Voici un sujet qui concerne tout le monde, que ce soit dans la sphère privée ou professionnelle : la gestion des mots de passe.
Qu'on soit utilisateur de logiciels, inscrit sur des plateformes internet ou administrateur système, les mots de passe posent la question de "Comment s'en souvenir" ?
Il fut un temps où leur nombre et les faibles exigences de sécurité permettaient de les mémoriser, sur la base d'un mauvais principe consistant à mettre le même mot de passe partout.
Aujourd'hui, face aux risques accrus de sécurité et aux contraintes techniques des systèmes d'authentification, ce type de démarche n'est plus tenable.
Dans le contexte professionnel du SI (Système d'Information), c'est carrément un des volets de la sécurité qui est concerné, et plus particulièrement la gestion de configuration, pierre angulaire du référentiel ITIL.
A partir de là, quelles bonnes pratiques mettre en œuvre ?
Sans prétendre couvrir tous les cas de figures, je vais vous présenter comment j'ai traité cette question, après plusieurs années à chercher la solution qui me correspondait.
Quel outil ?
J'ai choisit KeePass pour les raisons suivantes :
- Multi-OS : fonctionne sous Windows, Linux, MacOS et, à travers des produits compatibles, sous Android, iPhone, ...
- Ne nécessite pas d'être connecté à internet (comme LastPass), ce qui permet de ne pas être bloqué en mode déconnecté
- Accès au contenu par un mot de passe maître
- Supporte très bien la synchronisation avec des outils comme GoogleDrive ou Dropbox, permettant ainsi une réplication de type sauvegarde ou un partage des mots de passe entre plusieurs personnes ou plusieurs équipements (ordinateur, smartphone, tablette, ...)
- Permet de stocker d'autres infos que les simples compte et mot de passe (URL d'accès, notes, fichiers joints, ...) ce qui en fait un mini-outil de gestion de configurations pour les administrateurs système
- Facilité pour identifier chaque entrée (libellé, icône) et les grouper par thème
- Conservation automatique des versions précédentes (historique)
Comment je l'ai mis en œuvre ?
- Stockage du fichier de référence sur un ordinateur et synchronisation dans le cloud, de manière à en disposer sur les autres périphériques
- Choix d'un mot de passe maître hyper-robuste (avec minuscules, majuscules et chiffres), qui ne sert nulle par ailleurs et qui n'est donc écrit nulle part et seulement conservé dans ma tête (voir ce type de site pour l'évaluation de la robustesse d'un mot de passe)
- Classement des entrées en 3 catégories, en fonction de la criticité et donc du risque :
- Très critique : tout ce qui concerne l'identité personnelle et les données personnelles (messagerie, stockage Cloud, réseaux sociaux, ...)
- Mot de passe hyper-robuste constitué d'une partie commune facile à retenir mais complexe à construire et d'une partie variable (en fonction de l'application/du site)
- Exemple de partie commune : Prendre les premières lettres de chaque mot d'un premier couplet d'une chanson. Ce qui donnerait pour "La mauvaise réputation" de Brassens :
Au village, sans prétention, j'ai mauvaise réputation : Avspjmr
- La partie variable comportera des chiffres pour compléter la robustesse.
- Moyennement critique : tous les sites en ligne de services publics, commerce, ...
- Mot de passe moyennent robuste, facile à retenir, plutôt court avec une partie commune et une partie variable
- Peu critique : le reste des sites ne contenant pas de données personnelles
- Mot ce passe basique, facile à retenir, composé de caractères alphanumériques
- Ne jamais écrire quelque part le mot de passe maître.
- Ne pas enregistrer les mots de passe dans vos navigateurs. Je sais, c'est pénible, mais c'est la seule garantie de préserver vos mots de passe des pirates.
- Au moindre doute, changer vos mots de passe.
Aucun commentaire:
Enregistrer un commentaire