Un gestionnaire de mots de passe prend en charge la création de mots de passe robustes, mais il est aussi capable de mémoriser des connexions uniques et complexes - les attributs essentiels d'un mot de passe sécurisé. Il permet de partager des identifiants en toute sécurité avec d'autres personnes si nécessaire. Et, parce que ces outils cryptent les informations de connexion dans un coffre-fort virtuel - localement ou dans le cloud - et les verrouillent avec un seul mot de passe maître, ils protègent les mots de passe eux-mêmes. Autrement dit, rien de tel qu’un gestionnaire de mots de passe pour améliorer sa sécurité.
La fonction première d’un gestionnaire de mots de passe est de renseigner l’identifiant et le mot de passe de l’utilisateur - en général via un plug-in de navigateur - quand il se connecte à un site Web, puis de réinscrire automatiquement ces données quand l’utilisateur revient sur le même site. Les gestionnaires de mots de passe stockent tous les mots de passe dans une base de données cryptée, souvent appelée « chambre forte », elle-même protégée par un mot de passe maître unique. Bien sûr, la plupart des gestionnaires de mots de passe font beaucoup plus que cela et beaucoup d'entre eux protègent d'autres types de données personnelles en plus des identifiants de connexion.
Les critères essentiels d'un bon gestionnaire de mots de passe
Génération de mots de passe. On vous a rappelé ad nauseam que les mots de passe les plus forts étaient composés de longues chaînes de caractères aléatoires, et qu’il fallait utiliser un mot de passe unique pour chaque site auquel vous vous connectez. C'est un défi de taille. La génération de mots de passe – c’est-à-dire la capacité de créer des mots de passe complexes à partir de lettres, de chiffres et de caractères spéciaux – est une fonctionnalité que l’on doit impérativement retrouver dans tout bon gestionnaire de mots de passe. Les meilleurs gestionnaires de mots de passe sont également capables d’analyser les mots de passe existants et de les mettre à jour en un clic.
Remplissage automatique et connexion automatique. La plupart des gestionnaires de mots de passe peuvent renseigner automatiquement les identifiants de connexion chaque fois que vous vous rendez sur un site et ils peuvent même vous connecter automatiquement. Le mot de passe maître est donc le seul nécessaire. Cette pratique est parfois controversée, car depuis longtemps on sait que le remplissage automatique du navigateur peut poser problème en matière de sécurité, de sorte que les meilleurs gestionnaires permettront également de désactiver cette fonction si vous pensez que le risque l'emporte sur la commodité.
Partage sécurisé. Parfois, vous devez partager un mot de passe avec un membre de votre famille ou un collègue de travail. Le gestionnaire de mots de passe devrait vous permettre de le faire sans compromettre votre sécurité.
Authentification à deux facteurs. Pour un cybercriminel entreprenant, le mot de passe maître d’un gestionnaire de mots de passe est un mot de passe comme un autre et il peut essayer de le pirater. Mais de plus en plus, les gestionnaires de mots de passe prennent en charge l'authentification multifactorielle, c’est-à-dire qu’ils utilisent une seconde méthode d’authentification comme un code PIN, une empreinte digitale ou un autre « dispositif de confiance » pour ajouter une couche de vérification supplémentaire et atténuer ce risque de piratage du mot de passe maître. Il est donc préférable de choisir un gestionnaire de mots de passe qui propose cette fonction.
Protection des autres données personnelles. En raison de la fréquence à laquelle nous les utilisons en ligne, nos numéros de carte de crédit et de compte bancaire, nos adresses et autres données personnelles peuvent être stockées en toute sécurité dans de nombreux gestionnaires de mots de passe et remplies automatiquement dans des formulaires Web quand nous effectuons des achats en ligne ou enregistrons un compte. Comme nous l'a rappelé LastPass, un des gestionnaires de mots de passe parmi les plus réputés, qui a récemment corrigé deux vulnérabilités qui auraient pu compromettre les mots de passe des utilisateurs et leurs ordinateurs, aucune mesure de sécurité en ligne n'est infaillible à 100 %. Le mois dernier, OneLogin a été victime d'une intrusion qui a compromis les données des clients, y compris la capacité de décrypter les données.
Pourtant, la plupart des experts en sécurité s'entendent pour dire que les gestionnaires de mots de passe sont toujours le moyen le plus sûr pour gérer les milliers de connexions des utilisateurs et on doit reconnaître que les avantages l'emportent largement sur les risques. Il suffit de choisir soigneusement son gestionnaire de mots de passe après en avoir pointé toutes les options. Nos confrères de PCWorld estiment, après le test de 6 d’entre eux, que LastPass et Dashlane sont les deux meilleurs gestionnaires de mots de passe du moment.
Zoom sur LastPass et Dashlane
Les capacités et le coût des gestionnaires de mots de passe sont très variables. Pour y voir plus clair, nos confrères de PC World ont comparé six gestionnaires de mots de passe parmi les plus populaires. Tous supportent Windows, Mac OS, Android et iOS, et les principaux navigateurs Internet. Et tous permettent de synchroniser ses données entre plusieurs appareils, même s’il faut parfois payer pour bénéficier de cette fonctionnalité. Deux sortent du lot en particulier : LastPass et Dashlane.
LastPass coche toutes les cases fonctionnelles : la création de mots de passe uniques et complexes, la capture et la gestion des identifiants de connexion, leur synchronisation sur plusieurs périphériques et leur partage avec d'autres personnes de confiance, et tout cela de façon simplissime. De plus, grâce à ses fonctions d'audit et de mise à jour des mots de passe, il est possible d'identifier et d'éliminer facilement les mots de passe faibles ou redondants en un ou deux clics. LastPass stocke également les numéros de carte de crédit et d'autres données personnelles pour remplir automatiquement des formulaires Web quand vous effectuez un achat, ou si vous vous abonnez à un service ou payez une facture. LastPass prend également en charge une série d'options d'authentification multifactorielle pour protéger le coffre-fort, y compris des authentificateurs basés sur des applications comme Symantec VIP et Google Authenticator, des tokens matériels comme YubiKey, et des lecteurs d'empreintes digitales.
Classé en seconde position du test de nos confrères, Dashlane est le prétendant potentiel le plus sérieux face à LastPass. Son interface est très bien faite, il est facile à utiliser, et comprend un tas de fonctionnalités pour renforcer la sécurité en ligne. C’est le cas en particulier de son excellent tableau de bord de sécurité qui classe les mots de passe en fonction de leur niveau de sécurité et propose des actions pour améliorer son score et sa protection. Seul son prix de 40 euros par an - le plus élevé des 6 produits - met une limite à l’enthousiasme de nos confrères pour ce gestionnaire de mots de passe.