La question du stockage sécurisé des identifiants et des mots de passe des sites est actuellement très pertinente. Le nombre de fraudeurs sur Internet et de divers hackers augmente chaque année, et la meilleure protection contre eux est la responsabilité (au moins envers soi-même) et l'utilisation prudente des ordinateurs et gadgets connectés au réseau. Le stockage sécurisé des mots de passe des sites est l'une des principales précautions.
Comment stocker les mots de passe des sites
Jetons un coup d'œil rapide à 4 façons de stocker les mots de passe utilisés par la plupart des internautes.
- Stockage local (sur un ordinateur / téléphone) dans un fichier texte protégé par mot de passe ou tout document numérique au format bureautique (DOCX, PDF, XLSX, etc.). Les fichiers texte peuvent par exemple être cryptés dans une archive (ZIP, RAR, etc.), protégée par un mot de passe complexe. Et dans le cas des documents bureautiques, ils peuvent être cryptés dans l'éditeur lui-même lors de l'enregistrement du fichier - dans le même Microsoft Word et Excel, il existe une telle fonction. La méthode est fiable, si vous définissez un mot de passe complexe, mais complètement gênant - vous pouvez oublier le remplissage automatique des formulaires de connexion / mot de passe sur les sites Web.
- Stocker les mots de passe dans un stockage cloud crypté sur un serveur distant, ce qui est également assez sécurisé, mais encore une fois parfaitement pratique pour les mêmes raisons. Mais, contrairement à la première méthode, les mots de passe sont accessibles de n'importe où dans le monde. Cependant, le fichier crypté peut également être placé dans le cloud ou autrement sophistiqué.
- Stocké directement dans le navigateur à l'aide de la fonction intégrée correspondante de tout navigateur Web moderne. Cette méthode, au contraire, est la plus pratique, mais pas la plus fiable. Si nous parlons, par exemple, de mots de passe de banques en ligne, il vaut mieux ne pas se fier aux mécanismes de sécurité intégrés du navigateur.
- Stockage dans des programmes spéciaux ou des extensions (plugins) pour les navigateurs - gestionnaires de mots de passe. Cette méthode combine à la fois la commodité et la fiabilité. Mais il y a aussi des inconvénients. Pour de nombreux utilisateurs, l'utilisation d'un gestionnaire de mots de passe n'est pas une tâche facile, car elle nécessite le téléchargement, l'installation et la préconfiguration de ce programme ou de cette extension. De plus, dans la plupart des cas, vous devrez débourser pour utiliser des gestionnaires de mots de passe, mais, heureusement, c'est tout à fait peu coûteux, en particulier lors de l'utilisation de programmes nationaux.
Parmi ce qui précède, les plus populaires sont les moyens de stocker les mots de passe des sites dans un navigateur ou des gestionnaires de mots de passe spéciaux (y compris les extensions de navigateur). Parlons-en.
Stockage des mots de passe dans le navigateur
L'avantage évident de cette méthode est la commodité, par exemple:
- L'utilisateur est dispensé d'installer des programmes ou extensions supplémentaires, de créer des archives protégées ou des documents protégés par mot de passe.
- Il n'est pas nécessaire de configurer le navigateur lui-même d'une manière particulière - tout cela a déjà été fait pour l'utilisateur. Pour entrer votre nom d'utilisateur / mot de passe dans le stockage du navigateur, cliquez simplement sur un seul bouton, en acceptant de sauvegarder. Il est tout aussi simple d'utiliser le remplissage automatique des formulaires Web.
- Les mots de passe enregistrés dans le navigateur sont disponibles sur n'importe quel appareil - ordinateur, smartphone, etc. Pour ce faire, il vous suffit de vous inscrire sur le site Web des développeurs de navigateurs Web, puis de vous connecter au même compte sur tous les appareils.
Cependant, en termes de sécurité, la manière dont un navigateur stocke les mots de passe n'est pas la plus sécurisée.
Car:
- Par défaut (sans paramètres préliminaires), les mots de passe dans le navigateur sont stockés sous une forme «pure», c'est-à-dire. non chiffré. Pour voir et voler tous les mots de passe enregistrés, un attaquant n'a même pas besoin de lancer un navigateur Web - il suffit de trouver (et ce n'est pas difficile) un fichier spécialisé avec des mots de passe sur le disque dur.
- En tant que «patch» de ce «trou» dans le système de sécurité des navigateurs, le cryptage par mot de passe du fichier très spécial avec les mots de passe est utilisé. Il ne sera pas possible d'y accéder sans lancer le navigateur. Si vous essayez d'utiliser un mot de passe enregistré ou d'afficher tous les mots de passe, vous devrez entrer la clé de déchiffrement précédemment définie. Mais vous ne devez le saisir, en règle générale, qu'une seule fois par session, car la base de données avec les mots de passe restera déchiffrée jusqu'à la fermeture du navigateur. Et ceci est un autre «trou» dans le mécanisme de sécurité du navigateur. S'il s'avère que l'attaquant (ou simplement "drôle") est un collègue au travail, il attendra simplement que l'utilisateur entre la clé de déchiffrement et laisse son ordinateur sans surveillance pendant quelques minutes.
- Les mots de passe stockés dans un navigateur ne sont pas disponibles dans les autres utilisés par l'utilisateur. Bien sûr, les mots de passe peuvent être transférés en exportant un fichier d'un navigateur puis en l'important dans un autre. Mais, encore une fois, cela exigera que l'utilisateur fouille dans les paramètres. Et ce n'est pas un fait que le fichier exporté d'un navigateur sera transféré sous la même forme vers un autre.
- Les navigateurs manquent souvent d'outils de mot de passe pratiques supplémentaires. Par exemple, il n'y a pas de fonction automatique pour vérifier la complexité et la force d'une phrase secrète. Le générateur intégré de mots de passe complexes est manquant ou moins fonctionnel, par exemple, vous ne pouvez pas sélectionner le type de caractères utilisé dans le mot de passe. Vous ne pouvez pas stocker d'autres données avec des mots de passe - notes, etc.
Stockage des mots de passe dans des programmes spécialisés
Les gestionnaires de mots de passe dédiés présentent des avantages de sécurité bien supérieurs. Le système de stockage de mots de passe MultiPassword en est un bon exemple. Il se compose de deux parties principales: un stockage cloud sécurisé et un logiciel pour l'utilisateur final, qui comprend une application de bureau (bureau) et une extension de navigateur.
La haute sécurité de l'utilisation de MultiPassword s'explique par le principe de son fonctionnement:
- L'accès au stockage distant n'est possible qu'après autorisation dans le système MultiPassword, qui nécessite une clé secrète spéciale et un mot de passe principal. Le piratage d'un compte utilisateur MultiPassword n'est pas possible en utilisant les méthodes standard de force brute (car une clé secrète est également requise). Cela, d'ailleurs, ne peut pas être dit à propos d'un fichier crypté dans lequel les navigateurs stockent des mots de passe - les fichiers ici ne sont pas protégés contre le piratage par des clés d'accès forcées.
- Les données saisies dans l'application / l'extension MultiPassword sont cryptées sur l'appareil de l'utilisateur avant d'être envoyées et transmises à un serveur distant sous forme cryptée. Cela élimine la possibilité d'intercepter les mots de passe quelque part entre un ordinateur ou un téléphone et les serveurs MultiPassword à l'aide de la détection et d'autres méthodes d'analyse, ainsi que d'intercepter le trafic réseau. Oui, les attaquants pourront intercepter une partie du trafic (surtout si des points d'accès WiFi publics sont utilisés pour accéder à Internet), mais pour eux cela restera un ensemble absolument inutile de symboles incompréhensibles.
- Toutes les applications MultiPassword (y compris l'extension de navigateur) sont configurées par défaut de telle sorte qu'après une longue (plusieurs minutes) d'inactivité de l'utilisateur, l'interface du programme / extension est automatiquement bloquée. Cela réduit le risque de fuite de mot de passe de l'ordinateur / téléphone en raison de la négligence de l'utilisateur (oublié de le verrouiller manuellement, laissant l'ordinateur allumé).
Outre un niveau de sécurité plus élevé (par rapport aux outils de navigateur intégrés), le gestionnaire de mots de passe MultiPassword offre également les avantages suivants:
- Le programme est disponible pour diverses plates-formes (Windows, MacOS, iOS, Android, etc.), ce qui permet à l'utilisateur d'accéder à ses mots de passe à partir de n'importe quel appareil moderne.
- Lors de l'utilisation de l'extension de navigateur, il devient possible d'enregistrer automatiquement les mots de passe dans le système MultiPassword et de remplir automatiquement les champs de connexion / mot de passe sur les sites Web.
- Possibilité de stocker toute information textuelle sous forme cryptée en référence à un site spécifique ou juste comme ça.
- La possibilité de créer un nombre illimité de stockages (catalogues) pour décomposer les mots de passe et autres données en catégories conviviales.
- La possibilité d'importer des mots de passe à partir de navigateurs et d'autres gestionnaires dans le système MultiPassword.
- Disponibilité d'un système automatique d'évaluation de la force des mots de passe et d'un générateur de phrases de passe selon les principaux critères (longueur, type de symboles utilisés).
Le système de stockage des mots de passe MultiPassword a ses propres inconvénients, qui sont communs à tous les gestionnaires de mots de passe similaires. Le programme / l'extension doit être téléchargé, installé et configuré séparément (bien que tout cela ne soit pas difficile et ne prenne que quelques minutes). Pour utiliser le système MultiPassword pendant plus de 30 jours (tant de temps est donné pour l'essayer), vous devrez vous abonner. Je suis heureux que le prix de votre propre sécurité soit symbolique de 50 roubles par mois.