Aujourd'hui, le BlogDuWebdesign vous propose de revenir sur un sujet central à la vie sur internet : les mots de passe, leurs problèmes, leurs alternatives et les éventuels solutions que nous pouvons apporter.
Les mots de passe, Fléau du siècle ?
Les mots de passe font partie intégrante de notre vie numérique, et je ne vois rien capable de changer cet état de fait sur les années à venir. Bien sur, certains citeront les données biométriques (empreintes digitales, iris, reconnaissance glaviotale, etc.) mais ce domaine pose d'enormes soucis : non seulement nous "affichons" nos mots de passe biometriques a la vue de tous (source, en allemand), le plus grave est qu'il est impossible de les changer une fois ces données dans la nature.
Pourtant, les mots de passe sont très loin d'être une solution parfaite. Pour éviter des mots de passes "évidents" qui pourraient compromettre la sécurité des informations de leurs utilisateurs, les fournisseurs de services sur internet imposent des règles de créations draconiennes : au moins un chiffre, une majuscule, un symbole, plus de 10 caractères, moins de 20, …
Dans ces conditions, rien d'étonnant n'a ce que les utilisateurs aient tendance à utiliser le même mot de passe pour toutes leurs inscriptions, mais cela pose évidemment un énorme souci. Il est rare qu'une année entière passe sans qu'un gros service ne se fasse voler ses informations utilisateurs. Bien sur, les mots de passe sont heureusement souvent cryptés, mais ce n'est souvent qu'un moyen de faire perdre du temps aux pirates, et une fois que votre couple email/mot de passe est dans la nature, il ne vous reste plus qu'à changer ce dernier sur tous les sites sur lesquels vous l'utilisez.
Existe-t-il d'autres alternatives ?
Sans même parler des données biométriques évoquent plus haut dans l'article, il existe quelques solutions sur internet. Tout d'abord, il est possible de mettre en place des connexions "sans mots de passe" grace à des liens mono-usages envoyés par mail à chaque fois que vous voulez vous connecter. Pour plus d'informations sur le sujet, je vous propose la lecture d'un article dédié: la connexion sans mot de passe
Si celle solution est intéressante, il reporte en réalité le problème sur votre hébergeur de mail : si votre compte mail tombe entre les mains de pirates, ils auront toujours accès à toute votre vie numérique. Notons quand même que ce problème existe aussi avec les mots de passe, l'email étant le plus souvent la seule donnée nécessaire au changement d'un mot de passe.
J'avais aussi présente il y a quelques années des alternatives aux mots de passe "traditionnels", mais ces solutions ne changent que la forme, le fond du problème reste le même. Si le sujet vos intéresse, je vous redirige sur l'article : 6 alternatives originales aux mots de passe standards
Enfin, j'aimerais préciser quelque chose pour toutes ces "solutions" : elles ne s'adaptent pas à l'existant. Leur mise en place doit toujours se faire du côté du fournisseur de services, ce qui fait que même si vous, en tant que client, a envie de passer par une solution plus simple ou plus sécurisée, vous ne pouvez pas prendre cette décision unilatéralement.
Les gestionnaires de mots de passe
Voilà une solution qui s'adapte à l'existant. Les gestionnaires de mots de passe sont des logiciels ou services web qui proposent de créer et géré pour vous les mots de passe des sites que vous utilisez. Cette solution est particulièrement intéressante, dans le sens ou elle ne vous oblige plus qu'à avoir en tete un seul mot de passe, tout en pouvant avoir un mot de passe different par site.
Dans cette catégorie, il est possible de citer Vault, un outil en ligne de commandes, ainsi que divers services web, comme par exemple la suite Zoho (que j'ai choisie par pur favoritisme, j'avoue ne pas utiliser de services web pour mes mots de passe).
Enfin, il y a un dernier service que je souhaite citer et prendre à part, cac je le trouve vraiment ingénieux
Lesspass est un gestionnaire de mots de passe en ligne, et qui pourtant ne stock aucun mot de passe en ligne. Comment fait-il ? Tout simplement car il "crée" les mots de passe en fonction de votre master key (un mot de passe global, en quelque sorte) et du nom du service. De cette manière, aucune donnée ne transite pas leurs serveurs, tout est "dans votre tête".
C'est en quelque sorte le mixe parfait entre les managers locaux et les managers en ligne. Le seul problème que je vois à ce service étant qu'il est compliqué de "changer" le mot de passe d'un site, vu qu'ils sont générés à partir de données que vous ne pouvez pas changer.
Malheureusement, aucune conclusion satisfaisante, aucune solution-miracle", ne viendra terminer cet article. Le problème existe et reste selon moi entier. LessPass est à mon avis la "meilleure solution" à l'heure actuelle pour rester sécurisé sur le internet tout en évitant de se remplir la tete de mots de passe, mais cette solution est encore loin d'être idéale.
Vous connaissez une solution que vous considérez comme parfaite ? Ou a un retour d'expérience à faire sur le sujet ? Rendez-vous en partie commentaires !