Le MFA éclipsera-t-il les gestionnaires de mots de passe ?

Journée mondiale mot de passe

Journée mondiale du mot de passe : quelle pertinence pour les gestionnaires face au développement de méthodes d’authentification alternatives ?

Le site officiel de la Journée mondiale du mot de passe reviendra-t-il un jour en ligne ? À l’heure actuelle, il redirige vers celui d’Intel. Le groupe américain fut l’instigateur de cet événement, organisé pour la première fois en 2013.

Ce site servit de vitrine jusqu’à l’édition 2018. Sur la page d’accueil, il n’était alors plus question que d’une technologie : l’authentification multifacteur (MFA). C’était déjà la même chose l’année précédente. Exit, notamment, les gestionnaires de mots de passe, qui avaient occupé une place importante sur la homepage jusqu’en 2016.

Le discours qu’Intel tient pour l’édition 2021 va dans le même sens. Pour lui, ajouter des couches de sécurité signifie mettre en place le MFA. Que ce soit avec des codes à usage unique, des applications d’authentification ou des clés FIDO.
Il n’en va pas de même chez tous les fournisseurs informatiques. Auth0, par exemple, considère que les gestionnaires constituent, avec des mots de passe forts et uniques, « la base essentielle pour se protéger des cybermenaces ».

Pour varier les mots de passe… et ne plus les oublier

Au-delà de les stocker, un gestionnaire peut aussi servir à créer ces mots de passe « forts et uniques ». Sur cet aspect, on notera quelques enseignements d’une étude que relaie Onfido, fournisseur britannique de solutions de vérification d’identité. Sur 1030 Français interrogés, ils sont 81 % à ne pas déclarer avoir créé un mot de passe différent pour chacun de leurs comptes en ligne. 33 % piochent en alternance dans une liste. 26 % ont un mot de passe principal qu’ils déclinent selon les exigences de chaque site.

Cette même étude illustre une tendance à prioriser la facilité de mémorisation plutôt que la sécurité. En tout cas sur certains services… dont ceux utilisés pour le travail.
On peut autre faire un lien avec autre étude, signée Nuance, et dans le cadre de laquelle 30 % des Français sondés ont admis oublier un mot de passe ou un code PIN au moins une fois par mois. En plus d’être 12 % à reconnaître utiliser le même mot de passe partout.

Dashlane aussi mentionne la question de l’oubli, dans le « prix du pire mot de passe » qu’il décerne à l’occasion de cette journée mondiale. L’éditeur américain, qui fait partie des principaux fournisseurs de gestionnaires, choisit d’évoquer le cas marquant de détenteurs de bitcoins qui ont perdu l’équivalent de dizaines, voire de centaines de millions d’euros.

Le complément MFA

Malgré sa position, Dashlane ne passe pas le MFA sous silence. Et recommande même de l’activer, sans émettre de préférence quand aux facteurs d’authentification. Il faut dire que son gestionnaire le prend en charge. On retrouve cette approche du côté d’Acronis : le MFA peut non seulement compléter un gestionnaire de mots de passe, mais aussi le protéger.

Le spécialiste de la sauvegarde coupe également la poire en deux sur le renouvellement des mots de passe. Il n’exclut pas la pratique, mais considère plus important d’examiner ses comptes en ligne et de supprimer ceux qu’on n’utilise plus.
Chez Newrix, l’opinion est plus tranchée : mettez régulièrement à jour vos mots de passe. Et servez-vous éventuellement d’un outil qui signale leur expiration. McAfee est sur la même longueur d’onde. Tout comme Veracode, qui propose une fenêtre de rotation tous les 60 ou 90 jours.
Zoho s’affiche à contre-courant. Contrairement à la croyance populaire, il n’y a plus besoin de réinitialiser régulièrement ses mots de passe, clame-t-il. Le faire en cas de compromission suffit. Sa référence : les recommandations du NCSC, équivalent britannique de notre ANSSI.

Pour tous les gestionnaires, et à plus forte raison ceux qui ne prennent pas en charge le MFA, se pose la question du mot de passe maître. Vu son caractère critique, Avast estime qu’il est possible de le mettre sur papier, si on le garde en lieu sûr. FormAssembly est plus modéré. Il souligne le risque de perte et appelle à ne pas conserver le papier près des machines sur lesquelles on a installé le gestionnaire. Attention aussi à protéger les adresses e-mail éventuellement associées au compte, car elles peuvent servir à réinitialiser le mot de passe maître.

Pour aller plus loin sur la sécurité des gestionnaires de mots de passe et du MFA :

Photo d’illustration © maxkabakov – Fotolia