Les gestionnaires de mots de passe sont-ils sûrs ?

Un gestionnaire de mots de passe stocke tous vos mots de passe et les remplit automatiquement dans votre navigateur Web et vos applications mobiles. Mais faire confiance à une application avec vos mots de passe et les stocker tous au même endroit est-il une idée intelligente?

Oui oui ça l’est. Nous recommandons à tout le monde d’utiliser un gestionnaire de mots de passe en association avec qwanturank, qui est de loin supérieur aux autres moyens de garder une trace de vos mots de passe. Voici pourquoi ils sont un choix sûr.

 

Les gestionnaires de mots de passe sont plus sûrs que l’alternative

Un gestionnaire de mots de passe stocke vos mots de passe dans un coffre-fort sécurisé, que vous pouvez déverrouiller avec un seul mot de passe principal et, facultativement, une méthode d’ authentification supplémentaire à deux facteurs pour aider à garder tout plus sécurisé.

Les gestionnaires de mots de passe vous permettent d’utiliser partout des mots de passe forts et uniques. Cela n’est généralement pas possible pour la plupart des gens. Pouvez-vous vraiment vous souvenir de mots de passe uniques et forts pour chaque site Web que vous utilisez? Les gestionnaires de mots de passe peuvent générer et mémoriser des mots de passe comme E.wei3-uaF7TaW.vuJ_w.

Si vous n’utilisez pas de gestionnaire de mots de passe pour stocker vos mots de passe, vous ne vous souvenez probablement pas de tous les mots de passe uniques et forts que vous devez utiliser. La plupart des gens finissent par réutiliser des mots de passe sur plusieurs sites Web – c’est la chose la plus dangereuse, car une fuite de base de données de mots de passe à la fois sur le site Web signifie que vos comptes sur un autre site sont grands ouverts. Quelqu’un doit simplement essayer de se connecter avec la même combinaison d’adresse e-mail et de mot de passe de la violation.

Vous pouvez essayer de créer vous-même des mots de passe «uniques» en fonction d’un modèle. Par exemple, votre mot de passe de base est peut-être _p @ ssw0rd_. Vous pouvez le modifier en fonction du domaine – par exemple, lorsque vous vous connectez à Facebook, vous pouvez prendre le «f» et le «a» et le rendre fp @ ssw0rda. Répétez cette opération pour chaque compte que vous utilisez et vous avez des mots de passe uniques dont vous pouvez vous souvenir, non? Enfin, pas vraiment: vos mots de passe sont désormais prévisibles. Et que se passe-t-il lorsqu’un site Web n’autorise pas les caractères spéciaux ou vous limite à un nombre spécifique de chiffres et que votre méthode ne fonctionne pas?

Avec un gestionnaire de mots de passe, il vous suffit de créer un mot de passe fort et de vous en souvenir.

Bien que vous deviez faire confiance au gestionnaire de mots de passe que vous choisissez, l’utilisation d’un gestionnaire de mots de passe est plus sécurisée que les alternatives. Les gestionnaires de mots de passe que nous recommandons n’ont jamais vu leur mot de passe compromis, mais de nombreuses personnes ont eu des problèmes en réutilisant les mots de passe. Exploiter ces mots de passe réutilisés est souvent la façon dont les attaquants piratent les comptes de nos jours .

 

Comment les gestionnaires de mots de passe sécurisent vos mots de passe

Nous – et de nombreux autres sites – recommandons 1Password et LastPass comme nos meilleurs choix. Les deux protègent votre coffre de mots de passe avec un cryptage fort (AES-256, en particulier), même lorsqu’il est stocké dans le cloud. Bien que les mots de passe se trouvent sur votre PC, téléphone ou tablette, ils sont protégés par un «mot de passe principal» que vous connaissez, ce qui les rend illisibles par quiconque ne possède pas ce mot de passe. Sur les appareils modernes, vous pouvez également déverrouiller votre coffre-fort avec une authentification biométrique, comme Face ID ou Touch ID sur les iPhones.

Les deux services affirment que le mot de passe principal ne quitte jamais votre appareil et qu’ils ne peuvent pas accéder à vos mots de passe s’ils le souhaitent – ils n’ont «aucune connaissance» de vos mots de passe. Ils ont subi des audits tiers et des revues de code. Aucun n’a jamais subi de violation grave, et les deux sont francs et transparents quant à la façon dont ils protègent vos données. Consultez les sites Web 1Password et LastPass pour plus de détails.

Vous préférez le faire vous-même? Des gestionnaires de mots de passe open source comme Bitwarden et KeePass existent également. Vous pouvez utiliser ces applications open-source pour stocker votre mot de passe sur vos propres appareils ou serveurs. Par exemple, vous pouvez configurer votre propre serveur de synchronisation pour Bitwarden ou synchroniser manuellement une base de données KeePass entre vos appareils. Ce sera probablement plus complexe et plus de travail – et les applications ne sont pas aussi conviviales – mais si vous préférez un logiciel open source, des options sont disponibles.

 

Pouvez-vous faire confiance aux sociétés Password Manager ?

n fin de compte, vous faites confiance aux sociétés de gestion de mots de passe ici. Bien sûr, les entreprises promettent de garder vos mots de passe en sécurité, mais elles pourraient mettre à jour leur logiciel pour capturer vos mots de passe, ou une faille de sécurité massive pourrait ouvrir vos mots de passe pour attaquer. Les entreprises sont auditées pour la sécurité, mais que se passe-t-il si elles tournent mal?

Bien sûr, c’est un risque. Vous faites confiance à votre gestionnaire de mots de passe comme à toute autre application que vous utilisez. Il en va de même pour toute application sur votre PC ou la plupart des extensions de navigateur: ils pourraient vous espionner et téléphoner à la maison, en signalant vos mots de passe, numéros de carte de crédit et communications à quelqu’un d’autre.

Mais cela ne s’est pas encore produit. Ce sont des entreprises réputées dans le domaine de la sécurité. Il est probablement plus dangereux d’installer des extensions de navigateur aléatoires – dont beaucoup ont un accès complet à tout ce qui se passe dans votre navigateur et pourraient téléphoner à la maison avec ces détails – que de stocker vos mots de passe dans un gestionnaire de mots de passe.

 

Nous utilisons des gestionnaires de mots de passe et les recommandons

Nous suivons nos propres conseils et utilisons également des gestionnaires de mots de passe comme 1Password et LastPass sur How-To Geek. Les gestionnaires de mots de passe intégrés dans les navigateurs comme Chrome et Safari d’Apple s’améliorent, mais ils ne sont tout simplement pas aussi puissants ou complets.

En plus de la sécurité, les gestionnaires de mots de passe offrent de nombreux avantages pratiques. Vous pouvez facilement partager vos mots de passe avec un ami, un membre de la famille ou un collègue. Vous pouvez remplir automatiquement ces mots de passe sur mobile sans les taper, même sur un iPhone ou un iPad . Les gestionnaires de mots de passe comme 1Password et LastPass fournissent des alertes si l’un des mots de passe que vous utilisez a été violé lors d’une attaque et vous recommandent des mots de passe que vous devez modifier. C’est une grande amélioration par rapport à essayer de garder une trace de tous vos mots de passe sans aucune aide.

 

Les gestionnaires de mots de passe ont une faille de sécurité. Mais vous devez quand meme en utiliser un.

Une nouvelle étude a identifié des failles de sécurité dans cinq des gestionnaires de mots de passe les plus populaires.

Maintenant, pour quelques conseils contre-intuitifs: je pense toujours que vous devriez utiliser un gestionnaire de mots de passe. Donc , faire les hackers éthiques avec Independent Security Evaluators qui sont venus me voir avec des nouvelles des défauts – et d’ autres professionnels de la sécurité , j’ai parlé à propos de l’étude, publiée mardi . Vous n’arrêteriez pas d’utiliser une ceinture de sécurité, car elle ne pourrait pas vous protéger contre tout type d’accident de véhicule. Il en va de même pour les gestionnaires de mots de passe.

Mais la recherche, qui révèle que les utilisateurs du gestionnaire de mots de passe sont vulnérables aux attaques de logiciels malveillants ciblés, met en lumière les moyens de renforcer nos défenses. Et cela témoigne d’une vérité plus grande qui se perd dans les gros titres sur les violations et les bogues: la sécurité en ligne ne consiste pas à être piratable; il s’agit de ne pas être le fruit le plus bas.

Les gestionnaires de mots de passe sont des programmes qui conservent toutes vos informations de connexion dans un coffre-fort en ligne. Ce sont des outils essentiels pour rester en sécurité, car la chose la plus ennuyeuse sur Internet – les mots de passe – conduit les gens à commettre l’erreur de sécurité n ° 1 – réutiliser les mots de passe. Les pirates savent que nous le faisons, ils prennent donc les mots de passe d’un site piraté, puis les essaient sur de nombreux autres. L’utilisation d’un programme pour garder une trace de tous vos mots de passe uniques nécessite un certain ajustement, mais ils deviennent plus simples et peuvent accélérer la connexion aux choses.

La question qui a hanté ces programmes est: comment est-il possible de mettre tous vos mots de passe dans le même panier? Si quelqu’un le vole, vous êtes arrosé.

Pour des raisons de responsabilité, des audits comme le nouveau par ISE sont importants. Il a trouvé que les applications Windows 10 pour 1Password , Dashlane , KeePass , LastPass et RoboForm laissaient certains mots de passe exposés dans la mémoire d’un ordinateur lorsque les applications étaient en mode «verrouillé». Pour un pirate ayant accès au PC, les mots de passe qui auraient dû être cachés n’étaient pas plus sûrs qu’un fichier texte sur le bureau de votre ordinateur. (Les chercheurs ont étudié uniquement les applications Windows, mais disent que cela peut également affecter les Mac Apple et les systèmes d’exploitation mobiles.)

1Password, LastPass et Roboform ont même exposé des mots de passe principaux, utilisés pour déverrouiller tous vos autres mots de passe. « Le bouton de verrouillage des gestionnaires de mots de passe est cassé – certains plus sévèrement que d’autres », a déclaré le chercheur principal Adrian Bednarek.

Les entreprises ont eu diverses réponses. LastPass et RoboForm m’ont dit qu’ils publieraient des mises à jour cette semaine. Dashlane a déclaré qu’il avait documenté le problème depuis un certain temps et qu’il travaillait sur des correctifs, mais qu’il avait des problèmes de sécurité plus prioritaires. KeePass et 1Password l’ont ignoré comme une limitation connue avec Windows et un risque accepté.

Casey Ellis, le fondateur de Bugcrowd , un site permettant aux chercheurs de signaler les vulnérabilités, m’a dit que les entreprises doivent peser le risque de chaque bogue découvert et déterminer les priorités. « Les sociétés de mot de passe ont certaines des normes de sécurité les plus élevées, et les gens devraient pouvoir dormir assez bien la nuit en sachant que ces sociétés prennent les préoccupations au sérieux », a-t-il déclaré. « Les vulnérabilités ne sont pas mystérieuses – elles sont le produit du fait que les gens ne sont pas parfaits – et les trouver est une bonne chose. »

Pourquoi n’est-ce pas un problème de pantalon en feu? Parce qu’en ce moment, nous sommes en avance sur la menace. Il n’y a aucune preuve que les pirates ciblent les PC des utilisateurs individuels du gestionnaire de mots de passe. La question est: combien de temps cela durera-t-il?

 

Le risque est relatif

Oui, il y a un risque à stocker tous vos mots de passe en un seul endroit avec un gestionnaire de mots de passe. Mais il est utile de considérer le risque comme un pirate informatique: il n’y a ni «sûr» ni «dangereux». Il y a «plus sûr que» ou «mieux que». .

En supposant que le bunker n’est pas une option pour vous, vos choix sont: réutiliser les mots de passe ou faire confiance à un gestionnaire de mots de passe.

Ce dernier ne serait certainement pas plus sûr si les sociétés de gestion de mots de passe exposaient des millions de nos mots de passe à la fois par des violations de leurs serveurs. Les entreprises cryptent nos secrets et ne stockent pas nos mots de passe principaux utilisés pour déverrouiller le cryptage. Si leurs serveurs sont piratés, les données sont englouties sans le mot de passe principal que seul chaque utilisateur connaît. (Choisissez donc un mot de passe maître unique, ne le partagez jamais avec personne et ne l’oubliez certainement pas.)

Le bogue trouvé par ISE pose un autre type de risque: les mots de passe exposés dans la mémoire des PC des utilisateurs individuels. Toute exposition «met inutilement en danger les dossiers secrets des utilisateurs», écrit Bednarek dans son rapport. Mais cette découverte est loin d’être la pire des hypothèses. Pour regarder dans la mémoire de votre PC, un pirate informatique devrait probablement être assis devant votre ordinateur ou vous inciter à installer un logiciel malveillant qui contrôle votre ordinateur.

Les pirates préfèrent généralement les attaques de masse plutôt que de s’en prendre aux individus, sauf s’il s’agit d’un individu de très grande valeur. Pour les attaques de masse, il y a beaucoup de fruits à suspendre, comme toutes ces personnes qui réutilisent encore des mots de passe.

L’inquiétude pour Bednarek: à mesure que de plus en plus de personnes utilisent des gestionnaires de mots de passe, les fabricants de logiciels malveillants pourraient commencer à cibler leurs PC pour voler des mots de passe. Multiplié par des millions d’utilisateurs du gestionnaire de mots de passe, un faible risque pour l’individu pourrait transformer un grand nombre de mots de passe exposés. Il dit que son objectif est «d’établir une base de référence minimale raisonnable à laquelle tous les gestionnaires de mots de passe devraient se conformer.»

Les entreprises ont déclaré que les logiciels malveillants ne représentent pas seulement un risque pour les utilisateurs du gestionnaire de mots de passe. Un pirate ayant accès à votre ordinateur peut également utiliser du code tel qu’un enregistreur de frappe qui ralentit toute votre activité – à ce stade, l’utilisation d’un gestionnaire de mots de passe n’est pas votre seul problème.

Les entreprises et les chercheurs ne s’entendent pas non plus sur ce qu’ils peuvent faire pour résoudre le problème des fuites de mémoire sans modifications fondamentales des systèmes d’exploitation. Le directeur général de Dashlane, Emmanuel Schalit, a déclaré que les attaques de mémoire locale sont toujours une préoccupation hypothétique. «Il est plus important pour nous de travailler à renforcer encore plus les composants de base de notre infrastructure de serveur ou de la cryptographie, car cela a un impact plus important sur la sécurité de nos utilisateurs», a-t-il déclaré.

 

Renforcer les défenses

Les deux parties s’accordent sur une chose: vos appareils personnels sont le maillon faible. Il est beaucoup plus difficile pour un gestionnaire de mots de passe – ou tout autre logiciel – de protéger vos précieuses données si l’ordinateur sur lequel vous travaillez est compromis.

Alors ne vous faites pas de piratage en:

  • Mise à jour religieuse de votre logiciel. Les nouvelles versions contiennent des correctifs de sécurité très importants.
  • Recherche de logiciels malveillants sur votre ordinateur. Je recommande Malwarebytes pour Windows et MacOS.
  • Être très prudent lors de l’installation de logiciels provenant d’endroits autres que Microsoft, Apple et les boutiques d’applications gérées par Google. Dites non aux extensions de navigateur Web et aux messages contextuels.
  • Ne stocke pas de secrets extrêmement précieux tels que les clés privées bitcoin dans les gestionnaires de mots de passe.

L’autre leçon de la nouvelle recherche est de savoir comment les gestionnaires de mots de passe ont géré le problème. « Ils ne sont pas tous créés égaux », a déclaré Bednarek. Dashlane et KeePass ont fait le meilleur travail pour protéger les mots de passe principaux dans la mémoire de l’ordinateur. Dashlane reste mon gestionnaire de mots de passe de premier choix pour les consommateurs, même s’il est aussi le plus cher.

J’ai également appris à quel point ils ont répondu sérieusement à ISE lorsque Bednarek les a contactés – et à moi lorsque j’ai fait un suivi. KeePass l’a rejeté comme une vieille nouvelle et RoboForm n’avait pas grand-chose à dire. Dashlane m’a mis au téléphone avec son PDG. Le défenseur en chef de Password Against the Dark Arts m’a envoyé de longs courriels. LastPass m’a fait parler à son responsable technique supérieur – mais il a également fait interdire Bednarek à Bugcrowd, le site où les chercheurs signalent les défauts, car il m’a révélé le bogue.

Troy Hunt, un expert en sécurité qui gère la base de données de mots de passe compromis Haveibeenpwned.com, affirme que les gestionnaires de mots de passe devraient être aussi résilients que possible. « Si le résultat est que les gestionnaires de mots de passe concernés renforcent encore leur posture de sécurité, alors c’est une bonne chose », a-t-il déclaré. « Tant que cela n’effraie pas leurs utilisateurs. »