Gestionnaire de mots de passe
Il faut utiliser des mots de passe différents sur chaque service que vous utilisez. Pourquoi ? Car si des pirates trouvent vos identifiants pour un site, ils auraient juste à tenter la même combinaison email + mot de passe
sur d'autres sites pour y accéder.
Pire encore si le service piraté est celui de votre boite email car ils seraient en mesure de faire des "réinitialisations de mot de passe" sur chaque site… Voir le chapitre sur le 2FA pour s'en prémunir.
Le problème avec cette stratégie c'est que plus vous avez d'outils et plus votre mémoire aura du mal à retenir vos mots de passe. S'en suit un biais naturel où pour définir vos mots de passe vous allez y intégrer des patterns communs. De manière schématique cela donnerait :
- Mot de passe du site "Pomme" :
pomme_c0llectiviteparis75
- Mot de passe du site "Orange" :
orange_c0llectiviteparis75
Ici c'est flagrant que le mot de passe sur le site "Poire" sera probablement poire_c0llectiviteparis75
. Même si vous essayez de rendre cela un peu plus complexe, il existe des bases référençant les biais les plus utilisés lors de la création de mot de passe.
Pour palier à cela, nous préconisons l'utilisation d'un gestionnaire de mots de passe afin de tout le temps utiliser des mots de passe complètement aléatoires ayant minimum 32 caractères. Le gestionnaire aura le rôle de trousseau de clés virtuel : vous pouvez y accéder via une application mobile, un site internet, ou via une extension de votre navigateur.
Les gestionnaires que nous recommandons :
- Dashlane (français) ;
- Bitwarden (open source) : bien que leur offre SaaS soit hébergée à l'étranger, Bitwarden a le mérite d'être open source. Chaque modification que vous apportez à votre coffre est chiffrée localement et reste chiffrée jusque dans leur base de données. Donc en SaaS leur équipe n'a pas la possibilité de lire vos mots de passe. (Notez qu'héberger soi-même un serveur Bitwarden est déconseillé car c'est vraiment le genre de service que vous voulez opérationnel 24/7)
- Passbolt (open source) : contrairement à Bitwarden son défaut est qu'il ne supporte pas le standard WebAuthn (détaillé plus bas), par contre son avantage est de permettre une granularité très précise dans les droits de partage (par mot de passe, et non par collection de mots de passe).
Ces trois outils ont la gestion des équipes afin de partager des mots de passe liés au produit (API keys…). Bien entendu si vous créez des équipes essayez de faire des petits groupes. Si c'est lié à de la technique n'allez pas partager cela avec ceux du marketing, et vice-versa.
Le gestionnaire de mot de passe (coffre) est protégé par un seul et même "master password" au minimum. Il faut qu'il soit compliqué mais que vous puissiez vous en souvenir. Vous vous en doutez, en l'état ce n'est pas suffisant, il est risqué d'avoir une simple stratégie de "un pour les gouverner tous", il faut mettre le paquet pour sécuriser son gestionnaire (voir absolument le chapitre suivant sur le 2FA).