Qu’est-ce qu’un gestionnaire de mots de passe et comment fonctionne-t-il ?

by Malo Jamain, Business Developer

Qu’est-ce qu’un gestionnaire de mots de passe ? 

Au début d’internet, le nombre de mots de passe dont un utilisateur devait se remémorer était assez limité, car le nombre d’applications en ligne n’était pas encore aussi important qu’aujourd’hui.

Depuis le lancement de Google en 1998 et de Facebook en 2004, les choses ont beaucoup évolué et sont devenues plus complexes.

Dans un rapport datant de 2017, LastPass, une entreprise spécialisée dans la gestion de mots de passe, estime qu’en moyenne, un internaute doit se souvenir d'environ 200 mots de passe différents. 

Aujourd’hui, il est devenu quasiment impossible pour une personne de se remémorer l’ensemble des mots de passe créés au travers des différentes applications et sites web. 

Les mots de passe pouvant donner accès à des données sensibles (compte en banque, messages, etc.), et la sécurité n’étant pendant longtemps pas la priorité des grandes sociétés internet, les hackers se sont mis à les dérober afin de les revendre sur le marché noir, pouvant avoir de graves conséquences sur la vie des victimes.

Une étude réalisée en 2020 par Photon Research estime que plus de 24 milliards de jeux complets d’identifiants et mots de passe seraient en circulation sur le dark web. 

En conséquence, la plupart des sites web et applications imposent désormais un niveau de sécurité minimum lors de la création de comptes, amenant les internautes à devoir créer des mots de passe complexes, plus difficiles à se remémorer. 

Il est désormais commun de voir ce type d’interface lors d’une inscription sur un site web :

Cryptr - Type d'interface lors d'une inscription sur un site web

Heureusement, cette complexité grandissant a fait émerger de nouvelles technologies permettant de ne pas avoir à se souvenir de ses mots de passe : les gestionnaires de mots de passe.

Un gestionnaire de mot de passe est une application ou un service en ligne permettant à un utilisateur de centraliser l’ensemble de ses mots de passe.

Ce gestionnaire de mot de passe est lui-même protégé par un mot de passe, appelé « mot de passe maître », qui doit être connu uniquement de l’utilisateur.

Par la suite, lorsque vous vous rendez sur un site web, le gestionnaire de mot de passe retient pour vous les différents mots de passe créés. 

Quels sont les avantages à utiliser un gestionnaire de mot de passe ? 

Le premier avantage à utiliser un gestionnaire de mots de passe est le gain de temps. 

Le deuxième avantage est que vous n’avez plus besoin de vous remémorer tous les mots de passe que vous créez sur chaque site web, mais uniquement du mot de passe maître. Se remémorer un seul mot de passe est beaucoup plus facile et vous pouvez donc choisir un mot de passe complexe et robuste.

Le troisième avantage est la génération automatique de mots de passe forts. Selon la CNIL, un mot de passe robuste doit avoir au moins 12 caractères, des minuscules et des majuscules, ainsi que des caractères spéciaux. Il doit également ne rien indiquer de vous (date de naissance, lieu d’habitation, etc.). La plupart des gestionnaires de mot de passe vous suggèrent un mot de passe fort généré automatiquement lorsque vous créez un compte sur un site web. Cela vous permet de ne pas avoir à vous poser la question du mot de passe que vous allez créer, tout en assurant une sécurité importante.

Pour les entreprises, savoir qui a accès à quel compte peut parfois s’avérer compliqué à suivre. Si certains comptes sont partagés, cela se complique encore davantage.       

C’est pour cela que les gestionnaires de mots de passe permettent également de gérer plus efficacement les accès à des comptes partagés. 

Une fois le mot de passé créé sur votre compte, vous pouvez partager les accès à ce compte (identifiant et mot de passe), sans que la personne avec laquelle vous partagez ces accès ait connaissance du mot de passe utilisé. 

Le cinquième avantage de l’utilisation d’un gestionnaire de mots de passe est le fait d’être alerté lorsque l’un de vos mots de passe est compromis. En effet, il y a actuellement des milliards de mots de passe disponibles à la vente sur le darkweb. Certains gestionnaires de mots de passe proposent donc de vous alerter lorsque l’un des mots de passe que vous souhaitez utiliser apparaît comme compromis. 

Il est également possible de vérifier vous-même si certains de vos mots de passe sont compromis. Pour cela, il suffit de vous rendre sur le site Have I been pwned ? et de mettre votre email ou téléphone. Vous pourrez ainsi voir si vos identifiants se trouvent dans des bases de données volées en ligne.

Enfin, les gestionnaires de mots de passe vous permettent de protéger votre identité numérique. En utilisant un mot de passe différent sur chaque site web, si l’un de vos mots de passe est compromis, le pirate ne pourra pas forcément accéder à vos autres applications. 

Quels sont les différents types de gestionnaire de mots de passe ? 

Le premier type de gestionnaire de mot de passe est le gestionnaire de mot de passe installé directement sur votre ordinateur (desktop-based). Les mots de passe sont alors stockés localement, sur votre ordinateur, dans un coffre-fort crypté. 

Premièrement, il est impossible d’accéder à ces mots de passe depuis un autre appareil (une tablette, un téléphone portable, etc.). 

De plus, si vous perdez votre ordinateur, alors vous perdez également l’ensemble des mots de passe stockés dans ce gestionnaire. 

Le deuxième type de gestionnaire de mot de passe comble ces lacunes, il s’agit du gestionnaire de mot de passe basé dans le Cloud.

L’ensemble de vos mots de passe cryptés sont alors stockés sur le réseau du fournisseur de services (Dashlane, LastPass,1Password etc.). Le navigateur Chrome propose également un gestionnaire de mots de passe, mais qui n'est utilisable que sur Chrome.  

La responsabilité de la sécurité de vos mots de passe est alors entre les mains de ces sociétés, qui ne sont pas immunes aux attaques cyber, comme l’illustre les deux attaques subies par LastPass ces derniers mois. 

Le principal avantage de ces solutions est que l’ensemble de vos mots de passe sont accessibles depuis tous vos appareils (téléphone, tablette, ordinateur, etc.), tant que vous disposez d’une connexion internet et de votre mot de passe maître. 

Le plus souvent, ces gestionnaires de mots de passe consistent en une simple extension de votre navigateur internet combiné à une application mobile ou de bureau.  

Au sein des entreprises, l'alternative privilégiée aux mots de passe est le Single Sign On (SSO).

À l’instar des gestionnaires de mots de passe et comme son nom l’indique, le Single Sign On permet aux employés d’accéder à un éventail d'applications avec un seul mot de passe.

Il s’agit en quelque sorte d’un passeport dans le monde digital.

L’authentification SSO est très répandue dans le monde du B2B. Les directions IT préfèrent davantage cette solution aux gestionnaires de mots de passe, car elle diminue le temps que les services informatiques allouent au dépannage et à la réinitialisation des mots de passe. 

Il existe de nombreux fournisseurs d’authentification SSO sur le marché comme : Okta, Ping Identity, Forgerock, Microsoft, IBM Security Access Manager etc. 

Quelles sont les meilleures pratiques pour les mots de passe ? 

La première bonne pratique concernant les mots de passe est de ne pas démultiplier l’usage d’un même mot de passe sur des sites web différents (même si vous utilisez un gestionnaire de mots de passe). Vous pouvez ainsi créer des mots de passe différents, robustes et complexes en laissant le gestionnaire de mot de passe s’en souvenir.

La deuxième bonne pratique concerne la longueur de vos mots de passe.

En effet, plus le mot de passe est court, plus son hacking sera rapide, voire instantané, comme l’illustre l’image ci-après :

Cryptr - Longueur de vos mots de passe

Il faut donc veiller à créer des mots de passe complexes, sans aucun lien avec qui vous êtes, mais plutôt des enchaînements de lettres (majuscules et minuscules), de chiffres, et de caractères spéciaux. 

Les mots de passe suggérés par les gestionnaires respectent ces règles de sécurité. Si vous n’avez pas d’idées, vous pouvez donc simplement accepter en un clic le mot de passe suggéré par votre gestionnaire.

Comme vu précédemment, l’un des avantages des gestionnaires de mots de passe est qu’il se souvient de vos différents mots de passe pour vous, à l’exception d’un, le mot de passe maître.

Pour ce mot de passe maître, une bonne pratique consiste à créer un « phrase de passe » plutôt qu’un mot de passe : une série de mots aléatoires, facile à se remémorer, mais difficile à deviner. Exemple : « carotte-porte-nomade-girafe ». 

La quatrième et dernière bonne pratique relative à vos mots de passe est d’activer la fonctionnalité d’authentification multifacteur lorsque celle-ci est disponible. 

Avec cette fonctionnalité, vous devrez vérifier votre identité à l’aide de deux facteurs d’authentification ou plus, à l’aide de quelque chose que vous possédez (un smartphone, une tablette, une carte bancaire, etc.), quelque chose que vous savez (question secrète, code), ou bien quelque chose que vous êtes (reconnaissance faciale, empreintes digitales, etc.). 

Cette couche de sécurité supplémentaire fait que si une personne mal intentionnée ayant connaissance de votre mot de passe essaye de se connecter à l’un de vos comptes, elle restera bloquée sur la page de connexion, car elle n’aura pas en sa possession le deuxième facteur d’authentification (un code envoyé sur votre téléphone portable par exemple). 

Pour plus d’informations sur les différents produits d’authentification développés par Cryptr, suivez-nous sur LinkedIn, Twitter, YouTube et Instagram.

Et pour échanger avec nos équipes, vous pouvez réserver le créneau de votre choix en cliquant ici : Rencontrer Cryptr

Add enterprise SSO for free

Cryptr simplifies user management for your business: quick setup, guaranteed security, and multiple free features. With robust authentication and easy, fast configuration, we meet businesses' security needs hassle-free.

More articles

SAML vs SSO: Differences between SSO and SAML authentication

Uncover the key differences between SAML vs SSO in user authentication. How SAML enables SSO and their roles in enhancing identity security and login processes

Read more

A guide of Magic Link Login for Passwordless Authentication

Unlock passwordless authentication with email magic links! boost security and user experience. Discover our comprehensive guide to email magic link login

Read more