Avantages et inconvénients des gestionnaires de mots de passe – Lee Munson contre Simon Edwards
Chez Comparitech.com, nous croyons fermement que tout le monde peut bénéficier de l'utilisation d'un gestionnaire de mots de passe.
Mais tout le monde n'est pas d'accord avec nous, et cela inclut les professionnels de la sécurité de l'information, comme Simon Edwards, directeur de Laboratoires SE .
Dans cet esprit, nous avons pensé qu’il serait amusant d’avoir une confrontation sur la sécurité des mots de passe.
Poursuivez votre lecture pour découvrir en quoi mes points de vue et ceux de Simon diffèrent sur ce sujet important :
Lee Munson : Plaider en faveur des gestionnaires de mots de passe
À mon avis, en tant que professionnel de la sécurité de l’information, le principal point de défaillance de tout système conçu pour garantir la confidentialité, l’intégrité et la disponibilité des données est l’élément humain.
Même si les contrôles techniques (antivirus, pare-feu, etc.) ont tous leurs points faibles – c'est pourquoi je conseille toujours d'appliquer des correctifs aux logiciels et de mettre à jour le matériel le plus tôt possible – le système d'exploitation humain est loin d'être aussi fiable, ni même deux fois moins facile à utiliser. réparer.
Même si l'on ignore la minorité de personnes qui ont des intentions malveillantes, le grand nombre de personnes qui n'ont aucun intérêt dans la sécurité et la majorité avec laquelle nous, en tant qu'industrie, communiquons si mal, il reste un nombre encore plus grand de personnes. un groupe plus large d’êtres humains potentiellement à risque – ceux qui trouvent la sécurité naturellement trop gênante.
Pourquoi la sécurité serait-elle un tel problème, demandez-vous ?
Eh bien, la réponse est simple : cela devient de plus en plus complexe de jour en jour.
À mesure que les attaquants deviennent plus sophistiqués, les défenses deviennent également plus sophistiquées, mais sur le plan humain, le problème est bien plus simpliste : nous avons tous beaucoup plus de comptes à protéger de nos jours.
Des comptes bancaires en ligne à SnapChat, Twitter à Facebook, InstaGram aux comptes de dîner en ligne pour les enfants, le volume de noms d'utilisateur et de mots de passe requis pour les protéger augmente quotidiennement.
Et tu sais quoi?
Nous avons vraiment du mal à nous souvenir des choses.
C’est pourquoi nous voyons continuellement des articles de blog sur tous les horribles mots de passe découverts à la suite d’une violation de données.
Ce n’est pas que vous pensez que le mot de passe1 est un excellent moyen d’authentifier votre identité, n’est-ce pas ?
Non, je sais ce que c'est : vous avez 250 mots de passe à retenir et même des expressions comme CorrectHorseBatteryStaple deviennent fastidieuses lorsque vous devez trouver une phrase secrète après une phrase secrète.
Alors, que dois-tu faire ?
Rester simple en utilisant le même mot de passe pour chaque site, malgré les protestations de personnes comme moi, ou utiliser un mot de passe unique pour tous vos comptes qui est si ridiculement simple que même vous pouvez vous en souvenir ?
Ni l'un ni l'autre.
Il existe un autre moyen, à savoir le gestionnaire de mots de passe.
Même si les pessimistes voudraient vous faire croire qu’un programme de gestion des titres de compétences est une mauvaise idée – c’est après tout un point d’échec unique – je suis ici pour vous dire le contraire.
Personnellement, je possède plus de 300 mots de passe couvrant une multitude de comptes différents.
J’ai aussi le pire souvenir connu de l’homme : si vous me demandez mes identifiants bancaires en ligne, mon mot de passe Twitter ou tout autre identifiant de connexion, je ne pourrai pas vous le dire.
Principalement parce que ce serait une très très mauvaise idée en premier lieu, mais aussi parce que, honnêtement, je ne sais pas de quoi il s’agit.
En fait, je ne connais que trois mots de passe. Deux d’entre eux sont liés au travail, l’autre est le mot de passe principal de mon gestionnaire de mots de passe.
Sans ce logiciel intelligent, je serais cette personne qui demande une réinitialisation de mot de passe toutes les cinq minutes de la journée. Je ne peux tout simplement pas fonctionner sans un.
Cela dit, même moi, je me méfie de garder tous mes œufs dans le même panier non sécurisé, pour ainsi dire, alors je me suis assuré de choisir un gestionnaire de mots de passe qui garde toutes mes informations d'identification cryptées afin que, si le pire se produisait, et que ces données trouvent leur place. sur le Web, il y a de fortes chances que cela ne soit utile à personne.
Le gestionnaire de mots de passe de mon choix possède également d'autres fonctionnalités intéressantes : il suit les dernières violations et m'informe si l'un de mes comptes a pu être affecté, me donnant ainsi la possibilité de modifier ces informations d'identification le plus tôt possible.
Bien sûr, un gestionnaire de mots de passe n’est pas une solution miracle lorsqu’il s’agit de protéger vos identifiants de connexion, mais il n’existe pas de solution miracle dans le secteur de la sécurité, malgré ce que certains vendeurs peuvent vous dire.
Mais c'est un bon outil dans un monde imparfait, vous permettant de créer des mots de passe forts pour chaque nouveau compte que vous ouvrez tout en n'ayant à mémoriser qu'un seul mot de passe principal (et bon sang, vous feriez mieux de faire en sorte que ce mot de passe soit bon).
Jusqu’à ce que les mots de passe textuels disparaissent – et la biométrie garantira qu’ils le feront… un jour – c’est la meilleure option disponible et je vous recommande fortement d’en profiter.
Tout ce que vous avez à faire pour renforcer la sécurité de votre compte est d’ignorer complètement la réponse de Simon Edward à cet article et de lire nos critiques de gestionnaires de mots de passe qui vous aideront à choisir le logiciel adapté à vos besoins.
Restez en sécurité mes amis !
Simon Edwards : plaider contre les gestionnaires de mots de passe
Il est vrai que nous devons gérer un très grand nombre de comptes en ligne. Même ceux qui ne sont pas particulièrement intéressés par les ordinateurs sont susceptibles d’avoir des dizaines de comptes couvrant leur messagerie électronique, leurs réseaux sociaux, leurs services bancaires en ligne et leurs achats en ligne. Tu veux faire quelque chose? Se connecter!
Comme je suis sûr de ne pas avoir à vous le dire, utiliser les mêmes informations d’identification pour chaque compte est dangereux, car une violation peut facilement faire boule de neige et se transformer en quelque chose de bien plus grave et de grande envergure. Se souvenir de mots de passe uniques pour chaque compte semble ahurissant et un tel exploit pourrait bien vous conduire à utiliser un système de gestion de mots de passe. Mais avant de ranger les clés de votre royaume numérique dans un seul coffre-fort, considérez ce qui suit.
Si vous étiez un pirate informatique souhaitant pirater autant de comptes que possible, cibleriez-vous une large sélection de sites Web populaires, dans l’espoir d’avoir de la chance de manière cohérente, tout en échappant à la détection ? Ou viseriez-vous les quelques services qui stockent les mots de passe de potentiellement des milliards d’utilisateurs ? Pourquoi pénétrer dans de nombreux sites alors que quelques-uns seulement fourniront les mêmes (ou meilleurs) résultats ?
Les services de gestion de mots de passe qui fournissent un référentiel en ligne d’informations d’identification m’inquiètent beaucoup. Ils constituent une cible évidente, avec des gains incroyablement précieux pour un attaquant qui réussit.
Ce n’est pas comme si cela ne s’était jamais produit auparavant. LassPass a été piraté l'été dernier, les attaquants téléchargeant les adresses e-mail des utilisateurs, les mots de passe cryptés ainsi que des phrases et solutions de rappel (Quelle est votre adresse e-mail ? Et le nom de jeune fille de votre mère ? – Gladys ? Travail terminé.)
Le cryptage peut être brisé, mais vous n’avez même pas besoin d’aller aussi loin. LastPass lui-même a noté que les pirates pouvaient deviner les mots de passe en utilisant les informations supplémentaires fournies par la violation (voir https://blog.lastpass.com/2015/06/lastpass-security-notice.html/).
Vous pouvez choisir d’utiliser un gestionnaire de mots de passe hors ligne, ce qui réduit certainement votre surface d’attaque. Ceux-ci ne vous permettent cependant pas de vous connecter facilement à l’aide de plusieurs appareils, ce qui réduit quelque peu leur utilité. Et si votre PC est compromis par un logiciel malveillant, il n’y a absolument aucune raison pour que l’attaquant ne cible pas une telle application. Encore une fois, cela s'est produit, avec un outil appelé KeeFarce ciblant le gestionnaire de mots de passe KeyPass (voir https://github.com/denandz/KeeFarce).
Les vrais experts pourraient choisir de déployer leur propre système de gestion des mots de passe. Un administrateur de HackingTeam, la société de sécurité italienne qui a travaillé aux plus hauts niveaux du piratage intergouvernemental, a enregistré ses mots de passe dans des fichiers texte protégés par le logiciel très respecté TrueCrypt.
Malheureusement pour lui, il était connecté à son système et avait déjà monté ses volumes TrueCrypt lorsque son système a été compromis, de sorte que tous les mots de passe stockés sur son système étaient disponibles pour l'attaquant. Il n’y avait rien de mal avec le cryptage de TrueCrypt. Son erreur a été de sauvegarder ses mots de passe sur un ordinateur. Les ordinateurs sont tout le temps piratés.
Quelle est l’alternative à l’utilisation d’un système informatique de gestion des mots de passe ? Utilisez-en un sur papier. Notez tout et vous n’êtes vulnérable qu’aux voleurs et aux agresseurs physiques. À moins que vous ne viviez dans un film, tout devrait bien se passer. De plus, il est possible de créer des mots de passe uniques et faciles à retenir.
Commençons par votre mot de passe préféré, que vous utilisiez pour tous vos sites : letmein123.
Je suppose que vous l'utilisez pour Gmail, Amazon et HSBC. Nous pouvons facilement changer ce mot de passe en une variante facile à retenir en le modifiant avec quelques règles :
Gmail : letmeinGMAIL123 !
Amazon : letmeinAMAZ123 !
HSBC : laissez-moi entrer HSBC123 !
Ridiculement facile, je sais. Mais c’est mieux que de réutiliser encore et encore les mêmes mots de passe – et vous pouvez faire des efforts pour accroître votre sécurité en utilisant de petites astuces. Peut-être que vous changez les chiffres ou modifiez légèrement la phrase secrète « letmein ». Vous n’avez pas besoin d’avoir 100 mots de passe sous la forme vague de « 123hjgsdfpakelk ». C'est ainsi que réside la folie.
Créez un ensemble de mots de passe mémorables, notez-les sur papier (dans un bloc-notes que vous conservez en sécurité) ou au moins assurez-vous que le mot de passe de votre adresse e-mail est fort car, finalement, lorsque vous oubliez vos mots de passe, tout finit par être vérifié via votre adresse e-mail à la fin. Et c'est pourquoi vous devez, si disponible, activer l'authentification à deux facteurs pour votre adresse e-mail. Car contrairement à votre gestionnaire de mots de passe, votre compte de messagerie est véritablement le coffre-fort des clés de votre royaume.
Il est maintenant temps de laisser libre cours à vos pensées
Maintenant que vous avez lu les arguments pour et contre les gestionnaires de mots de passe, il est temps de prendre votre propre décision.
Êtes-vous d’accord avec moi pour croire que les gestionnaires de mots de passe offrent l’option la plus sécurisée pour stocker vos identifiants de connexion ?
Ou êtes-vous dans le camp de Simon, pensant que stocker tous vos œufs dans un seul panier piratable est un risque que vous n’êtes pas prêt à prendre ?
Quoi qu’il en soit, nous aimerions connaître votre point de vue dans les commentaires ci-dessous.