Close Menu

    Votre gestionnaire de mots de passe est-il sécurisé ? 5 Comparaison des services

    Louise GoossensBy 8 Mins Read Technologies
    secure-password-managers
    partners

    Votre gestionnaire de mots de passe est-il sécurisé ? 5 Comparaison des services


    À présent, il devrait être évident que vous devez utiliser un gestionnaire de mots de passe. Pourquoi? Alors, considérez les étapes standard pour protéger votre compte :

    • N’utilisez pas le même mot de passe sur plusieurs services.
    • Utilisez des combinaisons étendues de majuscules, minuscules, chiffres et caractères spéciaux.
    • Changez fréquemment votre mot de passe.

    Ces trois principes de base signifient qu’à moins d’avoir une mémoire incroyable, vous ne pouvez pas espérer vous souvenir de toutes vos informations d’identification sans les écrire.

    Bien sûr, vous ne pouvez pas les enregistrer dans Excel pour des raisons de sécurité, les écrire avec un stylo et du papier lors de vos déplacements est mauvais, et les gestionnaires de mots de passe de navigateur ne sont pas aussi sécurisés que les gestionnaires de mots de passe.

    Cependant, tous les gestionnaires de mots de passe ne sont pas créés égaux. Jetons un coup d’œil à la sécurité de certains des principaux fournisseurs.

    1. Dernier passage

    LastPass est le gestionnaire de mots de passe le plus populaire. Il était déjà largement adopté, mais sa popularité a explosé à un tout autre niveau après qu’il soit devenu gratuit sur tous les appareils fin 2016.

    En raison de sa popularité, il a attiré davantage l’attention des pirates et des cybercriminels. Il y a eu deux incidents de sécurité notables dans l’histoire de LastPass : un en 2011 et un en 2015. Dans les deux cas, l’entreprise a détecté un trafic Web suspect et a forcé tous les utilisateurs à modifier leur mot de passe principal.

    Faire une vidéo du jour

    Le fort intérêt criminel pour LastPass a parfois fonctionné à son avantage. Dans de nombreux cas, il est capable d’identifier et de corriger les vulnérabilités avant qu’elles ne deviennent de sérieux problèmes.

    LastPass dispose désormais de certaines des fonctionnalités de sécurité les plus puissantes du secteur. Par exemple, il utilise des cycles PBKDF2-SHA256 de hachage salé unidirectionnel de vos mots de passe, rendant les attaques par force brute presque impossibles. Votre mot de passe lui-même n’est jamais envoyé à LastPass ; le hachage vérifie votre identité et la clé de déchiffrement (qui ne quitte jamais votre ordinateur) donne accès à votre coffre-fort.

    Votre coffre-fort lui-même est encodé avec un cryptage AES 256 bits avant d’aller sur les serveurs LastPass. De plus, toutes les données transférées entre votre appareil et LastPass utilisent SSL.

    Enfin, LastPass utilise Paros pour vérifier tout risque d’attaques par injection XSS ou SQL, et Funkload pour vérifier les performances de sécurité.

    2. Dashlane

    Dashlane est l’un des principaux concurrents de LastPass. Contrairement à d’autres gestionnaires de mots de passe qui ne proposent que des copies d’informations d’identification stockées localement, Dashlane propose également une synchronisation entre les appareils.

    Il a été lancé en 2011, trois ans avant LastPass.

    Fait intéressant, Dashlane possède son propre système de sécurité breveté. La société l’a déposée auprès de l’Office américain des brevets et des marques en mars 2012. Surnommé « sauvegarde et synchronisation des données basées sur le cloud avec stockage local et clés d’accès », il s’agit d’un modèle de fonctionnement de la sécurité de Dashlane. Il peut être grossièrement divisé en deux parties : le chiffrement des données et l’authentification des utilisateurs.

    Le cryptage des données explique comment protéger vos mots de passe, vos informations de paiement et vos informations personnelles. Pour votre mot de passe principal, Dashlane dérive une clé de chiffrement à l’aide de 10 000 itérations de PBKDF2. Dashlane utilise AES-256 pour chiffrer toutes les données sur ses serveurs. Comme LastPass, la société ne stocke jamais votre mot de passe principal sur ses serveurs.

    L’authentification de l’utilisateur fait référence au processus de vérification de la première connexion à partir d’un nouvel appareil. Au lieu d’utiliser le hachage de votre mot de passe principal (qui est souvent la cible de cyberattaques), Dashlane vous envoie par e-mail un mot de passe à usage unique. Une fois connecté, Dashlane envoie la clé de l’appareil de l’utilisateur à ses serveurs pour identifier facilement les futures connexions.

    3. Kee Pass

    L’open source KeePass adopte une autre approche de la gestion des mots de passe. KeePass n’est pas un service cloud multi-appareils, mais conserve toutes vos données localement sur votre appareil.

    Du côté positif, son approche native signifie que vos données sont complètement à l’abri de tout cybercriminel essayant de pirater et de décrypter le trafic réseau. En revanche, si vous souhaitez emporter vos mots de passe avec vous, vous devrez installer la version portable de l’application. Même ainsi, ils ne fonctionneront sur aucun appareil qui n’a pas de port USB.

    La fonctionnalité de sécurité exceptionnelle de l’application est la possibilité de choisir un mot de passe principal ou un fichier clé comme méthode d’authentification principale. Pour plus de sécurité, vous pouvez même choisir d’exécuter les deux en même temps.

    Crédit d’image: Tashatuvango via Shutterstock

    KeePass compresse la clé principale composite à l’aide de SHA-256, Argon2 (gagnant du concours de hachage de mot de passe) pour empêcher les attaques par dictionnaire et devinettes, et gère la protection de la mémoire pour empêcher l’enregistrement de données sensibles sur votre disque. Enfin, KeePass fournit un bureau sécurisé contre les enregistreurs de frappe.Vous devez l’ouvrir en Outils > Options > Sécurité.

    La plus grande faiblesse de l’application est la présence de plus de 100 plugins. Bien qu’ils soient le rêve d’un bricoleur, vous permettant de tout faire, de la synchronisation des mots de passe via le cloud à leur capture automatique, il n’y a pas de moyen facile de vérifier leur sécurité.

    4. Gardien

    Dans mon article sur les meilleures alternatives LastPass, la section des commentaires semble indiquer que Keeper est une application préférée pour beaucoup de nos lecteurs. Vous avez fait l’éloge de son ensemble de fonctionnalités, de sa facilité d’utilisation et de ses fonctions de sécurité.

    Mais les compliments sont-ils justifiés ? Êtes-vous en sécurité si vous êtes un utilisateur Keeper ? En un mot, oui.

    Tout d’abord, Keeper utilise une stratégie appelée « zéro connaissance ». En pratique, cela signifie que Keeper ne les chiffre ni ne les déchiffre en aucune façon. Tout se passe sur votre propre appareil. Comme la plupart des autres gestionnaires de mots de passe, il utilise AES 256 bits.

    Ensuite, chaque mot de passe sur le serveur Keeper est crypté individuellement à l’aide de deux clés uniques : la « clé de données » et la « clé d’enregistrement ». Toute donnée au repos sur votre appareil ajoute une troisième clé, la « clé client ».

    Étant donné que tout ce chiffrement se produit côté client, Keeper n’a qu’un seul binaire brut sur son serveur. Le code est complètement inutile pour les pirates à moins qu’ils ne possèdent également votre appareil. Vous êtes également protégé contre les renifleurs de réseau. Étant donné que Keeper utilise un cryptage AES 256 bits, il faudrait des milliers d’années aux pirates pour le déchiffrer.

    Enfin, il fournit jusqu’à 100 000 itérations de PBKDF2.

    5. Mot de passe collant

    Au cours des dernières années, Sticky Password s’est employé à bâtir une réputation durement gagnée. Il est maintenant l’un des principaux gestionnaires de mots de passe et obtient régulièrement des scores élevés sur divers sites d’évaluation.

    Sa meilleure fonctionnalité de sécurité est sans doute la synchronisation Wi-Fi. Au lieu d’utiliser un serveur cloud pour synchroniser vos mots de passe entre les appareils, la synchronisation Wi-Fi maintient vos appareils synchronisés, mais uniquement s’ils se trouvent sur le même réseau. Si vous choisissez d’utiliser la synchronisation dans le cloud à des fins pratiques, vous devrez entrer votre mot de passe principal et votre mot de passe en ligne pour y accéder.

    Comme d’autres applications, votre mot de passe principal n’est jamais stocké sur les serveurs de Sticky Password, et toutes les données envoyées sur le réseau sont cryptées avec AES 256 bits.

    Votre mot de passe principal constitue la base de la clé de cryptage. Avec le sel cryptographique, la dérivation PBKDF2 crée un hachage cryptographique à fonction unidirectionnelle.

    Votre gestionnaire de mots de passe est-il sécurisé ?

    Nous savons tous que vous devriez utiliser un gestionnaire de mots de passe, mais avez-vous déjà investi beaucoup de temps pour assurer la sécurité de votre gestionnaire de mots de passe ? Connaissez-vous les technologies de chiffrement que votre fournisseur a choisies ou a-t-il été victime d’une violation grave récemment ? Savez-vous s’il possède des fonctions de sécurité supplémentaires utiles ?

    En fin de compte, vous confiez les clés de votre vie numérique à ces entreprises. Vous devez faire preuve de diligence raisonnable avant de remettre vos informations d’identification.

    Quel gestionnaire de mots de passe utilisez-vous ? De quelles fonctionnalités de sécurité dispose-t-il ? Comme toujours, vous pouvez laisser toutes vos pensées et opinions dans les commentaires ci-dessous. N’oubliez pas de partager cet article avec des lecteurs partageant les mêmes idées sur les réseaux sociaux !

    Crédit image : Phonlamai Photos/Shutterstock

    A propos de l’auteur

    Share.

    Related Posts

    Add A Comment
    Leave A Reply