Gestionnaire de mots de passe

Un gestionnaire de mots de passe est un type de logiciel ou de service en ligne qui permet à un utilisateur de gérer ses mots de passe, soit en centralisant l'ensemble de ses identifiants et mots de passe dans une base de données (portefeuille), soit en les calculant à la demande. Le gestionnaire de mots de passe est protégé par un mot de passe unique, afin de n'en avoir plus qu'un seul à retenir.

L'utilisateur, ainsi affranchi de la contrainte de se souvenir de ses différents mots de passe, peut aussi se permettre d'en choisir de plus compliqués (et donc de plus robustes), et d'avoir un mot de passe différent pour chaque compte ou chaque document (de sorte que si l'un des mots de passe est intercepté, les autres comptes ou document ne sont pas rendus vulnérables).

Cet article traite essentiellement des portefeuilles de mots de passe.

Sécurité

En principe, les mots de passe sont stockés de manière chiffrée. Néanmoins, lorsque le programme accède aux données, il est fréquent qu'elles soient temporairement stockées en clair[1], ce qui peut poser des problèmes de sécurité puisqu'un logiciel malveillant exécuté à l'insu de l'utilisateur, tel qu'un cheval de Troie, pourrait y accéder.

Le principal inconvénient d'un gestionnaire de mot de passe tient au fait que si le mot de passe principal est découvert, l'ensemble de ceux qui sont enregistrés est compromis. Ceci illustre la relation qui existe entre l'utilisabilité et la sécurité : une utilisabilité accrue implique des risques plus élevés.

Méthodes de chiffrement

Pour chiffrer les informations qu'ils gèrent, les gestionnaires de mots de passe utilisent des algorithmes de chiffrement. Les plus fréquemment employés sont :

AES, sans doute le plus connu, est utilisé par la plupart des logiciels, dont LastPass, KeePass, 1Password, Bitwarden, Keeper et LockSelf.
Twofish est également implémenté dans le même KeePass.

Ce sont tous des algorithmes de chiffrement symétrique, c'est-à-dire à clé secrète servant à la fois au chiffrement et au déchiffrement des informations.

Formes

Un gestionnaire de mots de passe peut prendre la forme d'un logiciel autonome, ou d'un module d'extension pour un navigateur web. Les mots de passe peuvent être stockés en local (sur un disque dur, sur un support amovible tel qu'une clé USB), en utilisant les technologies de l'informatique en nuage, ou bien sur un site web. Cette dernière solution a l'avantage d'être accessible depuis n'importe quel ordinateur connecté à Internet, et de réduire le risque de perdre les mots de passe en cas de défaillance du support de stockage ; quant au risque d'interception lors de l'échange sur le réseau, il peut être évité par un chiffrement côté client. Les gestionnaires de mots de passe en ligne constituent une alternative aux systèmes d'authentification unique tels qu'OpenID, et peuvent servir de solution temporaire en attendant leur implémentation.

Fonctionnalités

Certains gestionnaires de mots de passe sont capables de remplir automatiquement les formulaires de saisie, à la place de l'utilisateur, dès que l'un des mots de passe enregistrés est requis. Ceci constitue une bonne parade au phishing, dans la mesure où, contrairement à un humain, un système de saisie automatique ne peut pas être leurré par des interfaces graphiquement proches. Cependant, certaines procédures d'authentification trop complexes peuvent ne pas être prises en charge par tous les gestionnaires de mots de passe.

Certains gestionnaires de mots de passe sont aussi capables de tester la robustesse des mots de passe, et/ou d'en générer de manière aléatoire.

Sont apparus récemment des dispositifs conçus spécifiquement pour créer, protéger et gérer les mots de passe dits « administrateur » ou « privilège » (exemple : ROOT sur un serveur). Ces solutions sont capables de générer un mot de passe selon une politique prédéfinie, d'en assurer la protection (stockage chiffré), les rotations (choix de la fréquence) et la traçabilité de l'usage. Les mots de passe importants (mainframe, serveurs, bases de données, pare-feu, iPBX, commutateur fédérateur, annuaire LDAP ou Active Directory, etc.) ne sont ainsi plus connus des administrateurs, qui doivent désormais les obtenir de la solution, après authentification.

Les dernières versions de ces solutions sont également capables de gérer les mots de passe embarqués dans les applications.

Logiciels

Libres

Propriétaires

1Password développé par AgileBits.
Dashlane
Enpass
Evidian Enterprise SSO, Evidian Authentication Manager, Evidian Web SSO
Evitag NFC - Gestionnaire matériel
Gatora
Keeper
LastPass
Lockself - Gestionnaire de mots de passe pour entreprise.
MemMyPass: Gestionnaire de mots de passe et codes sous android
Norton password manager - Développé par Norton LifeLock

Références

(en) Revelation: About, un gestionnaire de mots de passe pour GNOME.

Portail de la sécurité informatique

Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.

[1] (en) Revelation: About, un gestionnaire de mots de passe pour GNOME.