulement plus flexible, mais aussi plus sûre. Tout le monde peut consulter le code source sur GitHub, ce qui signifie que ceux qui ont le savoir-faire sont libres de consulter, d’auditer ou de contribuer au code. De plus, l’équipe de développement invite les chercheurs à faire des analyses de sécurité.

Les fonctionnalités additionnelles


Bitwarden vous permet d’héberger facilement vos propres mots de passe sur votre NAS ou en utilisant Docker. Avec Docker, vous pouvez héberger la pile d’infrastructure de Bitwarden sur Linux, MacOS ou Windows.

5. NordPass : le jeune prometteur

NordPass assure très bien la mission pour laquelle il a été conçu : sécuriser l’accès à vos différents comptes en ligne en gérant vos mots de passe. Son interface est claire avec des menus explicites. Il lui manque peut-être le petit « plus » qui incitera les internautes à le choisir plutôt que les autres…

NordPass
  • Interface claire et efficace
  • Niveaux de sécurité
  • Authentification biométrique

NordPass est un très bon gestionnaire de mots de passe sans fioritures. Il assure le service qu’on lui demande : gérer ses mots de passe et quelques données sensibles. Ce service est simple, efficace et il bénéficie d’une politique de cybersécurité plus que correcte. Cependant, il manque peut-être d’ambition en ne proposant pas de fonctionnalités innovantes pour se démarquer de la concurrence. Par exemple, LastPass permet de gérer les codes d’accès et mot de passe de vos applications installées sur Windows tandis que la version Premium de Dashlane intègre un VPN.

NordPass est un très bon gestionnaire de mots de passe sans fioritures. Il assure le service qu’on lui demande : gérer ses mots de passe et quelques données sensibles. Ce service est simple, efficace et il bénéficie d’une politique de cybersécurité plus que correcte. Cependant, il manque peut-être d’ambition en ne proposant pas de fonctionnalités innovantes pour se démarquer de la concurrence. Par exemple, LastPass permet de gérer les codes d’accès et mot de passe de vos applications installées sur Windows tandis que la version Premium de Dashlane intègre un VPN.

L'éditeur de NordPass opère depuis le Panama, un pays qui ne fait pas partie des Five Eyes ni des Fourteen Eyes, des alliances d'agences de renseignement de plusieurs pays qui surveillent les activités des internautes pour protéger la sécurité nationale. Après un problème de sécurité rencontré en 2019 par NordVPN, l'éditeur a renforcé sa politique de chiffrement pour concevoir un gestionnaire de mot de passe digne de ce nom.

Offre, interface ergonomie, sécurité et fonctionnalités additionnelles

Offre


Comme ses concurrents, NordPass propose trois offres : gratuite, Famille et Premium. À noter que NordPass annonce une assistance clientèle 24/7, même pour les utilisateurs gratuits.

L'interface et l'ergonomie


NordPass offre une expérience minimaliste qui permet d’aller à l’essentiel. Le processus d'importation des mots de passe est à l’image de son interface : simple et efficace. NordPass propose aussi le remplissage automatique des formulaires en ligne pour Chrome, Firefox, Opera et Edge, mais pas Safari.

La sécurité


L'éditeur a déployé une architecture Zero Knowledge particulièrement sécurisée. Tefincom a aussi retenu l'algorithme XChaCha20 pour chiffrer les coffres-forts, alors que la plupart des concurrents utilisent le cryptage AES-256. Coté utilisateur, NordPass propose la double authentification, dont l’authentification biométrique.

Les fonctionnalités additionnelles


NordPass n'a pas d'options qui sortent du lot. Sa version Premium propose le scan des e-mails pour identifier les comptes victime dune violation de données, ainsi que le partage des mots de passe avec d'autres utilisateurs de NordPass.  

6. KeePass : la solution en « local »

Créé par l’allemand Dominik Reichl en 2003, KeePass est un gestionnaire de mots de passe uniquement en « local ». Vous devrez télécharger l’application et tous les modules complémentaires que vous souhaitez afin d’accéder à vos mots de passe.

KeePass
  • Open source
  • Version portable
  • Nombreuses déclinaisons pour tous les OS
Avis de la rédaction

L’interface et l’utilisation de KeePass en feront peut-être fuir plus d’un. Mais ce logiciel gratuit répond parfaitement à ce qu’on lui demande en priorité : sauvegarder vos mots de passe. Autres atouts : une pléthore de plug-ins pour personnaliser son usage (interface, synchronisation cloud…). Il existe également des dizaines de déclinaisons pour tout appareil et système d’exploitation. Délivrée par l’Agence nationale de la sécurité des systèmes d’information pour des produits des technologies de l’information.

Avis de la rédaction

L’interface et l’utilisation de KeePass en feront peut-être fuir plus d’un. Mais ce logiciel gratuit répond parfaitement à ce qu’on lui demande en priorité : sauvegarder vos mots de passe. Autres atouts : une pléthore de plug-ins pour personnaliser son usage (interface, synchronisation cloud…). Il existe également des dizaines de déclinaisons pour tout appareil et système d’exploitation. Délivrée par l’Agence nationale de la sécurité des systèmes d’information pour des produits des technologies de l’information.

Apparu il y a 17 ans, KeePass fait figure de dinosaure avec son interface un peu vieillotte, son ergonomie pas vraiment intuitive au premier abord et l’absence de synchronisation entre différents appareils (c’est en effet un logiciel qui stocke en local vos mots de passe). Une fois qu’on a écrit ces quelques lignes, on peut se demander si KeePass doit être encore utilisé en 2021. La réponse est oui ! Présentons ses principaux atouts.

Offre, interface ergonomie, sécurité et fonctionnalités additionnelles

Offre


Elle se limite à une version gratuite. KeePass ne fait pas dans le « bling bling ». Ce logiciel répond à votre principal besoin : sauvegarder vos mots de passe.

L'interface et l'ergonomie


On ne peut pas dire que KeePass affiche une interface sexy ! Quand vous le découvrez pour la première fois, vous avez l’impression de faire un bon en arrière de plusieurs années. Avec KeePass, le partage n’est pas vraiment intuitif.

La sécurité


KeePass est disponible en deux versions, KeePass 1.x et KeePass 2.x avec chacune deux algorithmes de chiffrement (AES + Twofish ou ChaCha20). La base de données KeePass complète est cryptée, y compris les noms d’utilisateur, les URL et les mots de passe.

Les fonctionnalités additionnelles


En plus des nombreuses versions à installer sur ordinateur et
smartphones, KeePass est également disponible en version « portable » c’est-à-dire qui ne nécessite pas d’installation locale. Vous pouvez la stocker sur une clé USB et lancer le logiciel depuis n’importe quelle machine.

De quelques secondes à plusieurs années

Avec un ordinateur grand public, un mot de passe comme PassWord1 peut être trouvé en une poignée de secondes. Par contre, dès que l’on passe à des mots de passe supérieurs à 10 caractères (comprenant des symboles, des minuscules et des majuscules ainsi que des chiffres), le temps pour le casser passe à plusieurs mois, voire des années !

On comprend mieux l’intérêt de disposer de mots de passe en béton pour protéger vos données personnelles (numéro de carte bancaire, numéro de Sécurité Sociale, RIB...) et les accès à vos différents comptes en ligne. Entre les mains d’escrocs, tous ces éléments permettent d’usurper des identités, de faire du racket ou d’effectuer des achats sur le web...

Pour protéger vos informations, il est donc nécessaire de choisir et d’utiliser des mots de passe « forts », c’est-à-dire difficile à retrouver à l’aide d’outils automatisés et à deviner par une tierce personne.

Comment choisir ses mots de passe ?

  • Utiliser un mot de passe unique pour chaque service.
  • Choisir un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.).
  • Ne pas demander à un tiers de générer pour vous un mot de passe.
  • Modifier systématiquement, et le plus tôt possible, les mots de passe par défaut lorsque les systèmes en contiennent.
  • Renouveler vos mots de passe avec une fréquence raisonnable (tous les 9 à 12 mois par exemple).
  • Ne pas s’envoyer ses mots de passe sur sa messagerie personnelle.
  • Configurer les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe.

Si vous êtes convaincus de l’intérêt d’avoir des mots de passe plus costauds, il reste à franchir une étape supplémentaire pour mettre ces conseils en pratique : utiliser un gestionnaire de mots de passe. Installés sur votre ordinateur (et votre smartphone) ou accessibles en ligne via une extension, ces logiciels vous éviteront d’avoir une grosse migraine : ils créent à votre place des mots de passe complexes et uniques. Plus la peine, de se prendre la tête à vouloir les apprendre par cœur ; il vous suffit de n’en retenir qu’un seul appelé « Mot de passe maitre » (ou « passphrase »). C’est en quelque sorte la grosse clé d’une commode qui permet d’ouvrir tous les petits tiroirs contenant chacun un mot de passe. Mais comment créer un mot de passe maitre et s’en souvenir ? Il existe différentes techniques de mémorisation. La première est appelée la méthode « phonétique ». Elle consiste à utiliser les sons de chaque syllabe pour fabriquer une phrase facile à retenir. Par exemple la phrase « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am.

La plus simple à notre avis est la méthode des « premières lettres » en veillant à ne pas utiliser que des minuscules. Par exemple, la citation « un tiens vaut mieux que deux tu l’auras » donnera 1tvmQ2Tl'a. Pour tester votre phrase, rendez-vous sur cette page de la CNIL.

Cryptage AES 256 bits

Dernière étape pour renforcer la confidentialité de vos comptes, utiliser un gestionnaire de mot de passe. Il existe des dizaines de « coffres-forts » répartis en deux catégories. La première est celle des gestionnaires en ligne qui synchronisent vos données sensibles (mots de passe, mais aussi n° de carte bancaire, adresse postale…) entre tous vos appareils. La seconde catégorie est celle des gestionnaires hors ligne qui stockent votre base de données de mots de passe sur votre ordinateur (ou, dans certains cas, sur une clé USB pour leur version portable).

Bien qu’il y ait un risque accru inhérent à chaque fois que vous stockez votre mot de passe en ligne, les gestionnaires de mots de passe basés sur le cloud stockent généralement les données sous la forme d’un fichier crypté sécurisé qui ne peut être ouvert que sur votre ordinateur. Différents critères permettent de retenir celui qui vous conviendra le mieux en fonction de vos besoins. Le premier concerne le niveau de cryptage utilisé pour protéger vos données contre les accès non autorisés. La majorité de ce type de service en ligne utilise un cryptage AES 256 bits. Certains gestionnaires de mots de passe utilisent également d’autres techniques comme le hashtag qui consiste à brouiller un mot de passe.

La compatibilité des appareils (PC et smartphones) et des navigateurs ainsi que le stockage illimité de données sont également des critères importants. Autre fonctionnalité pratique : la saisie automatique du login/password lorsque vous vous connectez à un compte en ligne. La capture automatique des mots de passe est également très pratique. Convaincu par nos conseils, vous allez devoir certainement changer la plupart de vos mots de passe et les intégrer dans votre gestionnaire. Une tâche plus ou moins fastidieuse, mais que vous ne ferez qu’une seule fois dans un premier temps (puis tous les neuf mois – ou une fois par an - pour effectuer un renouvellement qui est conseillé).

Pas de risque 0

Deux solutions dans ce cas : soit vous ouvrez votre gestionnaire et créez un password aléatoire que vous vous copiez ensuite dans la rubrique « Modifier mon mot de passe » du compte en question. En rentrant un nouveau mot de passe, le gestionnaire le repère et vous propose de l’enregistrer automatiquement dans sa base.

Certains gestionnaires de mots de passe ont inclus une notification automatique (par courrier électronique, dans l’application ou les deux) lorsqu’une violation se produit sur un service que vous utilisez. Ces notifications sont très utiles pour se tenir au courant des changements de mots de passe nécessaires.

Enfin, les fonctions d’importation et d’exportation ne sont pas à négliger, surtout si vous décidez de changer de gestionnaire de mots de passe ou de sauvegarder sur un disque dur (avec une partition ou un dossier chiffré) votre base de données.

Quelle que soit la solution retenue, elle ne garantit pas une sécurité à 100% si vous ne choisissez pas des mots de passe « forts » (d’ailleurs, certains gestionnaires vous avertissent quand ils sont trop faciles à trouver) et si vous n’êtes pas un peu vigilant lorsque vous recevez des emails usurpant une marque ou un site (phishing).

Cloud en panne

Enfin, ne mettez pas vos œufs dans le même panier. Même si la plupart des gestionnaires de mots de passe en ligne ont mis en place une politique de sécurité efficace, personne n’est à l’abri d’un bug ou d’une attaque Ddos paralysant son activité. Aucune entreprise, même des poids lourds comme Microsoft ou Google (avec des pannes plus ou moins longues de leurs services en ligne), n’est pas à l’abri. C’est la raison pour laquelle, nous vous recommandons de stocker en local (avec KeePass) vos mots de passe : vous pourrez toujours accéder à vos comptes personnels même si Dashlane ou LastPass par exemple sont inaccessibles pendant quelque temps.

Voici notre sélection. Toutes les solutions présentées partagent de nombreux points forts et fonctionnalités. Il est donc difficile d’établir un classement, car elles se tiennent dans un mouchoir de poche. Les quelques points différenciants sont minimes : une affinité ou non avec l’interface, les tarifs et le contenu des versions Premium.

Philippe Richard

Journaliste pro depuis 1990, je suis spécialisé dans la cybersécurité, l’open source, le cloud computing et… la charlotte aux chocolats (petit message aux attachés de presse pour des articles de compl...

Lire d'autres articles

Journaliste pro depuis 1990, je suis spécialisé dans la cybersécurité, l’open source, le cloud computing et… la charlotte aux chocolats (petit message aux attachés de presse pour des articles de complaisance…). Bref, un dinosaure de l’IT sans préjugés et curieux !

Lire d'autres articles
Cet article contient des liens d'affiliation, ce qui signifie qu'une commission peut être reversée à Clubic. Les prix mentionnés sont susceptibles d'évoluer. 
Lire la charte de confiance
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
43
34
kifjeff
Il manque pour moi le meilleur : Psono, qui est gratuit, compatible 2FA, collaboratif, en ligne et bien d’autre ! Il y a même la possibilité de faire son propre serveur.
amicalmant
Ah! Je ne connaissais pas celui-ci, merci. Questions:<br /> Il n’y a pas de client desktop? Juste une interface Web et des extensions de navigateur?<br /> As-tu testé Bitwarden? Si oui, pourquoi préfères-tu Psono?<br />
kifjeff
Non pas de client desktop.<br /> Je n’ai pas tester bitwarden car il est payant.<br /> Il y a la possibilité de tester le logiciel sans installation avec une version sur psono.pw
Noardy
Très intéressant, merci pour cet article. Personnellement j’utilise BITWARDEN en version premium (10€ par an) et je le trouve vraiment très bon et très complet : multiplateforme, pas cher, partage de mot de passe (avec la famille par exemple), 2FA, extension pour navigateur, autocomplétion, bref je recommande.
ralfi31
J’utilise aussi BITWARDEN en version gratuite et autoheberge. Il remplit tous les besoins et est accessible depuis partout dans le monde. Parfait
stevelumia
Il y a aussi Bitwarden, un gestionnaire de mot de passe libre et gratuit
g-m1n1
J’utilise mSecure sur tous mes appareils (PC, Mac, iPad, iPhone…) (payant une seule fois, 30€, mais je crois qu’il est en promo en ce moment).<br /> Bitwarden marche bien aussi, je l’ai installé sur le smartphone et PC de ma copine en version gratuite. RAS.
Adrift
Bizarre tous ces commentaires a propos de «&nbsp;Bitwarden&nbsp;»…
ar-s
Je viens de passer de LastPass à BitWarden car ce dernier dans sa version gratuite permet de synchroniser les MDP via PC ET TEL (android), ce qui ne sera bientôt plus le cas gratuitement chez LastPass…
tangofever
Y’a un souci avec AI Roboform ?
roboc
Les conditions de LastPass vont évoluer LastPass limite l’usage gratuit de son gestionnaire de mots de passe.<br /> Il faudra choisir entre deskstop ou mobile sur la version gratuite, ce qui limite énormément l’intérêt comparativement à d’autres solutions comme Bitwarden.
roboc
Normal, il est moins connu et si tu fais des recherches, tu te rends compte que c’est une alternative à LastPass en opensource.
marc6310
Ce n’est pas «bizarre» mais tout simplement un consensus vu que ce gestionnaire réuni toutes les qualités d’un bon gestionnaire de mots de passe. C’est le seul logiciel en SAAS (aussi disponisble en self-hosted) pour lequel j’accepte de payer le prix car il est raisonnable mais aussi complétement justifié.
jvachez
Bitwarden semble être le mieux en gratuit.<br /> Il y a toutes les fonctions de bases dans l’offre gratuite : stockage d’un nombre illimité d’identifiants / mot de passe sans avoir besoin de forcément passer par l’installation d’un serveur perso, synchro multi appareils.
Poolnich
Pour ma part, j’utilise depuis plusieurs années Enpass, avec une synchro via Box (peut se faire en local), entre mon PC et mes appareils mobiles (x2). Pas de sauvegarde sur leurs serveurs.<br /> Extrêmement satisfait, associé à l’extension sur Brave.
Ethancarter233
Et Roboform, personne n’en parle ? Il me semble que c’est le plus ancien gestionnaire existant (couplé avec Netcaptor… toute une époque !), il a bien évolué, le tarif est correct (sur 5 ans)…
Zosobk
Enpass est aussi une bonne alternative à ces solutions.<br /> Les mots de passe ne sont pas stockés sur serveurs uniquement sur le device, c’est mieux pour la sécurité. Avec possibilité de l’héberger et synchroniser sur une solution cloud de son choix: onedrive, iCloud, google drive, dropbox etc. L’application est très complète et ce n’est pas une webapp. Dispo sur Windows Mac linux iOS Android et même possibilité de le mettre sur clé usb. Extension pour chrome, firefox, safari, edge opera vivaldi.<br /> Je ne comprends pas comment vous pouvez conseiller dashlane ?! Sa fonction de remplacement automatique de mots de passe laisse passer en clair les données entre le serveur et le client. Ça ne donne pas confiance.
Remy31
Que pensez-vous du gestionnaire de mot de passes proposé par Kaspersky ?<br /> J’utilise Kaspersky depuis de nombreuses années et j’en suis très content. Par conte je ne sais pas si je peux avoir confiance pour stocker tos mes mot de passe chez eux…
jedi1973
Aucuns, ils sont tous piratable…Le petit carnet en papier reste la meilleur methode…
ZiwiPeak
Question idiote, quel intérêt par rapport à Google qui sauvegarde aussi les mots de passe ?
Blap
@jedi1973 Une des pires solutions, désolé.<br /> Les gestionnaires de mots de passes ont leurs travers, et selon le service utilisé ces defauts sont différent, mais ca reste un des systemes les plus sécurisé.<br /> Certains ne sont d’ailleurs pas piratables a moins de donner ton mot de passe directement, ce qui reste toujours bien plus préférable a un carnet physique.
notolik
Carnet, logiciel, … C’est naze, archi-naze . Le même mot de passe partout et hop, c’est plié…<br /> Le mieux c’est un truc simple genre 007 ou 123. Malheureusement à de nombreux endroit il faut un truc un peu chiadé, donc autant prévoir directement le coup et opter partout pour un truc genre «&nbsp;Abcd-1234&nbsp;».<br /> Content d’avoir aidé.
drus
Et sinon, une solution éprouvée et gratuite : Keepass avec la base .kdbx sur un partage réseau (NAS par exemple). Pour les nomades, on peut le mettre dans un dossier local synchronisé, ça marche au top. Connexion avec mot de passe + fichier clé présent uniquement côté client.
yam103
Exactement, c’est une des solutions indiquée dans l’article.<br /> Je l’utilise sous windows, linux, et android, pour ouvrir la même base de donnée.
juju251
drus:<br /> Et sinon, une solution éprouvée et gratuite : Keepass avec la base .kdbx sur un partage réseau (NAS par exemple). Pour les nomades, on peut le mettre dans un dossier local synchronisé, ça marche au top. Connexion avec mot de passe + fichier clé présent uniquement côté client.<br /> +1 pour Keepass.<br /> Mais perso, c’est en local + réplication manuelle du fichier quand j’ajoute modifie un / des mdps.<br /> Même avec du chiffrement, héberger mes mots de passes sur un service en ligne ? Hmmm, pas convaincu du tout. <br /> ZiwiPeak:<br /> Question idiote, quel intérêt par rapport à Google qui sauvegarde aussi les mots de passe ?<br /> Je vais parler de ce que je connais : Keepass, qui est logiciel installable sur PC (il existe d’autres logiciel supportant son format de fichiers sur d’autres plateformes, telles que Android).<br /> Tout d’abord on peut enregistrer des mots de passes hors web, ce qui peut être utile dans certains cas (ça me permet d’y stocker des mots de passe de machines distantes que j’administre via SSH).<br /> L’enregistrement se fait dans un fichier dédié que l’on choisi, il est donc facilement possible d’en faire des copies de sauvegardes, etc.<br /> De plus, rien n’est sauvegardé en ligne (sauf si on utilise un service externe), Keepass est une solution locale et n’est pas intégré dans un navigateur (et n’est donc pas éventuellement exposé à une faille possible de ce dernier sur ce point).
drus
Oui sauf que l’article n’indique pas que la base de mots de passe peut être distante, hébergée sur son propre NAS ou autre. Et avec l’extension Kee (Firefox, Chrome) et l’autocomplétion, cette solution est pour moi parfaite.
drus
En fait ça dépend de l’usage, quand c’est une base de mots de passe collaborative (ce qui est mon cas), pas le choix il faut le mettre sur un partage réseau local.
Killa_Bees_Be
@jedit1973 … vous êtes très mal renseigné
clockover
D’autres sont bien naïfs ^^
Pixou
La «&nbsp;journée mondiale du mot de passe&nbsp;» ? sérieusement ???
Killa_Bees_Be
Non … juste renseigne correctement en lisant ce que les autres ne lisent pas ou n’essaient pas de comprendre
bmustang
bitwarden sur un qnap, c’est top et sur mobile mode déconnecté, c’est génial !
clockover
Ce n’est pas compliqué.<br /> TOUT service de type «&nbsp;cloud&nbsp;» est vulnérable.<br /> Alors un service qui stocke les mots de passe de millions de personnes…<br /> Après oui on peut décider de faire confiance à des inconnus qui exploitent un service vulnérable et considérer qu’ils font le maximum avec la meilleur éthique possible. Mais ça c’est très naïf.
megadub
C’est très excessif. Autant que je sache, il n’est jamais arrivé, ou vraiment à la marge, que des données critiques finissent dans la nature pour des sites critiques type gestionnaire de mots de passe, service bancaire, drive, etc. Cloud ou pas, si c’est bien foutu, les données sont parfaitement protégées.<br /> Dans le cas spécifique des gestionnaires de mots de passe, tu es même immédiatement alerté si ton compte a fuité
beber751
Moi je suis sous Sticky Password (surtout parce que j’ai réussit à choper une license premium lifetime mais que l’on peut encore trouver)
Killa_Bees_Be
AES256 n’a pas encore été cracké à ma connaissance. J’ai confiance en Bitwarden
juju251
bmustang:<br /> bitwarden sur un qnap, c’est top et sur mobile mode déconnecté, c’est génial !<br /> Je ne connais pas Bitwarden, mais on peut l’installer sur une machine en local ?<br /> Aucune communication avec leurs serveurs ?<br /> Parce que cela pourrait être, dans mon cas, une alternative intéressante à Keepass si jamais je veux quelques chose de plus «&nbsp;connecté&nbsp;». ^^<br /> Edit : Je m’auto-réponds.<br /> Oui en effet, il est possible de l’auto-héberger.
clockover
lesnumeriques.com<br /> Piratage : le gestionnaire de mots de passe Passwordstate victime d'une grave...<br /> Utiliser un gestionnaire de mots de passe est extrêmement pratique pour s'authentifier avec des sésames uniques sur chaque site et service. Seul problème, quand ce logiciel est lui-même la cible d'une faille, les dégâts peuvent être considérables.<br /> Je n’ai que cet exemple en tête.<br /> Ce n’est pas un service en ligne mais cela provient bien d’un service de mise à jour en ligne officiel ;).<br /> Perso les boite noire c’est pas mon truc
bmustang
c’est exactement ça ! mon mobile se synchronise une fois que je suis sur mon réseau et reçoit ou envoie vers le serveur. Tu peux aussi exporter sécurisé ton coffre-fort pour stocker vers un fichier en cas de réinstallation de bitwarden et importer, c’est aussi simple que ça<br /> si tu veux une synchro permanente, tu peux toujours installer un vpn sur ton serveur et le client vpn sur ton mobile.
megadub
Oui, à la marge Les défaillances peuvent exister mais en l’occurence, 1password ou Lastpass, en terme de sécurité c’est très très abouti, il y a une triple authentification plus alerte en cas de nouvelle connexion.
Queekeg
Bon et bien entre les liens sponsorisés de l’article initial et les commentaires nombreux pour bitwarden, je n’ai malheureusement pas la réponse à la question qui m’a amenée ici, peut-être pourrez-vous m’éclairer ?<br /> Google fan depuis le début, j’essaie de transférer tous les services vers de l’Open Source parce que don’t be evil, c’est fini. Quitte à payer un peu. Duckduckgo, protonmail+vpn…<br /> Sauf que le gestionnaire de mots de passe de Chrome est quand même très bien foutu, multi plateformes, suggestion de mots de passe impossibles, double identification, CB… Est-ce que vous connaissez une solution qui puisse vraiment le remplacer ?
fred8
j’ai utilisé Roboform pendant des années et je l’ai abandonné car il n’arrivait pas à reconnaitre des sites pour lesquels les identifiants étaient enregistrés par exemple Amazon ! l’url courte pas de problème… Mais une url plus longue vers le suivi d’un produit déjà acheté et notifié par mail, impossible pour Roboform de reconnaitre qu’il s’agit d’amazon Quand à Bitwarden effectivement il a tout pour plaire sauf qu’au moment d’importer la liste de ses anciens mot de passe il demande de les copier en clair sur leurs serveur en ligne ! bof bof niveau sécurité surtout du côté du «&nbsp;Zéro knowledge&nbsp;» … Impossible d’importer ses mots de passe Offline pour Bitwarden à moins de les saisir un par un. Je pense que cela est voulu et même plutôt louche.<br /> Quand à sticky password : il lance des connexions non cryptées en tâche de fond sur le port :80 pour solliciter je ne sais quelle API sur GIthub… Le pire c’est que sticky password a une activité en ligne plutôt intense Alors qu’il n’est pas utilisé ! Il se connecte à des adresses de sites étranges que je n’ai jamais visité ( interface de déclaration fiscale des société, garage auto…), le support m’a indiqué que c’était pour télécharger des favicons … Mon oeil pas d’intérêt puisque ce sont des sites que je ne visite jamais ! Ouvrez tcpview et monitorez l’activité réseau de votre gestionnaire de mot de passe, pour sticky password c’est édifiant. Pour les connexions sur le port 80 je n’ai eu aucune réponse du support.
alt.fi
Pourquoi Keepass si loin au profit de logiciels douteux et sans souveraineté des données ? Le choix de ce type de logiciel doit se porter exclusivement sur la sécurité étant donné qu’il doit contenir des données sensibles. Il est d’ailleurs le seul utilisé dans certains des plus gros groupes industriels et par notre gouvernement.<br /> Il propose aussi la synchronisation vers un lieu de son choix (sur un cloud ou nas distant par exemple) et un très bon chiffrage de la base de données
Voir tous les messages sur le forum
Haut de page