Quid de la sûreté des gestionnaires de mots de passe
L’utilisation d’un mot de passe robuste pour votre/vos comptes est indispensable si l’on se réfère aux 30 millions d’attaques par force brute chaque mois. Il est difficile de se souvenir d’un mot de passe robuste d’où l’intérêt d’un gestionnaire de mots de passe. Mais les gestionnaires de mots de passe ne sont pas les mêmes pour un site WordPress. Certains présentent des failles de sécurité qu’un hacker pourrait profiter pour voler des informations.
Qu’est-ce qu’un gestionnaire de mot de passe ?
Un gestionnaire de mots de passe est un programme autonome ou une extension au navigateur qui peut stocker tous les mots de passe que vous voulez sauvegarder. Pour vous aider à vous souvenir de vos mots de passe complexes, ils seront stockés dans un programme.
Des gestionnaires de mots de passe disposent des options à deux facteurs ou un remplissage automatique des champs identifiant et mots de passe pour une connexion à un site.
Le problème avec les gestionnaires de mots de passe
Lorsque vous utilisez une extension de navigateur accessible avec le gestionnaire de mots de passe, il y a des risques de sécurité.
Si votre gestionnaire de mots de passe est une extension de votre navigateur et que vous visitez un site contenant des logiciels malveillants, vulnérable à une attaque CRSF (Cross-Site Request Forgery) ou XSS (Cross Site Scripting), vos mots de passe peuvent être piratés sans que vous vous en rendiez compte.
Des gestionnaires de mots de passe ont eu des problèmes de sécurité dans le passé comme Keeper, Dashlane, Ipassword, mais les failles de sécurité ont été corrigées. Certains gestionnaires de mots de passe sont mis à jour régulièrement pour corriger les failles de sécurité. Quant à LastPass, il est vulnérable à l’hameçonnage.
Pour les gestionnaires de mots de passe qui sont une extension de navigateur, des problèmes de sécurité subsistent.
De nombreux navigateurs incluent un remplissage automatique d’un formulaire d’identification avec des informations correctement enregistrées. Cette fonctionnalité de remplissage est une source de faille de sécurité. Les acteurs malveillants ont créé des scripts qui peuvent ouvrir la fonctionnalité de remplissage automatique afin de voler les informations d’identification sans que vous le sachiez.
Une fois que votre identité ou vos identifiants de connexion ont été volés, les gestionnaires de mots de passe ne peuvent pas vous protéger.
Toutefois, il existe des moyens de protéger vos informations d’identification ainsi que votre site WordPress contre les risques potentiels de sécurité des gestionnaires de mots de passe.
Est-il nécessaire d’utiliser un gestionnaire de mots de passe ?
Si un gestionnaire de mot de passe a été vulnérable dans le passé, cela ne veut pas dire qu’il n’est plus sécurisé.
L’utilisation de mots de passe robuste avec un gestionnaire de mots de passe fiable vous protège d’une attaque par force brute et c’est mieux que rien.
Il faut éviter quand même un gestionnaire de mots de passe qui est une extension de navigateur. Utiliser un programme autonome est recommandé et il faut éviter l’option remplissage automatique si l’application en dispose.
