Password Day : comment bien gérer ses mots de passe

Fanny Dufour
Publié le 28 décembre 2023 à 15h27
Le Password Day pour rappeler l'importance des mots de passe forts
Le Password Day pour rappeler l'importance des mots de passe forts

Cela fait désormais plus de 10 ans que le World Password Day nous rappelle chaque année l'importance des bonnes pratiques en matière de mots de passe. Mots de passe forts et uniques, utilisation d'un gestionnaire de mots de passe, ajout de la double authentification sur ses comptes… Autant d'actions à entreprendre pour protéger ses comptes des attaques, notamment brute force. Mais si nous devons insister cette année sur un point, c'est sur l'utilisation d'un gestionnaire de mots de passe : en plus de permettre de créer et gérer facilement des mots de passe complexes, une partie d'entre eux commencent à prendre en charge l'authentification passwordless, à l'aide de clés plutôt qu'un mot de passe. Si cette méthode de connexion n'est pas encore très répandue, son adoption augmente et il est intéressant de commencer à se préparer.

NordPass
Clubic
NordPass
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement XChaCha20
9.2 / 10
9.2 /10

Mot de passe : le calvaire des internautes

Que ce soit en France ou dans le monde, chaque année les mots de passe les plus utilisés restent bien trop faibles et courants : « azerty » (ou « qwerty » pour les anglophones), « 123456 », avec bien sûr sa variante « 123456789 » qui permet de répondre aux exigences de taille souvent imposées par les sites web modernes. Tous ces codes sont faciles à cracker, en plus d’être sensibles aux attaques par dictionnaire.

De plus, plusieurs études ont déterminé que les internautes continuent d’avoir l’habitude d’utiliser des éléments de leur vie privée comme code secret pour protéger leurs comptes : le nom de leur enfant, l’année, leur équipe de football préférée… De mauvais choix, car quelques recherches rapides sur Internet, par exemple sur vos réseaux sociaux, pourraient permettre à un hacker de récupérer vos identifiants en se basant sur les informations que vous dévoilez dans votre vie quotidienne.

Même si les sites essaient d’encourager l’utilisation de mots de passe sécurisés de leur côté, il semblerait que la majorité des utilisateurs soient encore hermétiques à la pratique.

Et le mot de passe le plus populaire en France est...

Malheureusement sans surprise, on constate que les mots de passe les plus populaires en France et dans le monde offrent une très faible protection.

Définissez un bon mot de passe

Il faut dire que trouver un bon mot de passe n’est pas forcément un exercice évident pour tout le monde. Pourtant, des règles existent pour choisir un code secret efficace de manière simple, sans avoir besoin d’utiliser un logiciel externe. Vous pouvez avoir recours à une phrase de passe, plus longue donc plus dure à brute force pour un hacker, mais aussi facile à retenir pour vous. À partir de cette phrase, vous pouvez créer une expression forte en enlevant les espaces entre les mots, en ne gardant que la première lettre de chaque, en retirant certaines lettres, en en remplaçant d'autres par des chiffres… À vous de faire marcher votre imagination !

Si cette façon de faire ne vous convient pas, fort heureusement, d’autres astuces existent comme les jeux de clavier, la phonétique, l’imbrication… Nous les avons détaillées pour vous dans ces articles.

Qu'est-ce qu'une attaque par brute force ?

Eviter les mots de passe trop simples à deviner

Comment les hackers réussissent-ils à trouver les mots de passe simples ? Qu'est-ce qu'une attaque par force brute ?

Retrouvez tous les détail dans cet article.

5 règles pour créer un mot de passe sûr et introuvable… ou presque !

Découvrez ces quelques règles simples qui permettent d'avoir un mot de passe fort dont vous vous souviendrez facilement !

Facilitez-vous la vie avec les gestionnaires de mots de passe

La solution la plus simple reste tout de même l’utilisation d’un gestionnaire dédié. Il s'agit d'un logiciel qui vous permet de générer et enregistrer vos identifiants dans un seul endroit. Grâce à lui, votre mémoire ne sera plus mise à rude épreuve (on vous rappelle que la règle d’or est d’en utiliser un différent par site), vous n’aurez qu’à vous souvenir de celui qui sécurise le gestionnaire, pendant que les autres seront au chaud, à l’abri des yeux indiscrets. Une partie d’entre eux proposent en plus une fonctionnalité qui vous avertit lorsque l’un de vos comptes a été compromis. Si vous souhaitez prendre de nouvelles bonnes habitudes en ce Password Day et choisir un nouveau gestionnaire de mot de passe, direction notre comparatif qui saura vous guider.

Les meilleurs gestionnaires de mots de passe

Clubic compare de manière indépendante et objective les meilleurs gestionnaires de mots de passe. 

NordPass

NordPass
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement XChaCha20
9.2 / 10

NordPass est un très bon gestionnaire de mots de passe sans fioritures. Il assure le service qu’on lui demande : gérer ses mots de passe et quelques données sensibles. Ce service est simple, efficace et il bénéficie d’une politique de cybersécurité plus que correcte. Cependant, il manque peut-être d’ambition en ne proposant pas de fonctionnalités innovantes pour se démarquer de la concurrence. Par exemple, LastPass permet de gérer les codes d’accès et mot de passe de vos applications installées sur Windows tandis que la version Premium de Dashlane intègre un VPN.

Les plus
  • Interface claire et efficace
  • Niveaux de sécurité
  • Authentification biométrique
  • Importation des données
Les moins
  • Version Premium un peu chiche
  • Pas de fonctionnalités qui sortent du lot

Dashlane

Dashlane
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement AES-256
9 / 10

Dashlane est un gestionnaire de mots de passe réputé pour ses performances et l'ergonomie de sa solution. Compatible avec les différents systèmes d'exploitation d'ordinateur et de smartphone, il propose une extension pour la majorité des navigateurs. La confidentialité de vos comptes est renforcée par différentes solutions d'authentification à multiples facteurs. Très complète, son offre premium intègre aussi un VPN afin de limiter les risques de piratage lorsque vous vous connectez à vos sites depuis une borne Wi-Fi. On regrette cependant que Dashlane ait décidé de limiter à nouveau son offre gratuite, qui devient inutilisable au quotidien.

Les plus
  • Offre complète.
  • VPN intégré (premium).
  • Support technique en français.
Les moins
  • Offre Famille un peu chère.
  • Surveillance du dark web réservée à la version premium.
  • Version gratuite très limitée.

1Password

1Password
  • moodVersion d'essai limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement AES-GCM-256
8.7 / 10

1Password propose des applications faciles à utiliser et perfectionnées qui fonctionnent sur PC, Mac, Chromebook et smartphones (iOS et Android). Sa fonction Watchtower vous aide à identifier et à modifier les mots de passe faibles, réutilisés ou compromis. Son « mode itinérant » reste original et pratique si vous allez dans des pays un peu trop curieux avec vos données personnelles. En cas de difficultés, vous pouvez contacter le support technique (par email, Twitter ou chat) qui est assez réactif et précis. Pour finir, 1Password est un bon gestionnaire pour une famille ou un groupe d’utilisateurs professionnel. Pour un usage personnel et grand public, d'autres gestionnaires sont gratuits et plus adaptés.

Les plus
  • Mode itinérant
  • Gestion de la sécurité
  • Authentification à deux facteurs
  • Offre « famille » très flexible
Les moins
  • Pas d’offre gratuite
  • Peu d’options d’authentification multiple
  • Traduction de la documentation partielle

Bonne nouvelle ! Le mot de passe sera bientôt enterré

Au fil des années, de nouvelles fonctionnalités ont été mises en place pour renforcer la sécurité des comptes des utilisateurs. Comprenant que faire reposer la sécurité d’un compte sur un code secret n’était pas la meilleure des idées, les entreprises se sont tournées vers l’authentification multifacteurs pour ajouter une couche de protection supplémentaire. Une fois que l’utilisateur est correctement identifié, avant de pouvoir accéder à son compte, il lui est demandé de prouver son identité une deuxième fois. Cela peut passer par une application dédiée, un SMS, ou encore un mail.

Malgré tout, cette façon de faire ne résout pas vraiment le problème principal. Si les utilisateurs n’utilisent pas d'expressions fortes, ce n’est pas tant parce qu’ils ne font pas à attention à leur sécurité que pour des questions de praticité : il est plus pratique de réutiliser le même code secret partout. Et ajouter une étape supplémentaire à chaque connexion à un service ne rend pas franchement l’expérience plus simple.

Bientôt la fin des mots de passe

Et si la solution au final était de tout simplement supprimer l'authentification classique, source de tous ces ennuis ? C’est en tout cas la piste suivie par plusieurs entreprises, qui multiplient les manières de se connecter en se passant du sésame : dispositifs biométriques, applications d’authentification utilisées non plus en complément d’un mot de passe, mais à la place de celui-ci… Si ce n’est pas encore la fin de l'authentification classique, cela semble bien parti, comme souligné dans nos articles.

Microsoft souhaite en finir avec les mots de passe

Ces dernières années, Microsoft a investi dans diverses technologies de sécurité et souhaite désormais supprimer complètement le mot de passe, pour tout le monde.

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
deadbird99

J’ai testé une tonne de gestionnaires de mots de passe, pour moi le meilleur rapport qualité/features/prix/sécurité est pour Bitwarden.
La version gratuite est largement suffisante pour 99% du publique. Perso je paie (10€/an), mais c’est plus pour supporter le projet que pour les features.
L’appli est dispo sur le web, sur mac, windiws, linux, ios, android, et même en ligne de commande.

Killa_Bees_Be

Absolument … Bitwarden ou KeepassXC

sebzuki

Idem, bitwarden est même dispo en conteneur docker, je l ai installé en version gratuite sur mon nas !

MattS32

+1.

Et une bonne raison de payer, outre le fait que c’est vraiment pas cher pour supporter le développement, c’est qu’avec la version payant il y a un générateur TOTP pour gérer l’authentification à deux facteurs, ce qui est un gros plus, et la possibilité d’utiliser une clé physique pour sécuriser l’accès à Bitwarden.

Muggsy68

Que se passe t’il si le gestionnaire disposait d’une backdoor ?

MattS32

Tous les mots de passe qu’il stocke seraient compromis.

D’où l’intérêt d’utiliser un gestionnaire open source, comme Bitwarden. Il y a suffisamment de gens qui sont allés regarder le code pour qu’on puisse être assez rassuré sur le risque d’existence d’une backdoor.

juju251

Keepass pour moi.

Keepass qui avait d’ailleurs été audité par l’ANSSI en version 2.10 portable.

Si jamais, je doit passer sur un truc « connecté », ce serait sur Bitwarden, mais auto-hébergé.
Hors de question pour moi de stocker des mots de passe sur une machine distante. :sweat_smile:

Belgarath

Cela fait quelques années que je suis sur Dashlane et j’en suis très satisfait.
Il me semble me rappeler que lorsque je l’ai pris, ils m’avaient dit qu’ils ne stockaient pas mes mots de passes. Donc pas intérêt à oublier le mot de passe maître.

MattS32

Ils les stockent bien. C’est pour ça que tu y as accès de n’importe où en te connectant à ton compte Dashlane.

Mais effectivement, c’est en théorie presque comme s’ils ne les stockaient pas : ils sont stockés chiffrés et à aucun moment la clé de chiffrement (qui est dérivée du mot de passe maître, ou aléatoire et conservée chiffrée avec une clé secondaire dérivée du mot de passe maître) ne transite sur leurs serveurs, donc en théorie ils n’ont absolument aucun moyen d’accéder à tes mots de passe. C’est ce qu’on appelle le « zero-knowledge ».

Les principaux risques par rapport à un stockage 100% local comme avec Keepass ou un Bitwarden auto-hébergé, c’est s’il y a une faille ou une backdoor dans l’algorithme de chiffrement utilisé ou si quelqu’un vole les données chiffrées et parvient à faire un brute-force sur le mot de passe maître (donc il faut un mot de passe maître suffisamment costaud pour ça, faut pas se reposer sur le fait qu’au niveau de l’accès au service ils ont une protection anti brute-force).

jvachez

Faut surtout que les sites sachent être humbles. Trop de sites peu importants se prennent pour plus importants que des banques.
La complexité du mot de passe exigé doit correspondent au niveau d’importance des infos stockées. Il faut interdire d’exiger des mots de passe complexe s’il n’y a pas d’infos bancaires.