Nous le savons bien, les mots de passe sont importants. Les entreprises disposant d'un site web sur lequel les internautes peuvent créer un compte doivent gérer des mots de passe à deux niveaux : les accès des collaborateurs de l'entreprise à différents systèmes (que ceux-ci soient internes à l'entreprise ou non) et les accès des clients aux services de l'entreprise.
Nous nous occupons aujourd'hui du premier point, la gestion « classique » des mots de passe. Un article ultérieur évoquera les bonnes pratiques relatives à la mise en place d'un système d'authentification sur un service web.
Il n'est guère difficile de trouver des articles sur « comment choisir un bon mot de passe ». Si les conseils qui y sont donnés sont généralement appropriés, une facette de la gestion des mots de passe est très souvent oubliée : dans la vraie vie, la question n'est pas seulement « comment choisir un bon mot de passe » mais « comment choisir un bon mot de passe différent pour chacun de la centaine de comptes dont je dispose ». La problématique est toute autre.
S'il est une règle qu'il faut absolument respecter, en toutes circonstances, c'est « un compte, un mot de passe ». Si vous utilisez le même mot de passe pour plusieurs comptes, et que ce mot de passe est compromis, tous les comptes concernés seront compromis. Un corolaire de cette règle n’est « pas d'algorithme pour construire un mot de passe ». Si vous construisez vos mots de passe à partir d'une règle quelle qu'elle soit, il suffit souvent d'avoir deux de vos mots de passe pour en déduire tous les autres. Retour à la case zéro, plus aucune sécurité.
Lorsque l'on a plusieurs centaines de comptes (votre serviteur, au dernier recensement, dispose d'un peu moins de 600 comptes au total sur des machines et serveurs divers, certains comptes n'étant utilisés qu'une fois par an au maximum), il faut gérer autant de mots de passe, tous distincts et sans aucune logique entre eux.
Cela signifie qu'il faut utiliser des outils, des gestionnaires de mots de passe, conçus pour cela - plutôt qu'un fichier texte ou tableur contenant vos mots de passe.
Ces outils offrent a minima deux fonctionnalités indispensables.
Tout d'abord, la base de données contenant vos mots de passe est chiffrée. Vous n'avez plus qu'un seul mot de passe à connaître, celui permettant de déverrouiller la base de mots de passe. Il est vital de faire l'effort de choisir et mémoriser une phrase de passe complexe, illogique, avec une orthographe ou une ponctuation aléatoire, bref quelque chose de difficile à trouver pour un agresseur. Ce mot de passe est, littéralement, celui qui contrôle tous les autres.
Ensuite, les gestionnaires de mots de passe ont la capacité de générer des mots ou des phrases de passe aléatoires, par exemple un mot de passe de 35 caractères choisis dans certains groupes (lettres, chiffres, ponctuations, etc.). De fait, vous ne connaissez plus vos vrais mots de passe ; vous vous contentez de faire un copier/coller depuis le gestionnaire de mots de passe vers l'application demandant de vous authentifier. Il n'y a alors plus la moindre hésitation ni difficulté à générer des mots de passe uniques, y compris pour des comptes que l'on n'utilisera qu'une ou deux fois, ni à changer vos anciens mots de passe de mauvaise qualité.
Certains gestionnaires de mots de passe ont la capacité de détecter les pages de connexion d'applications dont ils gèrent les mots de passe, et de préremplir les champs. C'est un confort appréciable, sans que cela soit une fonctionnalité indispensable.
Divers gestionnaires de mots de passe permettent de partager la base de mots de passe entre plusieurs machines, via un stockage à distance. Cela permet d'avoir accès aux mêmes comptes et mots de passe sur plusieurs équipements (ordinateur fixe et portable, tablette, téléphone...).