Friday, 29 August 2014

Devriez-vous utiliser un gestionnaire de mot de passe? - Should you use a password manager?

English version below


Devriez-vous utiliser un gestionnaire de mot de passe?

             Absolument!  C'est la façon la plus simple de gérer nos mots de passe et nous authentifier sur des sites sécurisés.  Nous visitons tous des sites où nous devons utiliser un mot de passe pour accéder à nos réglages favoris ou pour protéger nos renseignements personnels.
 
             Un gestionnaire de mot de passe offre trois caractéristiques essentielles.  En premier lieu, il se souvient des noms d'usager et des mots de passes pour vous.  Deuxièmement, il peut vous authentifier automatiquement lorsque vous atteignez le site désiré.  Et troisièmement, parce qu'on a tendance à oublier nos mots de passe, on se sert de mots de passe faciles à se rappeler ou on inscrit le même mot de passe sur tous les sites.  Le problème est que si le mot de passe est compromis, celui qui l'aura trouvé aura accès à tous les sites où vous avez utilisé ce mot de passe.

             La plupart des gestionnaires de mot de passe sont des petits logiciels que vous installez sur votre ordinateur. Le logiciel établit une barre d'outils ou un module complémentaire à votre fureteur et en général, se synchronise avec tous vos appareils mobiles gratuitement ou pour un frais annuel (nous en reparleront plus loin). 

             Le plus grand avantage est que vous n'avez qu'un seul mot de passe à vous rappeler, le mot de passe du gestionnaire de mots de passe, ce qui vous permet d'avoir un mots de passe plus complexe et difficile à deviner.  Le gestionnaire de mot de passe peut vous aider à trouver ce mot de passe ou vous pouvez lire mon blogue sur le sujet créer un mot de passe sécuritaire pour des conseils qui vous aideront à créer un mot de passe sécuritaire dont vous vous souviendrez.

             Après l’installation, lorsque vous visiterez un site qui requiert une authentification, le gestionnaire de mot de passe offrira de capturer le mot de passe et de stocker cette information.  Il chiffrera les données et sera prêt pour votre prochaine visite à ce site.  Il est important de rappeler que lorsque vous quittez un site, vous devrez toujours fermer la session plutôt que de fermer le fureteur.  (Voir mon article à ce sujet ici)  Et ne jamais cocher la case "garder ma session active" pour éviter le vol de session.  

             Certains gestionnaires de mot de passe ont des caractéristiques additionnelles comme compléter un formulaire et insérer votre numéro de carte de crédit lors d'un achat en ligne.  Si le gestionnaire de mot de passe complète le formulaire en ligne, les enregistreurs de frappe sont incapables de capturer les renseignements et le formulaire se complète beaucoup plus rapidement. 

             Le gestionnaire de mot de passe peut, dans certains cas, stocker des renseignements personnels, tel que votre numéro d'assurance social.  Si vous perdez votre passeport au cours d'un voyage outremer il sera plus facile pour votre ambassade de repérer votre dossier et vous remettre un passeport de remplacement.

             Il existe plusieurs gestionnaires de mot de passe.  ZDNET France en a analysés plusieurs dans cet article.  Mon préféré et le choix de l'éditeur chez PC Magazine est LastPass.  Ce logiciel possède toutes les caractéristiques essentielles, y compris la gestion de formulaires, l'enregistrement d'information, vous permettant de sauvegarder des notes  comme le nom de réseaux Wi-Fi et leurs mots de passe, votre numéro d'assurance social, ou tout renseignement que vous voulez chiffrer dans un endroit sécurisé.  La version PC est gratuite.  L'application mobile coûte 12$/an (avec un essai gratuit de 14 jours).  Le logiciel synchronisera vos mots de passe pour tous vos sites. 

             Les données sont chiffrées et sauvegardées au site LastPass.  Même les gens qui travaillent chez LastPass ne peuvent lire vos mots de passe puisqu'ils sont chiffrés.  Ce qu'on appelle la voûte LastPass vous permet de modifier, partager et supprimer vos noms d'usagers et mots de passe.  Vous pouvez même permettre à LastPass de vous authentifier automatiquement lorsque vous accédez un site connu. 



             Vous pouvez aussi actionner l'authentification multi-facteur.  Ainsi, même si votre mot de passe-maître est compromis par un pirate informatique, il ne peut pas se brancher à votre gestionnaire de mot de passe. 

             Lorsque vous partagez un mot de passe, comme un mot de passe pour un compte familial, vous pouvez cacher le mot de passe, le rendant invisible à l'usager tout en lui permettant d'utiliser le compte.  (Excellent pour les sites de jeux en ligne).

             Voici quelques conseils utiles dans l’utilisation d’un gestionnaire de mot de passe : 

1) Écrivez le mot de passe principal, ou mieux encore des indices que vous seul pourrez comprendre, sur un bout de papier que vous cachez dans un tiroir de bureau.  Si vous perdez ce mot de passe, vous devrez réinitialiser tous vos mots de passe.

2) Prenez le temps de visiter les sites que vous fréquentez le plus souvent et familiarisez-vous avec les invites que le gestionnaire de mot de passe utilise tout en enregistrant ces sites dans votre gestionnaire de mot de passe.  Un mot de passe sécuritaire doit avoir au moins 8 caractères et utilise des lettres majuscules et minuscules, des chiffres et des symboles.

3) Tirez profit de votre gestionnaire de mot de passe en changeant vos mots de passe courants pour des mots de passe plus sécuritaires. Le gestionnaire de mot de passe vous aide à trouver des mots de passe plus sécuritaires et comme son nom le dit, il gère tous ces mots de passe pour vous.  Il vous dit combien de mots de passe identiques sont utilisés et vous donne une note sur le niveau de sécurité de vos mots de passe. 


             En conclusion, j'utilise un gestionnaire de mots de passe depuis quelques semaines et je dois admettre que j'accède mes sites sécurisés plus rapidement.  Je n'ai plus besoin de taper mon nom d'usager et mon mot de passe.  Mon gestionnaire de mot de passe fait son travail. 

Quelques liens intéressants:





________________________________________________________________________
English version


Should you use a password manager?

             Absolutely!  It's the easiest way to manage your passwords and log onto your secure sites.  We all visit sites where we need to use a password to access our favorite settings or for securing our private information.

             A password manager gives you 3 great features.  First, it takes care of remembering all your user IDs and passwords for you.  Second, it can log you in automatically when you reach the site.  And third, because we tend to forget our passwords, we use easy to remember passwords or repeat the same password for every site.  The problem with that is that if your password is compromised, whoever found what it is now has access to your information on every site where you use that same password.

             Most password managers are small programs that install on your computer and add a toolbar or plug-in to your browsers.  Most of them sync the passwords across all of your computers and some will also sync with your mobile devices for free or for a fee  (more on that later). 

             The great advantage is that you only need to remember one password, the password manager’s main password, so you can afford to make it more complex and hard to guess.  The password manager application can walk you through the process or you can read my blog post on creating a secure password for tips on how to create a secure password you will remember.

             Once the app is installed and you visit a site that requires login information, the password manager will offer to capture and store that information.  It will then encrypt the data and have it ready for your next visit.  It's important to note that when you're done with the site and leave, you should always log off.  (Read my blog post on the subject here).  And never use the "keep my session active" checkbox to avoid session hijacking.

             Some password managers come with extra features like filling out forms and inserting your credit card number when making a purchase online.  If the password manager fills in your information, key loggers are unable to record the data and the form is filled out much quicker.

             Password managers can sometimes store personal information you may need to access in certain circumstances like your social insurance number.  If you lose your passport while travelling abroad it will make things easier when you visit the local embassy for a replacement.

             There are several password managers to choose from.  PC Magazine has reviewed several in this article.  My favorite, and PC magazine's Editor's Choice, is LastPass.  It is full-featured and includes form filling and information recording which means the possibility to attach notes with Wi-Fi network names and passwords, your social security number or any information you would like to keep encrypted in a secure place.  The mobile app costs $12/year (with a 14-day trial).  It will sync the passwords for all your sites.

             The data is encrypted at LastPass site.  Even the people who work there can't see your passwords.  What they call the LastPass vault allows you to edit, share and delete your user names and passwords.  You can even have LastPass auto-log on to sites.



             You can also enable multi-factor authentication.  Which means that even if someone steals your master password, he/she cannot log into your account.

             When you share a password, for a household account for example, you can hide the password from being visible so the other person doesn't actually know what the password is.  (this is excellent for online game sites).

             Here are a few tips for when you decide to move to a password manager:

             1) Write down the password or better yet, write down clues that only you will understand and stash it in a bedroom drawer.  If you lose that password, you will need to reset all your passwords.  A secure password has at least 8 characters and uses upper case and lower case letters, numbers and symbols.

             2) Take a the time to visit the sites you use the most and familiarize yourself with the prompts the password manager uses while you get these sites registered into your password manager.

             3) Take advantage of your password manager to change your passwords to a more secure password on every site.  Most password managers will help you find more secure passwords and like the application's name, it will help you manage all of these different passwords.  Many password managers will tell you how many identical passwords are used and even give you a score on how secure your passwords are.

             Lastly, I've been using a password manager for the past few weeks and must admit it is quicker to logon to the different site I visit that require authentication.  No more typing user names and passwords.  My password manager takes care of it for me.

A few interesting links:


Skully motorcycle helmet

Mrs Brown's new kitchen



1 comment:

  1. Sticky password is a good alternative, however you need to be careful with the password generator. By default it does not generate secure passwords, although you can set it to do so.

    ReplyDelete