4 raisons pour lesquelles les gestionnaires de mots de passe ne suffisent pas à protéger vos mots de passe
Si vous avez éprouvé la peine de configurer un gestionnaire de mots de passe, vous pensez peut-être que vous êtes à l’abri des regards indiscrets des pirates et des cybercriminels.
Vous avez tort.
Oui, les gestionnaires de mots de passe sont des outils inestimables dans la bataille en cours pour assurer votre sécurité, mais ils ne sont ni infaillibles ni infaillibles, et ils ne fournissent pas à eux seuls une protection adéquate.
Voici quatre raisons pour lesquelles un gestionnaire de mots de passe ne suffit pas à lui seul à sécuriser vos mots de passe.
1. Les gestionnaires de mots de passe sont le Saint Graal des hackers
Les gestionnaires de mots de passe sont-ils très sécurisés ? oui. Déploient-ils des systèmes de cryptage et de cryptographie solides ? oui. Pouvez-vous affirmer avec certitude qu’aucun pirate informatique ne pourra pirater le système et obtenir les mots de passe de millions d’utilisateurs en son sein ?
Ne pas.
Pensez-y : les services de gestion de mots de passe sont une perspective très tentante pour les pirates. S’ils peuvent percer les murs extérieurs du coffre-fort de mots de passe, ils peuvent accéder à d’innombrables trésors. Ils continueront d’essayer de s’introduire. C’est inévitable.
Prenons LastPass comme exemple. Les cybercriminels ont attaqué des serveurs deux fois au cours des cinq dernières années. À chaque fois, l’entreprise insiste sur le fait que ses utilisateurs n’ont qu’à changer le mot de passe principal de leur compte et que le coffre-fort de mots de passe reste sécurisé.
Faire une vidéo du jour
Mais les pirates ont prouvé qu’il y avait une faille de sécurité. Est-ce juste une question de temps avant que les personnes autorisées n’y aient accès ? peut-être.
2. Les gestionnaires de mots de passe sont gravement défectueux, selon les experts
En 2014, des chercheurs en sécurité ont découvert plusieurs failles de sécurité dangereuses dans LastPass, RoboForm, My1login, PasswordBox et NeedMyPassword.
La vulnérabilité la plus préoccupante permet aux pirates d’utiliser des signets pour voler des mots de passe en clair directement aux utilisateurs de LastPass sans que l’utilisateur ou l’entreprise ne se rende compte que quelque chose ne va pas.
LastPass a également une faille qui permet à un code malveillant sur le site de voler l’intégralité du coffre-fort de mots de passe cryptés d’un utilisateur, tant que le pirate connaît l’adresse e-mail de l’utilisateur.
RoboForm, My1login, PasswordBox et NeedMyPassword souffrent tous de failles tout aussi graves, y compris des vulnérabilités qui permettent aux attaquants de voler le nom complet d’un utilisateur, son nom d’utilisateur et toute URL où un mot de passe est entré.
Heureusement, les fournisseurs de services ont corrigé ces bogues, mais il serait insensé de penser qu’ils sont parfaits maintenant. Il y a presque certainement encore des bogues non découverts qui attendent que quelqu’un les trouve.
L’adoption généralisée de gestionnaires de mots de passe non sécurisés pourrait aggraver les choses : ajouter un nouveau point de défaillance unique non testé à l’écosystème d’authentification Web. –Li Zhiwei, Warren He, Devdatta Akhawe et Dawn Song, auteurs Le nouveau gestionnaire de mots de passe de l’empereur : une analyse de la sécurité des gestionnaires de mots de passe basés sur le Web
En fin de compte, vous remettez certaines de vos informations les plus importantes au gestionnaire de mots de passe. Il n’est pas sage de mettre tous ses œufs dans le même panier.
3. Base de données cloud et base de données locale
Vous remarquerez que les cinq services dont j’ai parlé ci-dessus sont tous basés sur le Web. Si vous utilisez un gestionnaire de mots de passe local (tel que KeePass ou 1Password), ne tombez pas dans un faux sentiment de sécurité ; cette recherche se concentre uniquement sur les options Web.
Il existe une opinion selon laquelle les gestionnaires sur site sont intrinsèquement plus sécurisés que les gestionnaires basés sur le cloud. Il est plus difficile pour les pirates d’entrer et il est plus difficile de voler des bases de données.
Mais ils ne sont pas infaillibles. Nous connaissons tous les menaces de sécurité auxquelles sont confrontés les utilisateurs d’ordinateurs de bureau : enregistreurs de frappe, pirates informatiques qui se cachent sur les réseaux Wi-Fi publics, logiciels malveillants sans fin, etc. Si vous avez la malchance d’être attaqué, votre base de données de mots de passe enregistrée localement peut être l’une des premières choses que les pirates volent.
Et si votre base de données est conservée sur votre appareil mobile ? Si vous perdez votre appareil, il peut facilement tomber entre de mauvaises mains. Oui, c’est crypté, mais si vous configurez votre application pour n’exiger qu’un mot de passe principal ou une empreinte digitale pour accéder à la base de données, le cryptage n’en vaudra pas la peine.
4. Votre configuration peut vous rendre vulnérable
Je viens d’en parler brièvement. Les gestionnaires de mots de passe ont de nombreux paramètres que vous pouvez modifier ; certains d’entre eux rendent le service plus sécurisé. Cependant, beaucoup d’entre eux sont conçus pour plus de commodité – leur activation vous rend plus vulnérable.
Par exemple, LastPass ne vous demande pas automatiquement un mot de passe principal (Paramètres > Paramètres avancés > Redemander le mot de passe principal).
De plus, les applications mobiles de la plupart des services vous permettent de désactiver l’authentification par empreinte digitale et/ou mot de passe jusqu’à 24 heures après chaque connexion réussie. Ne faites pas cela. Souhaitez-vous garder votre banque en ligne connectée 24 heures sur 24 pour économiser des clics ?
Bien sûr, faites attention avec qui vous partagez votre mot de passe en utilisant le service de partage intégré du service – peut-être que leurs paramètres laissent votre compte exposé ? Assurez-vous que vos amis et votre famille sont conscients des risques pour la sécurité.
Ne prenez pas de raccourcis. Au lieu de cela, prenez le temps de gérer les paramètres avancés de vos services et rendez-les aussi robustes que possible.
Gestionnaires de mots de passe : utiliser ou éviter ?
Un gestionnaire de mots de passe est-il mieux que de stocker tous les détails sur une feuille Excel ou d’utiliser les mêmes informations d’identification pour chaque site ? sans doute. Mais qu’ils soient aussi sûrs que vous voudriez le croire est discutable.
La plupart des gens utilisent ces services pour plus de commodité et de sécurité. Mais ce faisant, vous risquez de vous blesser. Je ne vous dirai pas d’arrêter de les utiliser, mais procédez avec prudence. Par exemple, peut-être devriez-vous attribuer des mots de passe à plusieurs administrateurs ?
Rappelez-vous, le plus important, que votre propre cerveau est irremplaçable. Si vous pouvez créer un code fort qui est légèrement modifié pour chaque connexion individuelle, vous aurez plus de sécurité que n’importe quel gestionnaire de mots de passe peut fournir.
Faites-vous confiance aux gestionnaires de mots de passe ? Faites-le nous savoir dans les commentaires ci-dessous.
A propos de l’auteur
