Sécurité et confidentialité en ligne
|
Lecteur Min
Que faire si votre gestionnaire de mots de passe est compromis
Que faire si votre gestionnaire de mots de passe est compromis ?
Découvrir que votre gestionnaire de mots de passe a été compromis peut vous glacer le sang. Par exemple, de nombreux utilisateurs de LastPass ont paniqué en décembre 2022 à cause de nouvelles selon lesquelles l'entreprise avait été compromise à plusieurs reprises.
Cela signifie-t-il que tous vos mots de passe sont en train d'être vendus sur le Dark Web?
En général, non. La bonne nouvelle est que les gestionnaires de mots de passe de qualité disposent de plusieurs fonctionnalités (comme un chiffrement ultra-puissant) qui rendent presque impossible pour les cybercriminels de dénicher vos mots de passe, même si l'entreprise du gestionnaire de mots de passe subit un incident.
Mais vous devez agir lorsque vous apprenez qu'une violation s'est produite, car la gravité de la situation pourrait ne pas être claire au départ. Voici ce que nous vous recommandons de faire dès que vous apprenez qu'un gestionnaire de mots de passe a été piraté.
Ce qu'il faut faire tout de suite
Si vous êtes informé que votre gestionnaire de mots de passe a été victime d'une faille ou d'un piratage, vous devez agir rapidement pour vous assurer que votre coffre-fort de mots de passe reste bien verrouillé. Les gestionnaires de mots de passe de qualité disposent de fonctionnalités conçues pour protéger vos mots de passe même si l'entreprise est compromise, mais il vaut toujours mieux prendre des précautions.
Pour la plupart des gens
Si vous utilisez un gestionnaire de mots de passe et qu'il est attaqué, tout gestionnaire de mots de passe sérieux vous avertira du problème et vous indiquera quoi faire pour réduire les risques.
En général, nous vous recommandons de changer le mot de passe maître de votre gestionnaire de mots de passe si l'entreprise a été compromise. Voici comment créer un mot de passe de gestionnaire de mots de passe digne d'un héros :
14 caractères : Nous vous recommandons que le mot de passe d'accès principal de votre gestionnaire de mots de passe comporte 14 caractères, ce qui est plus long que les mots de passe de 12 caractères que nous recommandons habituellement. Il doit s'agir de quelque chose que vous pouvez retenir, mais qui ne peut pas être deviné facilement. Les caractères supplémentaires en valent la peine, car c'est le mot de passe qui protège tous vos autres mots de passe.
Lettres, chiffres et symboles : Utilisez un mélange de lettres (majuscules et minuscules), de chiffres et de symboles (comme $, &, et =) dans votre mot de passe maître.
Activez l'authentification multifacteur : Activer l'authentification multifacteur, ou MFA, ajoute un niveau de sécurité supplémentaire à votre compte. Avec de nombreux gestionnaires de mots de passe, la MFA prend la forme de l'envoi d'un code à une application dédiée, ou le gestionnaire de mots de passe enverra un code d'authentification à votre téléphone.
Pour les entreprises et les organisations
Si le fournisseur de votre gestionnaire de mots de passe annonce qu'il a été compromis, appliquez immédiatement vos procédures de réponse aux incidents après que votre équipe de sécurité a évalué le risque. Suivez les conseils de votre équipe de sécurité et assurez-vous de les communiquer à tous vos employés !
Si vous avez un gestionnaire de mots de passe mais pas de professionnels de la sécurité dédiés, suivez les conseils que nous avons exposés pour les particuliers.
Comment les bons gestionnaires de mots de passe gardent vos mots de passe en sécurité
Voici quelques façons dont les gestionnaires de mots de passe de qualité verrouillent vos mots de passe, même si l'entreprise elle-même est compromise d'une manière ou d'une autre. Recherchez ces fonctionnalités lorsque vous comparez vos options.
Chiffrement : Les gestionnaires de mots de passe de qualité chiffrent tous les mots de passe qui y sont stockés, qu'ils soient enregistrés sur votre appareil ou sur les serveurs de l'entreprise. Cela signifie que vos mots de passe sont presque impossibles à déchiffrer si un pirate tentait de compromettre votre gestionnaire de mots de passe. Le seul accès à vos mots de passe dans un gestionnaire de mots de passe se fait avec votre mot de passe maître, qui ne devrait être connu que d'une seule personne : vous.
Zéro connaissance : Comme son nom l'indique, le zéro connaissance signifie qu'un gestionnaire de mots de passe ne sait pas quels sont vos mots de passe – l'entreprise ne stocke pas les clés nécessaires pour déchiffrer le mot de passe principal qui déverrouille votre coffre-fort ni aucun des mots de passe qui y sont stockés. Cela signifie que votre mot de passe principal n'est jamais conservé sur les serveurs du système. Vous êtes le seul à le connaître, alors rendez-le solide et protégez-le avec la MFA.
Authentification multifacteur : Parce que votre coffre-fort de mots de passe dans un gestionnaire de mots de passe est si précieux, les meilleurs gestionnaires de mots de passe proposent l'authentification multifacteur pour vous connecter. Cela signifie que toute personne essayant de consulter vos mots de passe depuis un appareil inconnu devra se connecter de plusieurs façons. Cela peut inclure une reconnaissance faciale, une lecture d'empreinte digitale, la saisie d'un code reçu par SMS ou l'approbation de la tentative de connexion dans une application distincte. Cela construit un autre rempart autour de vos mots de passe, afin que vous sachiez qu'ils sont conservés avec une sécurité renforcée. Activez toujours la MFA pour votre gestionnaire de mots de passe !
Encore plus d'authentification multifacteur : Vous l'avez sur votre gestionnaire de mots de passe, mais ne vous arrêtez pas là. Activez-la sur chaque compte qui la propose, comme les comptes financiers, les e-mails et les réseaux sociaux.
Pourquoi les gestionnaires de mots de passe restent un choix intelligent
En matière de violations de gestionnaires de mots de passe, ne jetez pas le bébé avec l'eau du bain ! Les gestionnaires de mots de passe sont la meilleure solution, bien qu'imparfaite, pour générer, stocker et maintenir des mots de passe forts pour chacun de vos nombreux comptes en ligne. Les gestionnaires de mots de passe sont plus sûrs que les carnets, les post-it et les mots de passe faciles à retenir. De bons gestionnaires de mots de passe vous aident même à créer des mots de passe forts et uniques pour de nouveaux comptes en quelques secondes. Ils peuvent aussi vous aider à repérer les mots de passe réutilisés, faibles ou compromis, et à les modifier.
Même si un gestionnaire de mots de passe est compromis, des éléments comme le chiffrement, la MFA et le zéro connaissance rendent vos mots de passe indéchiffrables pour les cybercriminels. Même si des risques subsistent, nous vous recommandons vivement d'utiliser un gestionnaire de mots de passe.
