Les mots de passe c'est la galère.
C'est un sujet qui est paradoxal ou même carrément paranoïaque : d'un coté, les personnes de la sécurité disent que les mots de passe doivent être longs et complexes et en plus qu'il est recommandé de les changer régulièrement. Mais de l'autre coté, hormis ces bonnes paroles pleines de bon sens (et oui) rares sont celles qui indiquent les recettes qui permettent de mettre en application ces principes...
deux recettes simples et éprouvées
Je me propose de partager avec vous deux recettes simples pour gérer ses mots de passe. La première est à privilégier dans le monde de l'entreprise, la seconde étant à réserver pour la sphère privée. Cette fois, je vous propose des recettes testées et approuvées : pas de truc théorique ou compliqué à mettre en place, que des choses qui se veulent simples et directement utilisables !
recette #1 : le logiciel "coffre-fort à mot de passe"
Vous connaissez le coffre-à-clefs (ou "boîte à clefs") utilisé par les services généraux et concierges ? Oui. Avec un coffre de ce genre, il suffit d'avoir la clef principale pour accéder aux clefs présentes dans le coffre. C'est la même chose mais sous forme logicielle.
Avec ce type de programme, on stocke tous les mots de passe dans une seule et unique petite base de donnée sécurisée : la gestion de cette base est assurée par un logiciel spécialisé. Pour accéder aux informations présentes de cette base, il sera nécessaire "d'activer" la porte de ce coffre numérique via une clef principale (un "super mot de passe").
Avec une solution de ce genre, il suffit de se souvenir d'un seul et unique mot de passe. Celui-ci devra être bien complexe et long. Pas compliqué, ce sera le seul dont il faudra se souvenir.
deux logiciels recommandés
Les logiciels de "coffre-fort à mot de passe" sont nombreux sur Internet. J'en retiendrai deux : PasswordSafe et KeePass.
- PasswordSafe est simple et sans fioritures mais réponds pleinement au besoin. Pour ceux qui débutent avec ce type de logicile, c'est PasswordSafe que je recommande.
- Ceux qui en veulent plus (un look&feel, des fonctions évoluées, un mécanisme de plugins, ...) alors n'allez pas chercher plus loin : KeePass est fait pour vous. Il regorge de paramètres et d'indicateurs que son petit frère PasswordSafe ne propose pas.
une transition en douceur via import/export
Pour ceux qui sont alléchés par KeePass mais qui se sentent un peu impressionnés pour démarrer, alors démarrez sans attendre avec PasswordSafe : vous pourrez migrer vers KeePass car celui-ci sait importer une base créée par PasswordSafe ou encore passer via un format d'échange standard (fichier texte, XML, ...)
Personnellement, j'ai utilisé PasswordSafe durant plusieurs années pour passer assez récemment sous KeePass.
Les logiciels de "coffre-fort à mots de passe" sont la solution la plus adaptée au contexte professionnel. Pour ne rien gâcher, ces deux logiciels sont totalement gratuits et au code source ouvert... Que du bonheur.
recette #2 : le répertoire, le crayon papier et la gomme
L'approche est très simple : un répertoire alphabétique petit format (à spirales de référence), un crayon papier HB et une gomme. Avec cet attirail très "tendance scolaire 2010", vous êtes équipé pour améliorer la sécurité de vos comptes d'accès au sites personnels.
une recette super/ultra simple
Pour un web site donné (ex: www.gmail.com) ou Twitter, vous écrivez à la page donnée :
- le nom du site "Twitter.com"
- le login : username
- le password : T6gf7G@H5(Rt)g&
et si l'humeur vous en dit, vous y ajouter :
- l'adresse email utilisée lors de l'enregistrement
- la date de dernier changement du mot de passe.
Ce petit carnet n'est pas à laisser trainer : rangez-le soigneusement mais conservez-le à portée de main. Besoin de connecter à Twitter ? On va a la page "T". Gmail ? c'est parti pour la page "G" ! Vous changez votre mot de passe ? Pas de problème : Un coup de gomme est c'est fini. Un petit truc : écrivez le nom du site en majuscules et soulignez-le, cela facilitera la recherche.
Le "moins" du carnet : comme il faut saisir les mots de passe à chaque fois, la tendance est de limiter leur taille et leur complexité. Dans le cas du "coffre-fort à mot de passe" c'est un jeu de copier/coller.
Cette recette, tout le monde peut l'utiliser : pas d'excuses du "c'est trop compliqué" ou "j'ai rien compris" !
écrire ses mots de passe : oui mais à la maison
Oui, je recommande d'écrire ses mots de passe : d'un point de vue "risques", il y a plus de chances que votre compte Internet se fasse pirater d'une façon ou d'une autre que quelqu'un se "serve" de votre carnet. A contrario du bureau, les personnes ayant accès à votre domicile sont connues et à priori de confiance : ce n'est à priori pas le cas dans un contexte professionnel.
Donc oui, à la maison, utiliser un répertoire alphabétique pour y écrire ses mots de passe personnel est mieux que de mettre le même mot de passe sur tous ses sites.
un fort knox à la maison
Bien sur, les logiciels de "coffre-fort à mot de passe" sont utilisables dans un contexte personnel. Certaines personnes commenceront peut-être par le carnet pour ensuite passer au logiciel spécialisé. Dans tous les cas ce sera grandement mieux qu'un seul et même mot de passe pour tous leurs sites Internet... comme c'est malheureusement trop fréquemment le cas.
le dernier p'tit "truc" du cuistot
Pour les sites personnels auxquels vous accédez depuis le bureau, rien ne vous empêche de stocker les mots de passe dans votre coffre-fort professionnel. J'ai d'ailleurs créé spécialement un dossier "Personnel" dans mon gestionnaire afin de les séparer de ceux du coté pro.
yes, ca marche !
Ces recettes, je les utilise moi-même et je les recommande aux collègues et à mon cercle personnel. Certains diront qu'elles sont perfectibles (surtout la seconde, et ils auront raison) mais je leur dirai deux choses en retour :
- Ces recettes permettent de réduire le risque des mots de passe faibles, similaires, jamais changés ou utilisés sur de multiples sites.
- Que si ils ont d'autres propositions plus astucieuses, qu'ils nous en fassent part sans attendre. Les commentaires sont là pour ça. :-)
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens