Les gestionnaires de mots de passe sont des utilitaires pour la sauvegarde de vos mots de passe. En entrant un seul mot de passe principal, vous pouvez accéder à tous vos mots de passe stockés en toute sécurité. Cela vous permet d'avoir un mot de passe unique et complexe pour chaque site Web et application que vous utilisez tout en ne vous rappelant qu'un seul mot de passe principal. Ça a l'air génial, non?
Malheureusement, les attaquants ont commencé à cibler certains gestionnaires de mots de passe populaires. Si votre ordinateur a été infecté par des logiciels malveillants, le malware peut utiliser le logiciel keylogger 4 façons de vous protéger contre Keyloggers 4 façons de vous protéger contre Keyloggers Keyloggers sont l'une des menaces de sécurité les plus connus et les plus craints sur les ordinateurs aujourd'hui. Cependant, il existe plusieurs façons de se protéger contre les enregistreurs de frappe, et de ne pas devenir victime de vol d'identité ... Lisez la suite pour enregistrer vos frappes lorsque vous tapez votre mot de passe principal, en le volant. Cela permet au logiciel malveillant d'accéder à vos mots de passe stockés. Dans ce cas, un gestionnaire de mot de passe peut réellement diminuer la sécurité car tous les mots de passe peuvent être compromis en n'en volant qu'un seul.
La meilleure pratique, bien sûr, est de garder votre ordinateur exempt de logiciels malveillants. Mais vous avez en réalité plusieurs autres options pour améliorer la sécurité de votre gestionnaire de mots de passe afin qu'il soit moins vulnérable, si votre ordinateur est infecté par un logiciel malveillant.
Clavier virtuel
Certains gestionnaires de mots de passe, tels que Password Safe et LastPass, proposent des claviers virtuels. Au lieu d'entrer votre mot de passe maître avec le clavier, vous l'entrez avec un clavier graphique affiché à l'écran. Password Safe a une petite icône de clavier à droite de l'endroit où vous taperiez normalement un mot de passe, et LastPass a un lien hypertexte qui dit Screen Keyboard.
Lorsque le clavier virtuel est affiché, vous cliquez sur les lettres, les chiffres et les symboles qui composent votre mot de passe principal. L'idée d'utiliser un clavier virtuel est que les enregistreurs de frappe peuvent suivre les frappes, mais la plupart ne peuvent pas suivre l'emplacement de l'écran des clics de souris. Ainsi, lorsque vous entrez un mot de passe principal à l'aide d'un clavier virtuel, le keylogger ne sera probablement pas en mesure de le voler. Soyez prudent, cependant, car certaines formes de logiciels malveillants peuvent surveiller l'activité de l'écran et révéler votre mot de passe grâce à l'observation.
Mots de passe à usage unique
Un clavier virtuel fournit une solution d'authentification plus puissante que la saisie d'un mot de passe, mais des solutions plus solides sont disponibles. Un mot de passe à usage unique est, comme son nom l'indique, un mot de passe que vous ne pouvez utiliser qu'une seule fois. Certains gestionnaires de mots de passe, tels que LastPass et Intuitive Password, prennent en charge l'utilisation de mots de passe à usage unique. Comme un mot de passe à usage unique n'est bon que la première fois qu'il est utilisé, un attaquant qui vous capture à l'aide de ce mot de passe ne peut pas le réutiliser lui-même.
La liste ci-dessous présente les mots de passe à usage unique générés par ordinateur de LastPass. Notez qu'il existe une option Imprimer; Il est courant d'imprimer ces mots de passe et de les conserver dans votre portefeuille pour les garder en sécurité. Il peut être tentant de les enregistrer dans un fichier sur votre ordinateur, puis de les copier et les coller dans votre gestionnaire de mots de passe, au besoin, mais il s'agit d'une pratique de sécurité médiocre. En supposant que votre ordinateur soit infecté par des logiciels malveillants, le malware cherchera probablement des fichiers texte contenant des mots de passe, et si quelqu'un accède physiquement à votre ordinateur, il pourra copier et coller le mot de passe et accéder immédiatement à tout ce qu'il contient.
Une autre option pour les mots de passe à usage unique est d'obtenir un nombre généré aléatoirement à partir d'une application spéciale de mot de passe à usage unique. Un exemple notable de ceci est l'application mobile Google Authenticator. Les gestionnaires de mots de passe tels que DashLane et LastPass peuvent tirer parti de Google Authenticator. Lorsque vous souhaitez déverrouiller vos mots de passe, vous accédez à votre appareil mobile et créez un nouveau mot de passe à usage unique à l'aide de Google Authenticator. La validation en deux étapes peut-elle être moins irritante? Quatre piratages secrets garantis pour améliorer la sécurité La vérification en deux étapes peut-elle être moins irritante? Quatre secrets Hacks garantis pour améliorer la sécurité Voulez-vous la sécurité des comptes pare-balles? Je suggère fortement d'activer ce que l'on appelle l'authentification «à deux facteurs». Lire la suite . Ensuite, vous tapez ce mot de passe (généralement six chiffres) dans votre gestionnaire de mot de passe. Voici une vidéo qui vous explique comment configurer Google Authenticator pour une utilisation avec LastPass.
Il existe également des gestionnaires de mots de passe tels que le mot de passe intuitif qui peut être configuré pour vous envoyer un mot de passe à usage unique via un message texte.
Biométrie
Une autre option pour certaines personnes est l'utilisation de lecteurs biométriques, tels que les scanners d'empreintes digitales. La version Premium de LastPass et l'utilitaire RoboForm prennent tous deux en charge l'utilisation de la biométrie au lieu d'un mot de passe principal. Certains ordinateurs, en particulier les ordinateurs portables, ont des scanners d'empreintes digitales intégrés, et certains ordinateurs (ordinateurs de bureau et ordinateurs portables) ont des scanners d'empreintes digitales externes.
Si votre appareil est déjà équipé d'un scanner d'empreintes digitales, vous pouvez envisager d'acquérir un gestionnaire de mots de passe pouvant utiliser ce scanner. Si vous n'avez pas de scanner, l'une des autres options (clavier virtuel ou mot de passe à usage unique) est probablement la meilleure solution pour vous.
Authentification multifacteur
Une dernière option est l'authentification multifactorielle. Jusqu'à présent, nous n'avons parlé que d'une authentification à un seul facteur, ce qui signifie utiliser une seule méthode d'authentification, généralement un mot de passe. Pour renforcer la sécurité, vous pouvez adopter l'authentification multifactorielle, qui consiste à utiliser plusieurs méthodes d'authentification en même temps, comme un mot de passe (quelque chose que vous connaissez) et une empreinte digitale (quelque chose que vous êtes).
Par exemple, le gestionnaire de mots de passe KeePass peut utiliser un fichier de clé cryptographique qu'il configure sur un lecteur flash USB, avec un mot de passe. Si un attaquant obtient votre mot de passe, il aura toujours besoin de votre clé USB, et vice versa. Mais si votre ordinateur est infecté par un logiciel malveillant, il est probable qu'un pirate déterminé puisse récupérer une copie de votre fichier clé de votre lecteur flash, ainsi que votre mot de passe. Ainsi, dans cette situation, l'authentification multifactorielle peut ne pas être plus forte que l'authentification mono-facteur.
La plupart des gens trouveront l'authentification multifactorielle inutilement compliquée pour leur gestionnaire de mot de passe. En fin de compte, si votre ordinateur est infecté par un logiciel malveillant, vos mots de passe sont en danger. Et quelle que soit la force de la méthode d'authentification de votre gestionnaire de mots de passe, à un moment donné, vous déverrouillerez le coffre sécurisé des mots de passe stockés et les logiciels malveillants pourront y accéder. Renforcer votre méthode d'authentification est un moyen de dissuasion, pas une prévention absolue.
Recommandations pour l'authentification du gestionnaire de mots de passe
L'utilisation d'un mot de passe standard pour protéger votre gestionnaire de mots de passe devient de plus en plus risquée à cause des logiciels malveillants. Pensez à utiliser un clavier virtuel, ou mieux encore, un mot de passe à usage unique à la place d'un mot de passe principal pour contrer la possibilité que votre logiciel malveillant saisisse votre mot de passe principal et accède à vos mots de passe stockés.
Et n'oubliez pas de suivre toutes les pratiques recommandées pour empêcher l'apparition de logiciels malveillants sur votre ordinateur, comme déjouer les attaques d'ingénierie sociale Comment se protéger contre les attaques d'ingénierie sociale Comment se protéger contre les attaques d'ingénierie sociale La semaine dernière, nous avons examiné certains les principales menaces d'ingénierie sociale que vous, votre entreprise ou vos employés devriez surveiller. En un mot, l'ingénierie sociale est similaire à un ... Lire la suite, en utilisant un logiciel antivirus Quel est le meilleur logiciel antivirus gratuit? [MakeUseOf Poll] Quel est le meilleur logiciel antivirus gratuit? [MakeUseOf Poll] Parce que peu importe comment vous êtes prudent lorsque vous utilisez Internet, il est toujours conseillé d'avoir un logiciel antivirus installé sur votre ordinateur. Oui, même les Macs. En savoir plus et installer rapidement les correctifs et les mises à jour 3 Raisons pour lesquelles vous devriez exécuter les derniers correctifs et mises à jour de sécurité Windows 3 Raisons pour lesquelles vous devriez exécuter les derniers correctifs et mises à jour de sécurité Windows Le code qui constitue le système d'exploitation Windows, des erreurs, des incompatibilités ou des éléments logiciels obsolètes. Bref, Windows n'est pas parfait, on le sait tous. Les correctifs de sécurité et les mises à jour corrigent les vulnérabilités ... En savoir plus sur le système d'exploitation, le navigateur Web et d'autres applications importantes de votre ordinateur. Si votre ordinateur n'est pas infecté en premier lieu, la force de l'authentification de votre gestionnaire de mots de passe ne sera pas si importante.
Êtes-vous prêt à gérer les menaces contre votre gestionnaire de mot de passe? Quelles précautions prenez-vous?
Crédits image: Sécurité du téléphone par Ervins Strauhmanis via Flickr