Gestionnaires de mots de passe intégrés aux pages Web ou applications indépendantes
Gestionnaires de mots de passe intégrés aux pages Web ou applications indépendantes
De quel bord êtes-vous ? Tim Bray d’Amazon explique son choix
Tim Bray d’Amazon est d’avis que tout le monde devrait user d’un gestionnaire de mots de passe et ne s’en cache pas. Il a d’ailleurs récemment publié un article intitulé « à propos des gestionnaires de mots de passe » pour expliciter son avis sur la question. Son développement aurait pu être des plus banals s’il s’était limité à dresser une liste d’avantages de l’utilisation de tels outils comme c’est généralement le cas sur les sites qui en parlent. Il est cependant allé plus loin dans une comparaison entre les deux grandes familles de gestionnaires de mots de passe et c’est là où il est plus intéressant.
Avec la multiplication des comptes d’utilisateurs nécessitant une authentification, la mémorisation des mots de passe est de plus en plus difficile. Cette situation induit – chez les utilisateurs – des habitudes qui sont de nature à compromettre la sécurité de leurs comptes (utilisation de mots de passe identiques pour des comptes différents, mots de passe pas assez « forts », etc.).
Les gestionnaires de mots de passe viennent répondre à cette problématique et à d’autres. Ainsi au-delà de la mémorisation des mots de passe de divers comptes dont l’utilisateur d’un tel outil est exempté, il bénéficie d’autres avantages. Tim Bray en a dressé une liste qu’il a d’ailleurs qualifiée de non exhaustive : génération automatique de mots de passe « forts », facilité de réutilisation des mots de passe générés, synchronisation entre différents appareils.
« Je n’ai que quatre mots de passe à retenir : ceux de mon ordinateur personnel et du bureau, celui de mon compte AWS et le mot de passe du gestionnaire. En passant, la mention de compte AWS dans la liste est un accident. Je n’ai en réalité que trois mots de passe à retenir », rigole Tim qui semble avoir un penchant pour les applications indépendantes de gestion de mots de passe au détriment de celles intégrées à des pages Web.
« Je – comme toute personne avertie en matière de cybersécurité – ne ferai pas usage d’un outil qui met mes mots de passe et mes données entre les mains d’une tierce personne (qui n’est pas moi) », a déclaré Tim, soulignant ainsi le fait que la sécurité d’un gestionnaire de mots de passe en version Web est plus aisée à casser que celle d’une application indépendante. Il évoque particulièrement la possibilité d’exploiter des failles dans Javascript pour arriver à ces fins.
Si Tim Bray a décidé de comparer ces deux types de gestionnaires de mots de passe, ce n’est pas simplement sur un coup de tête ; la raison est plus profonde. Il est un utilisateur de 1Password, une application indépendante de gestion de mots de passe. Il a tenu à attirer l’attention sur le fait que la société AgileBits, qui édite cette application, est en train de convaincre les utilisateurs à passer à une version Web. Il n’est cependant pas question pour lui de céder la sécurité de ses données pour permettre à AgileBits de passer à une offre à laquelle il faut souscrire.
Tim Bray admet cependant que l’utilisation d’une application indépendante n’est cependant pas exempte de tout risque. Il évoque notamment la possibilité que l’entreprise qui édite un tel outil a d’y insérer une porte dérobée ou l’éventualité plus amusante que des « méchants » lui administrent un sédatif dans un café et en profitent pour installer un enregistreur de frappes sur son ordinateur.
Des éventualités qui, semble-t-il, ont une probabilité très mince de se produire selon lui. Il reconnait toutefois que son positionnement peut être sujet à des erreurs et laisse donc la possibilité à AgileBits d’expliquer en quoi le passage à la version Web n’a pas un impact négatif plus important sur la sécurité des données des utilisateurs.
Source : tbray.org
Et vous ?
Que pensez-vous du positionnement de Tim Bray ?
Voir aussi :
Répondre avec citation
Envoyé par xurei
Partager