Articles IT et Télécoms

Comment gérer efficacement ses identifiants de connexion

V-gmpComptes de messagerie, identifiants aux réseaux sociaux, accès aux comptes bancaires… L’accès aux applications et services en ligne rend nécessaire la gestion d’un nombre croissant d’identifiants. La tentation est grande de n’utiliser qu’un ou deux mots de passe, bien que cette facilité soit incompatible avec la sécurité. Quelques conseils et outils pour rendre moins fastidieux la gestion de ses identifiants.

 Selon une étude publiée en 2011 par Symantec, les internautes doivent saisir cinq mots de passe par jour en moyenne. Face à cette contrainte, on constate principalement deux attitudes. La première consiste à utiliser des mots de passe très (trop) faciles à mémoriser. La seconde, tout aussi risquée, repose sur l’emploi d’un mot de passe identique pour au moins la moitié de leurs comptes en ligne. Cette seconde attitude est très répandue, concernant 52 % des personnes interrogées lors de cette même enquête.

La mise en place d’une véritable sécurité implique au contraire de mettre en place des méthodes et une politique de contrôle des accès très stricte.

Trois règles essentielles

Créer des mots de passe « forts ». On ne le répètera jamais assez, mais c’est la première règle à appliquer. Ce mot de passe « fort » doit être composé d’au moins dix caractères (minuscules, majuscules, caractères spéciaux et chiffres).

Exemple : MtZ87!+j45Xv. Il est possible de vérifier sa « robustesse » sur le site Password Checker de Microsoft.

Pour information, avec un puissant PC portable, un pirate peut tester 500 millions de mots de passe « faibles » à la… seconde.

La seconde règle essentielle est de créer un mot de passe par compte ou service utilisé. Cela peut paraitre contraignant, mais cette méthode évite qu’une personne mal intentionnée puisse accéder sans difficulté à tous les comptes d’un utilisateur dès lors qu’un identifiant devient connu. On ne compte plus les exemples d’utilisateurs qui après avoir communiqué un identifiant à leur insu ont vu l’ensemble de leurs services bloqués par un usurpateur …

Enfin, il est indispensable de changer régulièrement ses différents mots de passe. Il est important de garder à l’esprit qu’un mot de passe n’est pas inviolable dans le temps.

Le cas particulier de la gestion des identifiants dans l’entreprise

Les responsables de la sécurité informatique doivent être en mesure de contrôler les accès et les autorisations de tous les collaborateurs, voire de certains prestataires extérieurs qui accèdent plus ou moins régulièrement au système d’information de l’entreprise. Une mission qui est loin d’être une sinécure…

Deux cas de figure peuvent représenter une menace informatique:

  • Un nouveau salarié qui ne dispose pas encore de ses droits d’accès constitue une situation pénalisante pour l’entreprise, car cette personne ne peut pas travailler dans de bonnes conditions. Si elle utilise les droits d’un autre employé, c’est dangereux, car il s’agit d’une faille de sécurité. Ouvrir un compte en trois jours est jugé encore trop long par les responsables.
  • Un ancien employé qui conserve des droits constitue également un danger. Dans les entreprises qui appliquent une politique de sécurité très stricte, dix à vingt minutes sont généralement suffisantes pour informer l’ensemble des serveurs concernés lorsqu’une fermeture de droits d’accès est engagée. D’autres entreprises sont beaucoup plus laxistes et mettent une à deux semaines pour le clôturer, sans parler de celles qui oublient de clôturer les comptes concernés !

Comment mémoriser ses mots de passe

Etant donné la difficulté inhérente à la création de multiples mots de passe « forts » et plus encore au fait de s’en souvenir, deux astuces permettent d’éviter la tentation de recourir au Post-It !

La première est appelée la méthode phonétique. Elle consiste à utiliser les sons de chaque syllabe pour fabriquer une phrase facile à retenir. Par exemple la phrase « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am.

La seconde solution est dénommée la méthode des premières lettres. Il faut garder les premières lettres d’une phrase (citation, paroles de chanson…) en veillant à ne pas utiliser que des minuscules. Par exemple, la citation « un tiens vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.

Des outils logiciels pour protéger ses identifiants

Les méthodes précédentes ne sont pas toujours évidentes à appliquer, surtout s’il y a énormément de mots de passe à mémoriser. Il est donc souvent préférable d’utiliser des « Password Manager » ou « gestionnaires de mots de passe ».

Leur principe est le suivant : tous les mots de passe sont « enfermés » dans un tiroir fermé à clé. Cette clé est un mot de passe qui doit être très « fort » (au moins une vingtaine de caractères), car il protège tous les autres. Il est aussi appelé « Master Password».

L’un des logiciels les plus connus s’appelle KeePass, disponible en français et compatible avec les différentes versions de Windows. Ce logiciel gratuit est disponible en deux versions : la « Classic Edition » (version 1.26) et la « Professional Edition » (version 2.23) qui dispose de plus d’options pour les entreprises.

KeePass stocke les éléments (mots de passe, documents…) dans une base de données chiffrée (on dit aussi, à tort, « cryptée ») en AES. L’Advanced Encryption Standard est devenu en 2000 le standard de chiffrement dans de nombreux pays. Pour organiser un peu plus facilement la gestion des mots de passe, il est possible de classer par groupe et sous-groupes.

Autre logiciel (pour ordinateur et smartphone) très pratique : Dashlane. Développé par une jeune entreprise française, il repose sur un principe similaire à KeePass mais bénéficie d’une interface très épurée s’inspirant de l’ergonomie des applications pour tablettes. Lors de l’installation de l’application, un tutoriel explique comment utiliser Dashlane et découvrir ses fonctionnalités de saisie et de connexion automatique. Il est aussi disponible sous forme d’extensions pour navigateurs web.

La version Premium (18 €) permet notamment de bénéficier de la sauvegarde automatique et de la synchronisation des données entre plusieurs appareils.

Citons enfin les ténors anglo-saxons que sont LastPass et Roboform (disponibles en français) qui permettent tous deux une gestion centralisée des mots de passe avec la possibilité en version Premium d’accéder à ses mots de passe depuis tout PC ou smartphone connecté à Internet.

Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :