Est-il préférable ou non de permettre aux internautes de coller leurs mots de passe
lorsqu'ils s'authentifient ?
Pourquoi permettre aux utilisateurs de coller leurs mots de passe est-elle une bonne chose ?
Permettre le collage de mots de passe permet aux formulaires Web de bien fonctionner avec les gestionnaires de mots de passe, ces logiciels (ou services) qui vous permettent de choisir, sauvegarder puis entrer des mots de passe dans des formulaires en ligne à votre demande. Les gestionnaires de mots de passe peuvent s’avérer très utiles dans la mesure où ils:
- rendent plus facile d'avoir des mots de passe différents pour chaque site Web que vous utilisez ;
- améliorent votre productivité et réduisent la frustration en empêchant les erreurs de frappe lors des authentifications ;
- rendent plus simple d'utiliser des mots de passe longs et complexes.
Toutefois, il faut se rappeler que bien qu’ils peuvent offrir une meilleure protection et/ou s’avérer plus pratiques par exemple que garder vos mots de passe dans un document normal et non protégé sur votre ordinateur, ceux-ci ne sont pas forcément la solution idéale pour résoudre les problèmes de mots de passe d’une entreprise.
En effet, certains de ces services peuvent faire face à des failles de sécurité. C’est le cas par exemple de LastPass qui a dû récemment colmater une faille relative à son système d’authentification à deux facteurs.
Il est quand même important de noter que ce type de service/application peut encourager à :
- avoir plusieurs mots de passe sur des sites différents ;
- ne pas choisir des mots de passe facile à retenir ;
- ne pas noter des mots de passe par exemple sur une feuille de papier qui sera placée par exemple sur l’écran d’un ordinateur.
De plus, nombreux sont les services qui vous proposent l’accès à vos mots de passe depuis n’importe quelle plateforme. Il vous suffit donc de mettre à jour votre liste d’identifiants / MdP sur votre ordinateur et vous pourrez quasi instantanément y avoir accès sur votre tablette ou votre téléphone.
Quelles sont les raisons qui incitent les développeurs à les interdire ?
Mais il y a également des raisons qui peuvent justifier le fait que les développeurs veulent mettre un terme à la possibilité pour les utilisateurs de coller des mots de passe.
Tout d’abord, l’une des raisons évoquées est que le collage de mots de passe permet des attaques par force brute. Si le collage de mots de passe est autorisé, cela représente une vulnérabilité dans laquelle les logiciels malveillants ou les pages Web peuvent coller à maintes reprises des suppositions de mots de passe dans la zone du mot de passe jusqu'à ce qu'ils parviennent à deviner votre mot de passe.
Cela est vrai, mais il est également vrai qu'il existe d'autres façons de faire des suppositions (par exemple via une API) qui sont tout aussi faciles à mettre en place pour les attaquants, et qui sont beaucoup plus rapides. Aussi, selon le National Cyber Security Center (NCSC), le risque d'attaques par force brute à l'aide de la fonction copier/coller est donc très faible.
Une autre raison est que le collage des mots de passe les rend plus faciles à oublier étant donné que les utilisateurs ne seront plus obligés de le taper. En principe, il est vrai que plus vous faites appel à vos souvenirs, moins vous avez de chances de les oublier. Cependant, il peut arriver que des internautes aient des comptes sur des services qu’ils utilisent de façon occasionnelle. Cela signifie qu'ils n'ont pas assez d’occasions pour l’écrire et donc peu de chances de s’en souvenir. Pour le NCSC, cette raison n’est valide que si vous supposez, pour commencer, que les utilisateurs doivent toujours essayer de se souvenir de leurs mots de passe et ce n'est pas toujours vrai.
Une autre raison est que les mots de passe vont traîner dans le presse-papiers. Lorsque quelqu'un copie et colle, le contenu copié est conservé dans un « presse-papiers » depuis lequel il pourra le coller autant de fois qu'il le souhaite. Tout logiciel installé sur l'ordinateur (ou toute personne qui l'utilise) a accès au presse-papiers, et peut voir ce qui y figure. Copier n'importe quoi d’autre surcharge généralement ce qui était déjà dans le presse-papiers et le détruit.
De nombreux gestionnaires de mots de passe copient votre mot de passe dans le presse-papiers afin qu'ils puissent le coller dans la zone de mot de passe sur les sites Web. Le risque possible est qu'un attaquant (ou un logiciel malveillant) vole votre mot de passe avant qu'il ne soit effacé du presse-papiers.
Les mots de passe restant dans le presse-papiers risquent de représenter un problème si vous copiez et collez manuellement vos mots de passe à partir d'un document que vous avez sur votre ordinateur étant donné que vous pouvez oublier d'effacer le presse-papiers. Cependant, la NCSC estime que ce n'est pas très risqué, car :
- la plupart des gestionnaires de mots de passe effacent le presse-papiers dès qu'ils ont collé votre mot de passe sur le site, et certains évitent même complètement le presse-papiers en tapant le mot de passe avec un « clavier virtuel » à la place ;
- le navigateur Internet 'Internet Explorer 6' permet aux pages malvoyantes de copier le presse-papiers, mais très peu de personnes utilisent encore IE6 pour naviguer sur le Web ;
- les virus installés sur votre ordinateur peuvent embarquer des copieurs de presse-papiers sur eux et se saisir de vos mots de passe collés. Ce n'est toujours pas une bonne raison pour empêcher le collage de mot de passe : lorsque votre ordinateur est infecté, vous ne devriez tout simplement pas du tout lui faire confiance. Les virus et autres logiciels malveillants qui copient le presse-papiers copient presque toujours toutes les lettres, tous les numéros et tous les symboles saisis sur votre ordinateur, y compris vos mots de passe. Ils vont donc voler votre mot de passe, qu'il s'agisse ou non du presse-papiers, donc vous ne gagnez pas beaucoup à empêcher de coller les mots de passe.
Source : NCSC
Et vous ?
Quels choix avez-vous faits dans vos développements ?
Partager