Gestionnaires de mots de passe : aperçu des meilleurs outils
Il peut être difficile de générer un mot de passe sécurisé. À l’aide d’un logiciel bien conçu, un cybercriminel peut rapidement déchiffrer votre code et accéder à vos données les plus sensibles. Il est donc nécessaire de créer des combinaisons complexes formées de lettres de l’alphabet agencées au hasard, de chiffres et de caractères spéciaux, afin qu’elles soient difficiles à déchiffrer même pour des personnes disposant des meilleurs logiciels et hardwares. Si ces combinaisons sont difficiles à déchiffrer, elles sont également difficiles à retenir, surtout si vous utilisez de nombreux mots de passe en utilisant votre ordinateur. C’est pourquoi, un gestionnaire de mots de passe peut vous être utile.
Quels sont les différents gestionnaires de mots de passe ? Différences et évaluation
Les gestionnaires de mots de passe font partie des outils qui peuvent rendre vos activités quotidiennes sur la Toile bien plus sûres. Si vous travaillez sur de nombreuses applications avec login et que vous traitez des informations confidentielles et sensibles, vous bénéficiez non seulement de la protection fournie par les programmes de sécurité, mais aussi de simplification dans les processus de connexion. Cependant, avant de pouvoir créer un système de mot de passe personnalisé, vous devez d’abord trouver un gestionnaire de mots de passe approprié. Mais c’est plus facile à dire qu’à faire compte tenu de l’énorme choix de solutions, qu’elles soient propriétaires ou open source.
Pour trouver l’outil adéquat, il faut réfléchir aux exigences auxquelles le logiciel doit répondre. Un facteur important est par exemple de savoir si le gestionnaire souhaité fonctionne exclusivement sur l’ordinateur local ou si vous souhaitez l’exécuter sur un périphérique étranger via un support de stockage mobile (par exemple une clé USB).
Il est également important de savoir si le programme doit pouvoir ou non générer des mots de passe. Les outils de gestion diffèrent également dans leurs algorithmes. Ici, ce sont vos préférences personnelles que vous devez prendre en compte. Veillez dans tous les cas à ce qu’une méthode de chiffrement à jour soit utilisé.
Enfin, le lieu de stockage de la base de données des mots de passe est un critère d’évaluation important : certains programmes stockent automatiquement les mots de passe dans le Cloud du fabricant, ce qui permet une disponibilité permanente. Cependant, vous n’aurez un contrôle total sur vos propres mots de passe qu’avec des solutions qui permettent un stockage local, c’est-à-dire sur votre propre système.
- Protection contre les attaques par ransomware
- Analyses antivirus régulières
- Sauvegardes automatiques et restaurations faciles
Aperçu des meilleurs gestionnaires de mots de passe
Les critères de sélection mentionnés ci-dessus indiquent clairement qu’il est essentiel de s’informer au préalable sur les gestionnaires de mots de passe disponibles. Par exemple, si vous vous précipitez sur un programme propriétaire parce qu’il promet un chiffrement de pointe et que vous vous rendez compte par la suite qu’un stockage sur le Cloud ne vous convient pas, vous aurez déjà effectué des dépenses inutiles pour un outil qui n’est pas entièrement adapté à vos besoins. D’autre part, utiliser tête baissée un produit open source n’est pas sans risque : si vous avez des ennuis avec un fournisseur douteux, la sécurité de vos mots de passe peut rapidement être compromise…
Outil | Particularité |
---|---|
KeePass | Open source |
Password Safe | Chiffrement RSA-4096 pour les clés à long terme |
LastPass | Prend en charge la connexion par empreinte digitale |
1Password | Clé d’accès enregistrée localement |
Dashlane | Alertes et tableau de bord de sécurité |
Afin de vous aider à trouver un gestionnaire de mots de passe approprié, nous vous présentons ici quelques programmes intéressants en les comparant notamment sur des facteurs relatifs aux coûts, aux modèles de licence, à leur flexibilité et enfin à la multiplicité de leurs fonctions.
KeePass
KeePass est une solution open source fortement recommandée pour gérer ses mots de passe. Depuis son lancement en 2003 par Dominik Reichl, ce programme instauré sous licence GPL a été constamment amélioré, notamment grâce à une communauté très active. Aujourd’hui, l’outil est disponible dans 45 langages différents. De plus, de nombreux plugins permettent d’apporter de nouvelles fonctions à la version de base de KeePass. Outre les versions officielles Windows, macOS et Linux, il existe des comptabilités aux systèmes d’exploitation mobiles, tel que Windows Phone (par exemple WinPass, WinKee, 7Pass), iOS (par exemple iKeePass, MiniKeePass, MyKeePass) et Android (par exemple KeePassDroid, KeePass2Android, KeepShare). Pour utiliser ce gestionnaire de mots de passe, il est nécessaire de l’installer sur le système souhaité ou de rendre la solution mobile en le copiant sur une clé USB.
Contrairement à d’autres solutions, KeePass permet entre autres l’authentification à deux facteurs ainsi que le chiffrement de l’ensemble de la base de données des mots de passe. Pour cela, l’algorithme AES ou Twofish est disponible au choix. Pour la protection des mots de passe individuels, c’est l’algorithme de hachage SHA-256 qui est utilisé.
En tant qu’utilisateur, vous avez trois options pour accéder à la base de données : un mot de passe maître classique, l’utilisation d’un compte Windows ou encore le fichier clé. La dernière option est la plus sûre selon les développeurs. Cependant, il est nécessaire d’avoir le fichier clé toujours avec soi, par exemple sur une clé USB ou sur un CD. Une combinaison du mot de passe principal et du fichier clé est également possible. Par ailleurs, voici quelques-unes des autres fonctionnalités du gestionnaire de mots de passe :
- Différents formats d’exportation tels que TXT, HTML, XML ou CSV
- Plus de 35 formats d’importation
- Catégorisation possible des mots de passe
- Données sur la date de création, la dernière modification, le dernier accès et l’expiration des mots de passe
- Fonction de filtres et de recherche
- Framework de plugins disponible
KeePass convainc non seulement par ses nombreuses fonctions pour les bases de données, mais aussi par la possibilité de générer un mot de passe. Vous pouvez ainsi créer en quelques minutes des mots de passe sécurisés pour vos différents comptes. Dans les options, vous déterminerez la longueur du mot de passe à générer et les caractères spécifiques (lettres majuscules, minuscules, chiffres, tirets, etc.). Autrement, vous pouvez définir comme base un modèle ou votre algorithme propre.
Avantages | Inconvénients |
---|---|
Toutes les données sont stockées sur le même ordinateur | Utilisation complexe de l’outil |
Permet l’authentification à deux facteurs | Tous les plugins ne sont pas vérifiés par le développeur |
Nombreuses extensions de bon niveau | Les mots de passe faibles dans la configuration manuelle |
Password Safe (MATESO)
Sorti en 1998, le logiciel Password Safe est disponible en plusieurs éditions payantes, conçues principalement pour les PME et les grandes entreprises. Depuis, MATESO fait partie de l’entreprise américaine de sécurité informatique Netwrix, de sorte que différents packs sont proposés, dont des solutions plus petites pour les particuliers. Une version de démonstration peut être demandée. Voici un résumé des paquets proposés :
- Netwrix Auditor for Active Directory : la version de base, appelée « Starter », fournit des fonctionnalités essentielles pour la surveillance des activités d’Active Directory. Elle peut être étendue avec les éditions « Standard » et « Enterprise », qui ajoutent des fonctionnalités avancées telles que la surveillance en temps réel, la conformité et l’analyse des activités d’Active Directory.
- Netwrix Auditor for Azure AD : de manière similaire à l’Active Directory, Netwrix propose différentes éditions pour la surveillance d’Azure AD, chacune adaptée aux besoins variés des entreprises.
- D’autres solutions comme Netwrix Auditor for Office 365, Netwrix Data Classification ou Netwrix Data Access Governance offrent des fonctionnalités de surveillance et de sécurité pour les applications Office 365, de classification et de marquage des données, ainsi que de surveillance et de gestion des accès aux données, afin de minimiser les risques de sécurité.
Selon les données du fabricant, plus de 10 000 entreprises dans le monde entier utilisent ce puissant gestionnaire de mots de passe. Le programme fonctionne sur tous les systèmes d’exploitation Microsoft actuels (à partir de Windows 7) et est également disponible en tant qu’application pour iOS, Windows Phone et Android. L’ensemble des packs payants de Password Safe permet d’utiliser l’outil par installation fixe ou sur clé USB.
Pour que vous puissiez garder une vue d’ensemble de toutes les entrées dans la base de données du gestionnaire de mots de passe, Password Safe s’appuie sur un système de dossiers clairement structuré.
Le fait que Password Safe soit un logiciel spécialement conçu pour des entreprises a rendu automatique les fonctions multi-utilisateurs qui sont généralement toujours disponibles dans les éditions professionnelles. Il s’agit entre autres de bases de données d’équipe centralisées pour lesquelles vous pouvez facilement contrôler les accès en fonction de rôles définis. De plus, la récupération du mot de passe n’est possible que si cela est justifié. La sécurité des bases de données et des mots de passe est assurée par le chiffrement AES-256 et RSA-4096 (pour les clés à long terme).
La connexion à la base de données s’établit en saisissant un mot de passe maître ou à l’aide d’un fichier clé. Selon le package, vous pouvez également combiner les deux méthodes afin d’augmenter encore le niveau de sécurité. Voici quelques caractéristiques supplémentaires du gestionnaire de mots de passe :
- Cloud possible grâce au chiffrement de bout en bout
- Pare-feu des bases de données
- Tableau de bord personnalisable
- Fonctions intelligentes de recherche et de filtrage
- Clavier virtuel pour se protéger contre les keyloggers
- Sauvegardes immédiates automatiques
Avantages | Inconvénients |
---|---|
Idéal pour travailler en équipe de manière sécurisée grâce à de nombreuses fonctionnalités multi-utilisateurs | La base de données des mots de passe est stockée sur le serveur du fabricant |
Tableau de bord et design de l’interface personnalisables | Version gratuite disponible uniquement en version démo de 30 jours |
Saisie automatique du mot de passe et clavier virtuel |
LastPass
L’outil de gestionnaire de mots de passe LastPass lancé en 2008, appartient désormais à la société américaine LogMeIn. LastPass est conçu pour stocker et gérer tous les mots de passe dont vous avez besoin pour vos activités en ligne usuelles. À cette fin, l’outil peut être utilisé soit via les navigateurs standards tels que Google Chrome, Firefox, Safari, Opera ou Microsoft Edge, soit intégré dans les barres d’outils des navigateurs Internet via une extension.
Il existe également des variantes pour les navigateurs mobiles ainsi que les applications Windows Phone, Android et iOS. L’utilisation de l’application Web est gratuite, et pour un prix mensuel minime, vous pouvez acheter le pack premium (surtout pour les utilisateurs privés) ainsi que deux packs business qui permettent d’accéder à davantage de fonctions.
La base de données de mots de passe, appelée « Tresor » sur LastPass, est accessible à tout moment sur n’importe quel appareil, soit via le bouton de la barre de navigation, soit via l’application Web. L’algorithme de chiffrement AES-256 et les fonctions de hachage (PBKDF2 SHA-256) protègent les mots de passe. Le chiffrement a toujours lieu au niveau de l’appareil, de sorte que le mot de passe maître et les clés d’encodage ou de décodage sont toujours stockés localement et ne sont pas envoyés aux serveurs LastPass. Vous pouvez également choisir parmi une variété de solutions d’authentification multi-niveaux, telles qu’un code SMS ou un composant matériel supplémentaire. Le Tresor Web se caractérise également par les spécificités suivantes :
- Saisie automatique du mot de passe
- Prise en charge de l’enregistrement des empreintes digitales
- Récupération sécurisée du mot de passe
- Synchronisation automatique avec tous les terminaux
- Générateur de mots de passe intégré
- 1 Go de stockage de fichiers chiffré (à partir de l’édition Premium)
Les packs business pour entreprises permettent d’utiliser le gestionnaire de mots de passe par plusieurs utilisateurs. D’un côté, vous disposez donc d’outils d’administration centralisés pour gérer les différents accès des employés ; de l’autre, tous les employés reçoivent leur propre mot de passe Tresor qu’ils gèrent de manière autonome. Pour les grosses entreprises, l’abonnement Enterprise permet de configurer votre propre politique de sécurité et d’accéder à l’API du gestionnaire de mots de passe. De plus, si vous avez la moindre question, le service client est à votre écoute.
Avantages | Inconvénients |
---|---|
Chiffrement au niveau de l’appareil | Les plugins des navigateurs ne fonctionnent pas toujours correctement |
Synchronisation automatique avec tous les périphériques | Le générateur de mots de passe peut être amélioré |
Plugins disponibles pour tous les navigateurs courants |
1Password
En créant AgileBits 2006 qui visait à développer des produits Web innovants pour les entreprises, des entrepreneurs se sont vite rendu compte qu’ils avaient déjà la bonne idée avec leur outil interne de gestion de mots de passe et d’informations de formulaires. Ainsi, des millions d’utilisateurs ont utilisé le gestionnaire de mots de passe de l’entreprise 1Password.
L’application payante est disponible pour les systèmes de bureau macOs et Windows ainsi que pour les systèmes d’exploitation mobiles Android et iOS. Grâce aux extensions de navigateur pour Google Chrome, Opera, Firefox et Safari, vous pouvez également utiliser 1Password sur d’autres plateformes.
1Password s’appuie sur le chiffrement de bout en bout (AES-256) : toutes les informations de contact et les mots de passe que vous importez dans le programme sont encodés avant qu’ils ne quittent vos appareils. Les clés pour le processus d’encodage sont constamment protégées par le mot de passe maître, qui est renforcé par une clé de sécurité 128 bits stockée localement.
Vous recevrez automatiquement cette clé d’accès pour les serveurs du fournisseur après vous être connecté au gestionnaire de mots de passe. Même si des hackers réussissaient à avoir accès à ces serveurs qui sont hébergés sur Amazon Web Services (AWS) comme l’application Web elle-même, vos données restent chiffrées. Voici quelques caractéristiques de 1Password :
- Accès hors ligne possible
- Synchronisation automatique avec tous les appareils utilisés
- Évaluation automatique du niveau de sécurité de tous les mots de passe
- Intégration facile des logins existants
- Raccourcis personnalisables pour les connexions automatiques
- Possibilité de regrouper les mots de passe (dossier ou système de balises)
- 1 Go d’espace de stockage pour les documents
Cet outil de gestion possède son propre générateur de mots de passe permettant ainsi de créer des combinaisons sécurisées. Des configurations peuvent être effectuées pour régler la longueur du mot, les possibilités de prononciation, ou simplement les chiffres et caractères spéciaux que vous souhaitez introduire. Le générateur peut également être utilisé pour créer de nouveaux mots de passe pour les comptes existants.
Vous pouvez adopter différentes licences avec 1Password : les utilisateurs privés ont un choix assez confortable avec une version de base (pour une personne) ou un forfait familial (pour cinq personnes). Les entreprises ont le choix entre deux business plans, à savoir « Teams » (pour 10 utilisateurs), « Business » (pour les PME et les grandes entreprises), qui présentent des fonctions diverses, comme une console d’administration, un contrôle d’accès avancé ou un gestionnaire de compte personnel.
Avantages | Inconvénients |
---|---|
Utilisable sur toutes les plateformes | Payant après 14 jours d’essai |
Extensions pour tous les navigateurs Web courants | Déploiement avec Azure AD, Google Workspace, Okta, OneLogin, Rippling et JumpCloud |
Possibilité d’enregistrer de manière détaillée des informations de compte | Rapports personnalisés uniquement dans la version Business |
Dashlane
En 2012, la société américaine Dashlane lance son outil propriétaire de gestion de mots de passe du même nom, qui est aujourd’hui l’une des solutions les plus réussies sur le marché. Après une période d’essai, vous pouvez mettre à niveau le gestionnaire de mots de passe vers une version premium. Dashlane propose deux versions pour les particuliers (« Premium » et « Friends and Family ») ainsi que pour les entreprises (« Business » et « Enterprise »). Ces dernières contiennent des fonctions d’utilisation commune telles qu’une console de gestion centrale ou une option de partage de mot de passe. En plus des versions de bureau pour Windows et macOS ainsi que des applications pour iOS et Android, il existe des plugins pour Chrome, Firefox, Safari, Opera et Edge qui permettent d’intégrer Dashlane dans les navigateurs Internet.
L’interface utilisateur de Dashlane est essentiellement divisée en trois domaines : sous la rubrique « Password Manager », vous trouverez les mots de passe enregistrés (chiffrés AES-256). Le logiciel implémente automatiquement les données de connexion existantes. Le petit plus est l’option « Password Changer », qui permet de changer automatiquement un mot de passe pour tous les sites Web pris en charge ; Dashlane prend ainsi en compte la modification en se connectant aux différents sites. Vous pouvez également accéder au tableau de bord de sécurité et créer des notes personnelles protégées par mot de passe.
Sous la rubrique « Wallet », vous pourrez enregistrer vos coordonnées personnelles, vos reçus de paiement ou encore des copies de documents (par exemple carte d’identité ou permis de conduire). Enfin la section « Contacts » contient toutes les fonctionnalités dont vous avez besoin pour partager l’outil. Voici par ailleurs d’autres caractéristiques intéressantes :
- Remplissage automatique des formulaires et logins
- Avertissements de sécurité pour les mots de passe non sécurisés
- Catégorisation des mots de passe
- Interfaces diverses pour l’importation de mots de passe (entre autres de navigateurs comme Chrome et Firefox, mais aussi d’autres outils comme KeePass, LastPass ou 1Password)
- Export de données (format Excel ou CSV)
- Historique
Comme beaucoup d’autres gestionnaires, Dashlane dispose d’un générateur intégré qui produit des mots de passe de jusqu’à 28 caractères. Vous pouvez choisir d’utiliser des lettres, des chiffres, des symboles, des majuscules et des minuscules.
Les utilisateurs peuvent synchroniser les données saisies et les mots de passe sur l’ensemble des appareils afin d’avoir les nouvelles informations disponibles à tout moment. A noter également, Dashlane propose une authentification à deux facteurs dans ses packs payants : dans ce cas, le mot de passe maître est associé à une clé YubiKey U2F située sur un périphérique de stockage externe.
Avantages | Inconvénients |
---|---|
VPN pour la protection Wi-Fi, alertes de phishing en direct | Payant après une version d’essai |
Plugins disponibles pour tous les navigateurs courants | Windows Phone non pris en charge |
Un risque subsiste
Les gestionnaires de mots de passe sont utiles pour générer des mots de passe complexes et sûrs ou pour les gérer. Là où la mémoire fait défaut, le gestionnaire intervient ! Mais le fait que tous les mots de passe soient gérés par un logiciel entraîne aussi le grand inconvénient de ces programmes. En effet, si l’on perd ou si l’on oublie la clé maîtresse, on se retrouve devant une porte fermée pour toutes les applications.
De plus, on est toujours dépendant de la base de données créée ; en cas d’installation locale, on ne peut donc profiter des gestionnaires que sur son ordinateur personnel. Dès que l’on choisit une solution mobile ou en nuage, le risque de sécurité augmente à nouveau. En effet, aucune de ces solutions ne garantit une protection à 100 %.
Vérifiez l'authenticité d'un email avec IONOS : détectez immédiatement s'il s'agit d'une tentative de phishing et signalez-le pour supprimer le contenu frauduleux.
- Valida el correo electrónico
- Fácil de usar
- Elimina le e-mail di phishing
Un système de mot de passe personnel comme alternative sûre
Si l’on souhaite rester indépendant des bases de données et des programmes, il faut miser sur sa propre mémoire ! Une option judicieuse est alors un système dans lequel on modifie un mot de passe maître sûr selon un schéma prédéfini, en fonction du portail Web que l’on souhaite utiliser. De simples tactiques de mémorisation peuvent aider à se souvenir du mot de passe principal. Pour en savoir plus, consultez notre guide « Comment choisir un mot de passe sécurisé ? ».
- Sécurisez vos transferts de données
- Renforcez la confiance de vos clients
- Améliorez votre positionnement sur Google