En janvier dernier, une impressionnante liste de mots de passe volés était découverte. Bilan : plus de 100 millions de victimes. Troy Hunt, créateur de Have I Been Pwned , révélait alors que l’attaque avait touché rien moins que 70 840 771 adresses électroniques. L’ampleur, inédite, soulève, une fois de plus, la problématique de la gestion des données d’identification en entreprise.Un mot de passe écrit sur un coin de table et réutilisé à l’envi ? Très mauvaise idée.
Selon Dashlane, :
- 4 millions d’euros est le coût moyen d’une faille de données
- 80 % des failles sont causées par des mots de passe faibles, volés ou réutilisés.
La solution s’appelle Gestionnaire de mots de passe et concerne autant le particulier que les utilisateurs professionnels en entreprise. En combinant l’utilisation d’un gestionnaire de mots de passe avec des mots de passe forts et uniques générés automatiquement, les entreprises peuvent significativement améliorer leur posture de sécurité sans sacrifier la commodité pour leurs utilisateurs finaux.
Gestionnaire de mot de passe : de quoi parle-t-on ?
Un gestionnaire de mots de passe est un logiciel conçu pour stocker et gérer les informations d’authentification des utilisateurs. Pour les entreprises, il s’agit d’une solution centralisée qui permet de sécuriser tous les mots de passe des employés dans un coffre-fort numérique, hébergé soit sur les installations propres (on prem) ou dans le Cloud. Les gestionnaires de mots de passe génèrent, récupèrent et conservent des mots de passe complexes et uniques pour chaque service utilisé par les employés, réduisant ainsi le risque de brèches de sécurité dues à des mots de passe faibles ou réutilisés.
Et les Passkeys (clés d’identification) ?
Les Passkeys, ou clés d’identification, représentent une avancée significative dans le domaine de la sécurité numérique. Contrairement aux mots de passe traditionnels, les passkeys sont des formes d’authentification basées sur des paires de clés cryptographiques qui offrent une sécurité renforcée. Elles sont uniques à chaque site, ne peuvent pas être divulguées lors d’une fuite de données et ne nécessitent pas de mémorisation par l’utilisateur.
L’intégration des passkeys dans un gestionnaire de mots de passe d’entreprise peut significativement augmenter la sécurité des accès. Plusieurs gestionnaires sont compatibles avec les passkeys : Bitwarden, 1Password, Chrome, Proton Pass, iCloud, etc.
Double authentification : peut-on intégrer les codes MFA à son application de mot de passe ?
La MFA (Multi-Factor Authentication) ajoute une couche supplémentaire de sécurité en requérant au moins deux preuves d’identité avant d’accorder l’accès à un compte. De nombreux gestionnaires de mots de passe intègrent désormais des fonctions de MFA, notamment Bitwarden, permettant aux utilisateurs de stocker et de gérer leurs méthodes d’authentification multifacteur directement dans l’application. Cela simplifie le processus de connexion tout en renforçant la sécurité.
Gestion des mots de passe : quelle solution choisir ?
Le choix d’un gestionnaire de mots de passe pour une entreprise dépend de plusieurs facteurs, notamment la taille de l’entreprise, les exigences de sécurité et la compatibilité avec les terminaux et systèmes d’exploitation présents. Pour votre DSI, il est recommandé d’évaluer chaque option en fonction des spécificités de votre organisation pour trouver la solution qui répond le mieux à vos besoins en matière de sécurité et de facilité d’utilisation.
Quelques exemples :
- Bitwarden : Solution open source, Bitwarden offre une grande flexibilité et un contrôle complet sur les données. Idéal pour les entreprises (avec une offre dédiée) qui préfèrent une solution personnalisable et qui disposent des ressources pour gérer leur propre infrastructure. Disponible pour iOS, Android, Windows, Linux, macOS web et extensions de navigateur (Firefox, Chrome, Edge, Safari).
- Proton Pass : un « coffre-fort suisse » pour les mots de passe dans votre entreprise. Également open source et chiffrée, Proton Pass est une solution assez récente, reconnue pour son engagement envers la sécurité et la confidentialité. Elle est recommandée pour les entreprises qui cherchent une solution robuste et très sécurisée. Proton Pass est également access en version entreprise (Proton Pass for Business). Disponible pour iOS, Android, macOS, Linux, Windows, web et extensions de navigateur (Firefox, Chrome, Edge, bientôt Safari).
- Dashlane Entreprise : sur site ou dans le Cloud, le gestionnaire se caractérise par une intégration SCIM + SSO, qui garantit un déploiement rapide et facile avec la plupart des fournisseurs d’identité présents sur le marché. Disponible pour iOS, Android, Windows, Linux, macOS web et extensions de navigateur (Firefox, Chrome, Edge, Safari).
- 1Password : Reconnu pour son interface utilisateur intuitive et ses fonctionnalités avancées, 1Password est une excellente option pour les entreprises qui recherchent une solution complète et facile à utiliser. Disponible pour iOS, Android, Windows, Linux, macOS web et extensions de navigateur (Firefox, Chrome, Edge, Safari).
- Gestionnaire de mots de passe Microsoft Edge : Parfait pour les entreprises qui utilisent déjà l’écosystème de Microsoft, ce gestionnaire offre une intégration transparente avec Windows et d’autres produits Microsoft. Disponible pour iOS, Android et via le navigateur Edge pour Windows, macOS et Linux.
- Trousseau iCloud : Parfait pour les entreprises qui utilisent principalement des appareils Apple. Stockage sécurisé via iCloud. Disponible pour macOS, iOS et Windows, ainsi que via une extension Chrome (macOS et Windows). Pas de version Safari ou Firefox.
Bon à savoir : si vous vous posez des questions sur la sécurité du gestionnaire de mots de passe Edge de Microsoft, vous pouvez consulter la documentation officielle. Vous y apprendrez comment les mots de passe sont stockés dans Microsoft Edge et avec quel niveau de sécurité. L’article aborde également le chiffrement des données et la nécessité d’un gestionnaire d’identifiants en entreprise.
Comment choisir un bon mot de passe ?
Un mot de passe fort est généralement long, complexe et unique. Voici quelques conseils pour choisir et créer un mot de passe robuste :
- Longueur : Optez pour des mots de passe d’au moins 12 caractères. Plus un mot de passe est long, plus il est difficile à craquer.
- Complexité : Utilisez une combinaison de lettres majuscules et minuscules, de chiffres et de symboles pour augmenter la complexité de votre mot de passe.
- Unicité : chaque compte devrait avoir un mot de passe unique. Ne réutilisez pas les mêmes mots de passe sur différents sites.
- Non-prédictibilité : n’utilisez pas d’informations facilement devinables, comme les dates de naissance, le département de votre entreprise, la date du jour, les noms de famille ou les mots du dictionnaire.
Générer un mot de passe fort
Les générateurs de mots de passe sont des outils qui créent des mots de passe aléatoires et sécurisés pour vous. Ils sont particulièrement utiles pour éviter la réutilisation de mots de passe et minimiser les risques de devinette. Nous vous conseillons, si vous devez générer un mot de passe fort sur internet, de passer par le générateur de Proton Pass en Suisse. Didactique et simple à utiliser, il permet de générer un mot de passe aléatoire (random) ou mémorable (phrase), avec ou sans lettre majuscule, chiffre ou séparateur. Il est possible de copier/coller le mot de de passe directement depuis la page. Le niveau de sécurité est indiqué à droite.
Autre exemples de générateurs de mot de passe forts
Voici quelques générateurs de mots de passe recommandés :
- Bitwarden : ce gestionnaire de mots de passe offre une fonctionnalité de génération de mots de passe qui permet de créer des mots de passe forts et personnalisables selon la longueur et les types de caractères désirés.
- LastPass : un autre gestionnaire populaire est LastPass inclut un générateur de mots de passe robuste capable de créer des mots de passe complexes qui peuvent être automatiquement sauvegardés et remplis. Tout comme Proton ci-dessus, il est possible d’utiliser le générateur depuis une page web (gratuitement).
- 1Password : l’application offre une fonction de génération de mots de passe qui non seulement crée des mots de passe forts, mais peut également générer des phrases secrètes, une alternative mémorable, mais sécurisée aux mots de passe traditionnels. Là aussi, une version web permet de s’en servir gratuitement depuis cette page.