En cherchant un livre sur la sécurité des mots de passe sur une célèbre plateforme, quelle ne fut pas ma surprise de découvrir des dizaines et dizaines de références de « carnets de mots de passe ». Des petits carnets d’une centaine de page, avec parfois index alphabétiques, et des noms plus ou moins évocateurs « Merde c’est quoi mon mot de passe » ou encore « Je garde ton mot de passe secret », « l’oubli est un signe de géni », avec des illustrations type cadenas, coffre-fort ou encore poisson rouge…
Il est vrai qu’à force de rabâcher aux utilisateurs que l’on doit avoir un mot de passe différent partout, et compte tenu de l’accroissement du nombre de services en ligne pour tout gérer dans notre vie quotidienne, le simple post-it sur l’écran ne suffit plus.
D’ailleurs mes parents utilisent depuis bien longtemps un cahier pour noter leurs mots de passe (ils ont aussi un carnet d’adresse régulièrement remis à jour, et surement un petit carnet avec toutes les dates d’anniversaires) …
Mais alors, doit-on adopter cette pratique et commander notre petit carnet (et en fournir à tous nos collaborateurs) ?
Le carnet de mot de passe est-il l’outil indispensable de l’onboarding de nouveau collaborateur ?
Le carnet de mot de passe serait-il le futur cadeau marketing à offrir à nos clients ?
Alors sans surprise, ceci est une pratique à éviter, encore plus dans un cadre de professionnel …
C’est pratique, joli peut être, et vous pensez que c’est sécurisé puisque vous êtes le seul à l’avoir avec vous et à y accéder…
Et maintenant avec l’authentification forte sur les sites, on est sécurisés ?
Oui mais …
- Le carnet peut être perdu ou pire volé, rendant accessible tous vos mots de passe à des tiers, plus ou moins bien intentionnés.
- Maintenir à jour des différents mots de passe n’est pas aisé
- Il peut y avoir des erreurs entre caractères spéciaux, majuscule et minuscules
- Pas toujours facile de retrouver le mot de passe dans un carnet de 100 pages, « alors SFR je l’ai mis à s, t pour téléphone, m pour mobile, c’est internet ou mon portable ??? »
- Et quand vous devez partager un mot de passe à quelqu’un, vous lui donnez tout votre carnet ?
- Et si vous renversez votre café sur le carnet ?
- Et si vous avez besoin d’un mot de passe alors que vous êtes parti en weekend sans votre carnet ?
Si l’on reprend les principes fondamentaux de la sécurité informatique, on se rend compte que la plupart d’entre eux ne sont pas respectés, par exemple :
- Confidentialité : n’importe quelle personne ouvrant le carnet à accès à toutes ses données
- Intégrité : un acte accidentel ou malveillant pourrait détruire les données sur le carnet
- Disponibilité : est-ce que l’on a son carnet toujours dans la poche ?
- Authenticité : comment contrôler qui accède au carnet ?
Cette pratique, tout comme celle des post-it est donc complètement à proscrire en entreprise, comme à titre personnel, tant les risques inhérents sont nombreux et ce n’est pas aussi pratique qu’on le pense.
La meilleure solution reste d’utiliser un gestionnaire de mots de passe pour stocker ses mots de passes, les avantages étant nombreux :
- Possibilité de stocker le lien du service associé
- Pas de risque d’erreur en recopiant son mot de passe
- Intégration avec les navigateurs
- Génération de mots de passes sécurisés
- Sauvegarde possible
- Sécurisation de l’accès aux mots de passe
- Partage facilité le cas échéant
Vous pouvez retrouver mon article sur les gestionnaires de mots de passe et tous leurs avantages pour en savoir plus.
En résumé :
- Les carnets de mot de passe sont aussi dangereux que les post-it
- La meilleure solution reste un gestionnaire de mot de passe logiciel