illustration coffre

Gérer ses mots de passe correctement

Si. Il est temps de le faire.

Cet article est destiné à ceux qui ont un mot de passe pour tous les sites et services. Ceux qui utilisent pour mot de passe un mot avec leur date d’anniversaire à la fin. Ceux qui utilisent leur numéro de département, leur numéro de carte bancaire… Ceux qui refusent d’utiliser un nouveau logiciel ou un nouveau site sous prétexte qu’il va falloir s’inscrire à nouveau. Ceux qui ont 3 ou 4 mots de passe et les essaient tous quand ils tentent de se connecter. Tous ceux qui savent qu’ils devraient un jour se pencher sur la question mais qui n’ont pas le temps, l’énergie ou les connaissances pour faire ça correctement. Vous, qui êtes des flemmards. Et pour qui je prends le temps de faire un article parce que bordel vous me rendez cinglés.

Étape 1 : Comprendre pourquoi vos habitudes sont mauvaises

Imaginons 2 minutes que je réussisse à avoir accès à un de vos mots de passe. Soit avec des logiciels pour tous les tester, soit au pif (chocolat+année de naissance ?). Ou plus commomunément lors du piratage d’un grand site (twitch, sony…) et où des données ont été mis à la disposition de tous. J’ai votre login, je connais l’email que vous avez utilisé, et j’ai votre mot de passe. Si il est crypté il y a de fortes chances qu’à coup de rainbow table je puisse avoir votre mot de passe en quelques minutes. De là, je vais tenter de me connecter à votre boite mail, par exemple GMAIL ou hotmail si vous êtes vieux. Si vous avez un mot de passe pour tout j’arriverai à me connecter sans soucis… et avec votre boite mail je peux accéder à vos autres services, voire bloquer vos comptes : en utilisant la fonction récupérer mon mot de passe sur certains sites, le mail arrive sur votre boite mail, je change tout… bref, vous perdez tout, je peux même tenter de récupérer d’autres infos à partir de là et vous faire du chantage… Ce n’est qu’un exemple, mais cela illustre parfaitement pourquoi un mot de passe pour tout est une très mauvaise idée.

La solution idéale devrait :

  • être très sécurisée (et oui, pensez à ajouter la double authentification, mais même ça peut se faire pirater)
  • être très TRÈS facile à utiliser au quotidien (surtout pour un vieux qui a une adresse hotmail)
  • être utilisable sur votre ordinateur et votre mobile
  • être peu chère

On pourrait se dire hey, tapons gestion mot de passe sur Google et on verra bien : vous tomberez à coups sûr sur les solutions de type Dashlane, ou 1Password… Et je vous les déconseille fortement. La première logique est de se dire que si vos mots de passe sont en ligne sur le site d’un service, il y a une chance pour que vos données soient un jour piratées en même temps que ledit service. Ça a été le cas pour Dashlane… pour un service de sécurité de mots de passe, tout se faire piquer c’est un peu la honte. Le second soucis que j’ai avec les services en ligne, c’est l’aspect paiement mensuel. Oui, je comprends que les pirates deviendront de plus en plus malins, que les OS changeront, et que vos logiciels doivent évoluer pour être plus secure et que ça mérite salaire. Mais ça me fait chier, je suis un nostalgique de l’époque où tu achetais un service une fois, même cher, et basta. Demain il se passe quoi si j’arrête de payer ? Je ne peux plus récupérer mes infos ? Encore une mensualité en plus à payer tous les mois…

Ma solution perso : 1Password SANS abonnement mensuel ou Keepass + Dropbox

1Password existait, et existe toujours de manière planquée, sous version standalone. Sous forme d’app gratuite sur iOS et l’app Store, elle possède des versions « pretium » à débloquer… chères… mais qui ne sont plus à payer par la suite. On tourne autour de 80€ quand même, et l’addition monte vite si vous prenez la version premium également sur iOS avec un beau 15-20€ de plus. Il faut mettre ça en perspective avec le tarif mensuel que vous auriez sinon à payer, ainsi que sur l’utilité que vous en aurez. Et croyez-moi : prenez le pli de l’utiliser, et c’est tous les jours que vous l’ouvrirez. A titre perso, et c’est pas un post sponsorisé, j’ai acheté 1Password sur osx plein pot 80€, la version iOS à 15-25€ en plus… et quand ma machine principale pourra passer sur OSX Mojave je re-paierai surement 80€ de plus pour upgrader ma license en version 7 de 1Password. C’est plutôt joli (même si je regrette l’app « Wallet » sur iOS), plutôt extensible (j’y enregistre mes cartes bancaires, numéros de sécu, mais aussi mes tailles de vêtements parce que ou putain 36, 42, c’est quoi ces numéros pour des pantalons hein ?), et l’intégration avec Dropbox se fait de manière native. En bonus, c’est même possible d’avoir plusieurs « vaults » (coffre-forts) et d’en partager un commun avec sa moitié. De son côté Keepass tourne avec aussi un fichier mega encrypté que vous pouvez mettre sur un dropbox, et des apps iOS existent pour se coupler avec ça. Je ne l’ai pas testé, apparemment c’est possible… Keepass est moche, ne peut pas se débloquer sur iOS avec genre son empreinte digitale ou sa face, mais il a le mérite d’être GRATOS. Can’T beat free, right ? Et Dropbox, oui pareil, vous pouvez garder un compte gratuit. Le tout gratuit est complètement possible.

Inconvénient de ma solution : in fine, le « coffre-fort » reste sur dropbox… donc… en ligne ? C’est pas contraire avec le principe de méga sécurité ? Alors oui, idéalement oui. Mais ce que vous stockez sur dropbox, c’est uniquement un fichier ultra encrypté. On parle de military-grade encryption. Et si vous mettez un poil d’énergie à créer un seul mega mot de passe à retenir (à titre perso, le mien compte 15 caractères, et j’en ai un autre master qui fait 34 caractères), aucune rainbow table ne pourra le péter.

Dernier avantage pour Dropbox : l’intégration ultra facile dans votre vie de tous les jours, sur votre ordinateur. Parce que sur Firefox, chrome, safari… vous avez des minis plugins dédiés qui vous permettront de remplir les logins automatiquement, et qui vous rempliront vos formulaires d’inscription automatiquement. Neat.

Vraiment, je n’ai AUCUNE action, ni sponso chez eux. Et à titre perso je les trouve très chers. Si vous voulez déjà tenter l’aventure, essayez Keepass. Après, vu la fréquence à laquelle j’utilise 1Password, même leur prix exorbitant est justifié (je tape mon mon de passe principal environ 10 fois par jour en moyenne. 5 fois sur mon téléphone, où j’unlock avec juste ma face. Un vrai plaisir que de pouvoir donner son numéro de sécurité sociale en 20 secondes).

Première étape : avoir un compte dropbox

D’autres types de solutions existent mais dropbox est supporté nativement (même avec certaines apps iOS Keepass) et vous pouvez parfaitement utiliser un compte gratuit. Créez un compte chez eux, installez leur application sur votre mobile et sur votre ordinateur afin de synchroniser en local vos données, et vous êtes pret·e·s.

Deuxième étape : récupérer l’application 1Password ou Keepass desktop et iOs ou Androïd

Pour 1Passwordvous pouvez passer par l’App Store sur Mac ou prendre l’app sur le site d’agilebits directement. Je me répète, mais ne prenez PAS la version mensuelle ! Ce n’est pas leur business model préféré, mais au moins vous n’aurez aucun faux frais et tout sera rentabilisé en un peu plus d’an an d’utilisation.

Une fois installé(s), vous avez la possibilité de débloquer la version « pro ».

Troisième étape : dites à 1Password ou Keepass d’avoir un coffre-fort qui utilise votre dropbox

Créez un nouveau coffre, sélectionnez votre dossier dropbox en local… et c’est tout.

Quatrième étape bonus : qualité de vie

Via l’application 1Password sur mobile débloquez les fonctionnalités Pro, et sélectionnez un coffre fort en utilisant dropbox. (pour Keepass il y a surement des étapes a faire en plus mais vous avez l’idée).

Pour 1Password rendez-vous sur le site du développeur sur la page dédiée aux plugins (lien que je vous mets ici) et installez les mini plugins qui vous aideront dans votre utilisation quotidienne sur vos navigateurs.

Sur Mac vous pouvez utiliser une app de lancement comme Alfred (que je recommande vivement) pour configurer l’utilisation de 1Password et gagner encore plus de temps.

Un méga mot de passe

Toute la philosophie de ces applications tient sur le fait de ne mémoriser qu’un seul méga mot de passe. Un seul mot de passe pour les gouverner tous. Et toute la difficulté est de se défaire de ses habitudes pour en créer un super long et facile à retenir. A titre personnel j’ai bien galéré à en trouver un qui me convenait alors que j’utilisais les mêmes depuis des années, et maintenant j’utilise une phrase dont tous les mots sont espacés par un underscore. Par exemple : Je_deteste_cette_application_serieusement_sw4g$ ou appeler_mon_fils_macron_etait_une_erreur_1234 sont de parfaits exemples.

OUI ça paraît être beaucoup de boulot… mais en réalité vous passerez juste une heure ou deux pour tout faire tourner, que vous récupérerez doucement à chaque fois que vos mots de passe se rempliront comme par magie dans votre navigateur. Prenez le pli, le jeu en vaut la chandelle.

Catégories

Autres lectures
le big meet
La théorie du Big Meet