Préambule 

Un Mot de passe Fort Pourquoi?

Depuis maintenant quelques temps, les connexions vers des sites comme les banques, les sites VPC, les forums et même les blogs, sont de plus en plus compliquées pour pouvoir y accéder, cela en agace beaucoup  car ça devient un vrai casse tête pour les visiteurs qui ne comprennent pas toujours de la finalité.

Hélas les hackeurs sont de plus en plus tenaces et profitent de la moindre faille, si infime soit elle pour y pénétrer et faire pas mal de dégâts … casser les sites, mais également et c’est surtout ce qui est recherché, récupérer des données des utilisateurs par n’importe quel moyen. 

Je comprends bien l’exaspération des utilisateurs , mais je comprends encore mieux ceux qui gèrent les sites puisque j’en fait partie et que c’est très compliqué à sécuriser. 

Prendriez vous le risque de mettre le prénom de votre enfant comme clé d’ouverture de votre entrée de maison  et bien  » j’en doute » car ce serait de votre responsabilité en cas d’effraction.  

Alors que tout est fait dans la structure du site pour éviter tout insertion de code malveillant ou autres attaques de robots, il est un domaine ou il y a encore peu de temps les propriétaires de sites ne souhaitaient pas obliger les visiteurs à entrer un mot de passe fort pour ne pas les effrayer, et bien cela n’est plus d’actualité car c’est bien souvent par ce biais que les hackeurs arrivaient à s’introduire sur site et faire quelques dégâts.  Et la seule parade actuellement et la demande d’un Mot De Passe fort, avec dans certains domaines très sensibles, la méthode  de la double authentification (validation par smartphone pour la majorité).

Je sais bien et je le remarque en discutant autour de moi, qu’il y a actuellement peu de personnes qui sont prêts à modifier leur comportement en ne respectant pas les consignes de sécurité basique comme le plus important qui est d’avoir un mot de passe fort, ou mieux,  de  n’avoir que des mots de passe différents ( compte, compte mail  ou autres…  ) car en cas de récupération, rien de plus simple actuellement pour un hackeur de faire la liaison avec toutes ses infos qui traînent et que vous transmettez en toute innocence sur les réseaux sociaux. Le hackeur lui, n’hésitera pas à faire de votre vie un enfer et pas aussi simple de récupérer sa vie d’avant (argent, vie privé ….) et des histoires sur le net qui le prouvent, il y en a beaucoup!! Alors ne tentez pas le diable!

Qu’est-ce qu’un Gestionnaire de Mot de Passe

 C’est un programme qui vous permet de stocker tous vos mots de passe et son identifiant de connexion, dans un coffre fort, mais pas seulement, car il permet et cela automatiquement, d‘afficher  ou directement de compléter vos données de connexion dans chacun des champs de la page visitée. Un must! Sécurisé et simple. Il suffit juste de s’habituer à l’utiliser et ensuite cela devient enfantin lors de la navigation sur les divers sites!

Ca permet également, et on l’oublie bien souvent d’éviter les hacks par programmes spywares de type enregistreur de frappe clavier puisque qu’il permet dans son principe de base, d’insérer les données sécurisées, automatiquement sans avoir à utiliser son clavier. 

Un programme de gestion de mots de passe permet de sécuriser sa ou ses cartes bancaires avec leur carte de clé si besoin, et aussi les identités qui vous permettrons le remplissage automatique des formulaires sur le web (Nom, prénom, adresse, tél, carte bancaire etc … ) et cela automatiquement. 

Certains programmes comme 1password permet également de sauvegarder dans une carte en plus d’informations diverses, d’y adjoindre des fichiers type Pdf ou image. Bien pratique par exemple pour rajouter une facture à une carte matériel ou logiciel et son numéro de série ou de licence. Mais comme ses fiches informatives,  ont tendance à alourdir le poids du coffre assez rapidement, le tarif sur ce type de programme est bien souvent plus cher.  A voir selon besoin! 

Ci dessous, quelques uns des gestionnaires testés, ceux retenus ayant obligatoirement la possibilité de :

• détection automatique des valeurs en fonction de la page de connexion ouverte dans votre navigateur (d’où l’absence de certains soft comme keepass)
• d’enregistrement par détection auto de nouveau mot de passe et identifiant
• La double authentification
• un mode recherche performant, voir une structure d’accès au diverses cartes
• et dans une moindre mesure un générateur de mot de passe configurable. Important lorsque vous souhaitez avoir 1 mot de passe différent par page de connexion ou autres base de données.

Les gestionnaires de Mot de Passe

Il est bien évident que retenir une dizaine de mots de passe avec son identifiant est déjà un exploit, alors des centaines c’était devenu impossible.

C’est à ce moment là (2002-2003) que m’est venu l’idée d’utiliser un gestionnaire de mot de passe pour la première fois, lorsque je me suis retrouvé,  lors de la conception de site web,  à devoir enregistrer, un nombre incalculable de données, bases mysql, connexion WP, etc … , les concepteurs de site me comprendrons. Un casse-tête insurmontable pour moi et pas question comme je le faisais jusque là, de choisir la solution simpliste, de les écrire en clair sur papier, solution non viable niveau sécurité vous en conviendrez.

Roboform

C’est a ce moment là que j’ai découvert et utilisé l’un des tout premiers programmes qui avait été mis au point par Siber systems qui se dénommait Roboform , qui faisait un carton dans le monde informatique de programmation et que j’ai rapidement adopté et acheté en version poste localisé et sauvegarde cloud roboform.

Mais, il y a 4 ans, la société a décidé de modifier ses tarifs, en forçant les possesseurs à passer à un abonnement annuel pour la version everywhere (base de données sur cloud roboform)  … mais qu’est ce qu’ils ont tous avec les abonnements alors qu’il n’apportent que peu de service supplémentaire! alors qu’elle était gratuite dans les version PC jusque là. 

Honnêtement je suis contre ce type de procédé, car on est pas sur une occupation cloud de grande ampleur comme du stockage photos qui demande bien plus d’espace de stockage au fur et à mesure des sauvegardes. On est dans le cas ici présent dans de petits volumes d’occupation et qui n’évoluent que très peu dans le temps. 

Et donc, vous l’aurez compris, c’est ce qui m’a donné l’idée d’en tester d’autres pour le remplacer à prix moins abusif. D’autant plus que leur version android n’était pas très au point!

sJe suis donc passé au logiciel Sticky Password , très connu et qui me paraissait  intéressant du point de vu qualité / prix surtout la version à vie (lifetime) de leur produit qu’il propose en promotion de temps à autre et dont j’ai profité!

Le soucis c’est qu’à l’utilisation, il ne m’a fallu que quelques semaines pour m’apercevoir qu’on était tout de même bien loin d’un roboform, très rapide comparé à sticky password lorsqu’on doit rechercher et récupérer des données (notes sécurisées, comme par exemple des numéros de licence).

Les manipulations qu’il faut réaliser par copier/coller avec sticky password est pour mon utilisation de tous les jours trop contraignant même si le soft en général est de bonne qualité et agréable d’emploi en mode utilisation standard. 

Me voilà donc il y a quelques mois, à nouveau, à la recherche d’un remplaçant que j’ai bien évidemment trouvé depuis. Ma découverte plutôt connu au USA (peu en europe pour l’instant) se nomme Password Boss et même si pas parfait, sera mon compagnon durant les prochaines années sauf à ne plus me convenir d’ici là, évolution de mes besoins obligent. 

asEt même si je n’utiliserai pas toutes les fonctionnalités, il y en a une que je n’avais jamais eu l’occasion de voir, et qui m’a permis sur des pages de connexion non standard, d’enregister un troisième champ, voir un quatrième (site non détecté par les autres softs,  je veux parler de son champ spécial « custom field » en option dans chacune des cartes à activer selon besoin, tout comme le champ message. Mais tout cela nous le verrons très prochainement dans un article qui lui sera totalement dédié.

Pour un tour d’horizon rapide, Password Boss propose:

• Cryptage de toutes les données en AES-256
• Protocole sans connaissances (attention si vous perdez votre mot de passe maître) aucune possibilité de récupérer vos données. ça peut être un problème pour certains, mais pour ce type de soft, c’est un indispensable.
• Connexion en 2 étapes – 2FA  (connexion logiciel + authentification par code sur application smartphone (google authentificator, duo mobile, Authy)
• 2 FA possible non pas uniquement généralisé mais également individuel, par carte (pas testé)
• les enregistrements par modèle (site web, application, BDD, compte email, messagerie instantanée, serveur, wifi, Informations personnelles, message sécurisé, identité, dossier, carte bancaire, ….)
• Présence d’un contact d’urgence (qui sera en mesure de demander l’accès à toute ou une partie de vos données selon votre souhait (à programmer)
• un générateur de mot de passe intégré
• le scanner Dark web (qui permet de savoir si vos informations et mails sont connus sur le dark web (le côté sombre de la force)
• un tableau de bord avec informations croisées bien pratique (et conseils)
• la sauvegarde auto ou manuel de vos données
• Choix de l’endroit de sa sauvegarde (US, Ireland, Sao Paulo, Sydney, London, Seoul, Tokyo, Montreal, Singapore et Frankfurt)
• un audit de vos mots de passe (force et doublon) et donc de ceux à modifier
• Installation sur PC, Tablette, smartphone (windows, OSX, iOS, et android)
• Sur application android et ios, ouverture de l’application par détection biométrique (rapidité d’accès)
• Auto lock (avec délai pré-enregistré)

Mes préférences (fonction des besoins)

Domaine principal d’appréciation pour chacun des soft testés

 1Password

Cher, mais c’est celui qui à le taux de réussite le plus élevé, il se trompe très peu et rares sont les sites qu’ils ne le reconnaissent pas. Un des plus sécurisé. Son défaut c’est son tarif hélas!  La possibilité d’intégration de fichiers (pdf par exemple)  et c’est l’un des rares à le proposer. 

Pour moi, c’est le plus abouti actuellement et le plus complet que j’ai pu tester. Son tarif est trop disuasif! 

Roboform

Sa navigation directement à partir de l’icône tray, c’est pour moi son plus grand atout. On n’est pas obligé d’ouvrir le soft pour ouvrir une carte spécifique. Un must!  D’une facilité déconcertante pour retrouver une licence ou un mot de passe non détecté en auto ce qui lui arrive peu mais quand ça arrive, on apprécie de l’avoir!

Dashlane

Son VPN intégré, c’est ce qui se démarque le plus comparé au autres softs, mais pourquoi le faire payer si cher! Et également c’est le seul programme français de la liste. 

Il est apprécie sur les forums mais je ne comprends pas pourquoi, car à l’utilisation, je l’ai trouvé simple (ce qui n’est pas un défaut en soi) mais il ne m’a rapporté rien de plus que les autres et on est loin des possibilités et des résultats de connexion d’un 1password. Si c’est justement ça simplicité qui est plébicité, perso dans cette catégorie je lui préfère Roboform surtout si votre utilisation est multi-appareils. 

Bitwarden

Logiciel open source, version Gratuite largement suffisante car elle ne limite pas le nombre de carte, MP, et autres données. La version payante débloque quelques fonctionnalités supplémentaires. Grande souplesse de récupération de données d’autres programmes grâce au module « FF password exporter ». Possibilité d’installer le systeme sur son serveur (attention si ouvert vers l’extérieur). Mais malgré ces quelques avantages, je n’ai pas accroché au concept, voir au programme dans son ensemble. Plus tard peut-être!

 Sticky Password

Son tarif en version premium lifetime est très intéressant. Hélas n’a que peu fait évolué son soft en 2 ans d’utilisation. Des erreurs de connexion, et constaté qu’il ne reconnait pas plus de 2 champs au delà de l’identifiant et du mot de passe il se retrouve incapable de créer un 3ème champ s’il y a lieu. C’est en partie pour cela que je l’abandonne après 2 ans en sa compagnie.

Password Boss

Comme dit plus haut, sa richesse de fonctionnalités, dont  son super champ configurable « custom Fields » (voir images ci-dessous)

Son tarif en MAJ à vie et sur 3 ou 5 appareils. C’est important car on s’aperçoit bien souvent après coup qu’une fois qu’on a pris l’habitude de ce type de soft on le veut sur tout ses appareils et ça peut vite chiffrer avec certains programmes surtout que la concurence et souvent peu son clair sur leur politique tarifaire à ce sujet.

Sa jeunesse lui laisse le bénéfice du doute sur certaines des erreurs de détection, le SAV semble réactif, et propose déjà un large panel de cartes préprogrammés par des champs dédiés type base de données qui pourraient limiter les export de sa base vers un autre produit concurrent dans le futur. 

Lire la suite : Le meilleur gestionnaire de Mots de Passe – Mon Choix!