Journal / 2020

Les maudits mots de passe uniques

As-tu déjà pensé ça:

Impossible d'avoir un mot de passe différent pour chaque service, c'est sûr que je m'en souviendrais pas!

C'est vrai que c'est impossible! La solution par contre, ce n'est pas de réutiliser un mot de passe à plusieurs endroits. Je répète en plus gros pour être dramatique et parce que je t'aime:

Ne réutilise jamais de mot de passe entre tes comptes.

Si ça t'intéresse, j'explique pourquoi c'est dangereux à la fin ↓

Okay le smatt, comment je me protège sans que ça soit fatiguant?

Avec un gestionnaire de mots de passe! Grosso modo, c'est un outil qui mémorise tes informations de connexion pour tous les services que tu utilises. Son stockage est protégé par un mot de passe principal, dont tu dois te rappeler. Ça devient le seul mot de passe que tu dois mémoriser, alors c'est une bonne idée d'en avoir un long.

C'est pas compliqué en plus: Tu te choisis un gestionnaire de mots de passe, tu crées ton compte et tu l'installes ensuite sur tes appareils (je suggère d'installer au moins le plugin officiel dans ton navigateur préféré, ainsi que l'application sur ton téléphone). Tu auras l'occasion de créer ton "coffre-fort" et lui donner ton mot de passe très sécuritaire.

À propos des mots de passe "sécuritaires"

Pas besoin qu'il soit compliqué d'une façon qui le rend dur à mémoriser. Le mot de passe Un bourdon marche seul au plafond est beaucoup plus sécuritaire que Y&gT81zl~ke#s@, en vertu de sa longueur tout simplement. En plus, tu t'en souviens déjà.

Les gestionnaires de mots de passe contiennent toujours aussi un générateur de mot de passe. C'est bon pour les comptes que tu ajoutes dans le futur, mais aussi pour en mettre à jour. Ça permet d'avoir des mots de passe uniques partout sans vraiment faire d'effort supplémentaire.

Souvent, ils vont aussi t'aviser si un service que tu utilises a été victime d'une fuite de données.

Est-ce que je t'ai dit que ces outils-là remplissent automatiquement les champs de connexion sur les sites web, et dans les apps de ton téléphone? C'est comme le auto-complete de Chrome, mais sécuritaire, et que tu ne perds pas en changeant d'ordi.

Donc je choisis quoi?

Voici trois bons choix, dont deux qui offrent un plan gratuit:

Personnellement, j'utilise 1Password depuis des années et c'est un excellent outil.

En résumé:

  • Tu choisis un gestionnaire de mots de passe (c'est gratuit!)
  • Tu te choisis un mot de passe "master" long et facile à retenir
  • Tu installes le gestionnaire sur tes appareils préférés
  • Tu t'assure d'avoir tout de suite des mots de passe uniques là où ça compte le plus (banque, courriel, Paypal, Skype, etc.)
  • Tu dors bien

Pour les curieux: Pourquoi c'est pas sécuritaire de réutiliser un mot de passe?

En gros, c'est parce que ça prend un seul service vulnérable pour que tous tes comptes deviennent vulnérables. Quand un service en ligne se fait voler une base de données mal protégée, leur liste de comptes se retrouve dans les mains de hackers.

Ces hackers ne visent pas que les gens importants, ils attaquent toute la liste en même temps. Ils essaient les combinaisons courriel/mot de passe volées un peu partout. Ils ont des outils qui vont automatiquement entrer tes informations sur les services Adobe, sur Netflix, Gmail, Paypal, etc. pour voir où ils sont capables de se connecter.

Fais le test: Entre ton courriel sur l'outil Have I Been Pwned et regardes dans combien de fuites publiques il a été retrouvé à date. De mon côté, je suis prudent, mais mon email personnel a malgré tout fini dans 23 fuites majeures (Adobe, bit.ly, Last.fm, Trillian, MySpace, etc.).

Quand tu as des mots de passes uniques pour chaque service, lorsqu'un service est victime d'une fuite pour une raison ou une autre, tes comptes ailleurs sont à l'abri des attaques. La clé, c'est de ne pas réutiliser la même combinaison d'email et mot de passe.

Et si mon gestionnaire de mots de passe a une fuite, lui?

Ça va se passer comme avec les services qui ne sont pas à risque de fuite grave:

Les hackers vont prendre possession de ton coffre-fort, mais il va être encrypté, parce que tu n'es pas là pour fournir son mot de passe (celui super sécuritaire dont on a parlé plus tôt). Sans ton mot de passe, les hackers ont en main un grand fichier entièrement illisible – pas moyen de s'en servir. L'histoire finit là.