logo academy

Password management : comment gérer ses comptes en toute sécurité

4 août, 2022
11 min
Password management : comment gérer ses comptes en toute sécurité
débutant
Tu apprendras

    La technologie blockchain nous permet d’échanger des cryptomonnaies en peer-to-peer, sans intermédiaires, et l’écosystème DeFi offre les services décentralisés les plus divers grâce aux smart contracts et aux Dapps. D’autre part, la distribution du pouvoir exige des normes de sécurité élevées : il n’y a pas d’autorité centrale pour “contrôler” les actions des utilisateurs, la défense des réseaux repose donc sur la cryptographie et des protocoles impartiaux. Mais déjà à titre personnel, chacun d’entre nous est équipé d’outils de protection : les mots de passe dans le monde de la crypto sont essentiels, il est donc important de savoir les utiliser et les conserver correctement. Découvrons donc comment gérer les mots de passe !

    Les password managers : des post-it numériques

    L’objectif de cet article, comme prévu, est de donner des conseils utiles sur les façons de gérer les mots de passe, non seulement pour un usage quotidien, mais aussi dans le cas spécifique de la crypto-sécurité. Ton compte sur la plateforme d’exchange Young Platform ou tout autre portefeuille crypto, en fait, a toujours un code d’accès : le créer, le stocker et le récupérer nécessite une stratégie de gestion des mots de passe, équilibrée en termes de difficulté et de niveau de protection.

    Qui d’entre nous n’a pas un post-it ou un carnet dans lequel on note tous les mots de passe ? Une solution pratique, mais risquée à plusieurs égards : en stockant tous les mots de passe sur un seul morceau de papier, tu risques de perdre tous les accès d’un seul coup, si tu perds ton papier. Répartir les codes entre plusieurs feuilles et bouts de papier n’est cependant pas particulièrement utile ; au contraire, cela multiplierait les risques de les perdre. Est-il possible, alors, de rassembler tes mots de passe dans un endroit sûr ?

    La solution pourrait être un password manager, un outil simple mais efficace, même pour ceux qui ne sont pas très familiers avec la technologie, mais comment est-ce que ça fonctionne ? En fait, la liste interminable d’ identifiants et de mots de passe est stockée par un logiciel, protégé par un “mot de passe principal fort, le seul dont tu devras te souvenir à partir de maintenant.

    Ces logiciels de gestion sont aussi généralement compatibles avec tous les appareils électroniques, simplement en téléchargeant une extension de navigateur ou une application pour smartphone, de sorte que tu disposes directement de tes mots de passe où et quand tu en as besoin. Imagine que tu accèdes à ton profil sur un réseau social : le gestionnaire de mots de passe remplira automatiquement les champs, en reconnaissant le site web, mais seulement après que tu aies déverrouillé le “coffre” avec le mot de passe principal.

    Il va de soi que le mot de passe permettant d’ouvrir le coffre doit être choisi avec soin, afin qu’il soit suffisamment fort pour protéger tous les autres codes qu’il contient. Ces logiciels aident souvent l’utilisateur à créer un mot de passe approprié en indiquant les paramètres à prendre en compte :

    • Longueur ;
    • Quantité de caractères numériques ;
    • Quantité de caractères spéciaux, non alphabétiques (tels que !, $, #, %) ;
    • Nombre de lettres majuscules et minuscules alternées.

    Certains gestionnaires de mots de passe sont également équipés d’un algorithme de génération aléatoire pour les mots de passe principaux, tout comme les clés privées et publiques lors de la création d’un portefeuille crypto.

    Les mots de passe, en général, sont d’autant plus sûrs qu’ils sont longs et complexes, afin d’empêcher les attaquants de deviner la combinaison. Si tu penses toutefois que la gestion des mots de passe au moyen d’un autre mot de passe complique trop les choses, certains password managers intègrent également diverses authentifications biométriques, telles que FaceID ou les empreintes digitales : des “codes” que tu ne peux pas vraiment perdre.

    Authentification à 2 facteurs (2FA)

    Tu penses que la gestion des mots de passe avec un password manager n’est pas suffisante ? Tant que tu choisis un mot de passe principal fort et que tu le conserve en toute sécurité, personne ne pourra jamais connaître les différents identifiants de connexion que tu utilises. Toutefois, on n’est jamais trop prudent : tu peux aussi intégrer un deuxième niveau de sécurité, appelé authentification à deux facteurs (2FA) ou authentification forte, dans ton système de mots de passe.

    Simulons une connexion à une plateforme pour comprendre le fonctionnement de l’authentification à deux facteurs : tu saisis ton identifiant (ou adresse électronique) et ton mot de passe, ou tu utilise un password manager pour le faire automatiquement ; ensuite, si  tu as configuré l’authentification à deux facteurs, un code supplémentaire te sera demandé pour  accéder à ton compte.

    Une séquence 2FA est un “one time password” (OTP, ou mot de passe à usage unique) qui change continuellement et est généré de manière aléatoire, d’habitude toutes les 30 secondes. Un code valide te sera communiqué par le logiciel 2FA via une application pour smartphone ou un SMS ; dans tous les cas, l’authentification à deux facteurs permet de vérifier que c’est le propriétaire légitime qui a accès au compte : il est le seul à pouvoir recevoir le code 2FA, même si le mot de passe a été piraté. A cet égard, ton compte sur l’exchange de Young Platform peut être protégé par un système 2FA comme nous venons de l’expliquer.  Consulte le lien ici pour savoir comment adopter cette mesure de sécurité pour protéger tes cryptos.

    Il existe différents logiciels Authenticator, également protégés par un mot de passe principal ou une reconnaissance biométrique à l’accès, que tu peux utiliser pour générer des codes 2FA :

    • Google Authenticator – est un logiciel développé par Google, gratuit et facile à configurer ;
    • Microsoft Authenticator – similaire au précédent, mais développé par Microsoft
    • Authy – une application qui connaît un grand succès grâce à sa large compatibilité et à ses fonctions supplémentaires, comme la sauvegarde automatique dans le cloud.

    Maintenant que tu sais comment gérer tes mots de passe et identifiants, tu peux encore faire quelque chose pour protéger ton compte. Comme nous l’avons dit, plus tu as de mots de passe, plus il y a de chances que certains soient perdus, mais même un seul “mot de passe principal” peut être oublié. Il est donc judicieux de faire des sauvegardes de tes codes d’accès, en particulier ceux qui sont essentiels pour récupérer d’autres informations d’identification ou pour consulter les codes 2FA. Découvrons donc comment stocker les mots de passe dans des sauvegardes tout aussi sécurisées.

    L’importance de la sauvegarde et du cryptage

    Les sauvegardes ne protègent pas tant contre les cybercriminels que contre soi-même : la mémoire humaine étant défaillante, il est préférable de “se souvenir” des combinaisons de caractères des mots de passe grâce aux sauvegardes. En fait, si elles sont suffisamment fortes, ces chaînes alphanumériques complexes n’ont pas d’équivalent dans le langage courant : elles sont difficiles à apprendre et à stocker “par coeur” pour un être humain.

    À l’instar de ce que tu dois faire avec les clés privées et publiques de portefeuille, il est conseillé de faire des sauvegardes régulières des mots de passe, éventuellement sous forme cryptée. Le cryptage, en effet, ajoute de la sécurité à la sauvegarde : même si elle était piratée, les attaquants ne trouveraient que des codes et pas les vrais mots de passe, car ces derniers ont été cryptés selon une fonction cryptographique connue du (et donc inversable uniquement par le) seul propriétaire de la sauvegarde.

    L’un des meilleurs formats pour les fichiers de sauvegarde est certainement le format .JSON (JavaScript Object Notation), car il est largement utilisé et donc compatible avec de multiples environnements. Tu peux également compresser un fichier texte (Word ou txt) en .ZIP ou .7z, de manière à activer le cryptage AES-256, puis le protéger par un mot de passe.

    Il existe également des programmes spécifiques qui te permettent de crypter tout type de fichier et de choisir l’algorithme de cryptage.

    Le fichier de sauvegarde créé peut être enregistré dans la mémoire locale des smartphones ou des PC, ou hors ligne sur des disques durs externes ; la sauvegarde peut également être stockée via des services de stockage cloud. Quoi qu’il en soit, en fixant un niveau de cryptage, le fichier ne sera pas compréhensible par d’autres personnes que celle qui l’a créé, à condition qu’il puisse être “ouvert” sans mot de passe.

    Il est évidemment conseillé de faire plusieurs copies de sauvegarde du même fichier, contenant les mots de passe essentiels, et de le sauvegarder sur différents appareils : cela réduit le risque de perdre la sauvegarde, en cas d’endommagement ou de perte des appareils électroniques eux-mêmes.

    La gestion des mots de passe : plus d’astuces et de meilleures pratiques

    Maintenant que tu sais comment gérer tes mots de passe, également en ce qui concerne la crypto-sécurité, tu es prêt à découvrir des solutions plus avancées et des astuces pour mieux protéger tes comptes.

    Le plus grand risque pour tes mots de passe, d’après ce que nous avons dit, est le vol coordonné des mots de passe principaux“, à la fois de ton password manager et de l’Authenticator pour le 2FA. Dans ce cas extrême, le pirate aurait à sa disposition tous les mots de passe ainsi que les codes 2FA pertinents pour confirmer l’accès.

    Il n’y a qu’un seul moyen d’éviter cela : mettre en place un 3FA, c’est-à-dire un troisième facteur d’authentification. À ce jour, très peu de services prennent en charge le 3FA, mais parmi eux se trouve le système italien SPID (pas pour tous les opérateurs, cependant).

    Si tu veux encore plus de protection, il existe d’autres conseils, qui sont également utiles pour la sécurité crypto. Les points suivants s’ajoutent aux 7 règles pour une utilisation sûre de Young Platform, déjà présentées ici :

    • Changer les mots de passe tous les deux mois – cette stratégie est particulièrement précieuse pour accéder à des comptes ” sensibles “, comme les réseaux sociaux ou les exchanges de cryptos. Certains sites web  conseillent automatiquement de changer ton mot de passe, généralement tous les 6 à 8 mois. N’oubliez pas de mettre à jour ta sauvegarde chaque fois que tes informations d’identification changent ;
    • Vérifier les appareils enregistrés – de nombreux sites web et applications te permettent de voir tes “sessions de connexion” actives et passées, en d’autres termes, à partir de quel appareil tu t’es connecté, ainsi que le lieu et l’heure. Vérifie régulièrement que les dispositifs de connexion sont bien les tiennes et, si tu as des doutes, change le mot de passe ou dissocie le dispositif en question.
    • Refuser l’enregistrement automatique des informations d’identification – certains navigateurs proposent, par le biais de fenêtres pop-up ou de notifications, de stocker ton identifiant et mot de passe pour l’accès aux sites web. Il est bon de refuser, ou de penser à supprimer, les droits d’accès aux anciens appareils qui ne t’appartiennent plus.

    Adopte une stratégie qui tient compte de tous les aspects de ce guide sur la gestion des mots de passe, mais n’oublie pas que la complexité est inutile sans efficacité : un système de mots de passe doit être à la fois robuste et facile à utiliser. Tu sais déjà comment faire : ne conserver que le mot de passe principal dans ton password manager et définir un système 2FA : effort minimal, protection maximale.

    En rapport