J’utilise environ 200 identifiants sur le Net ! Comment me connecter à mes espaces personnels en ligne sans prise de tête ? La solution est une coffre-fort de mots de passe (ou assistant de connexion).
Indispensable coffre-fort
En effet, entre mes magasins, fournisseurs, webmails, réseaux sociaux, administrations, outils…, mon portefeuille d’identifiants contient plus de 200 éléments. Un élément est constitué d’une adresse internet (URL), d’un alias (surnom) et d’un mot de passe.
Le carnet de papier
Certaines personnes remplissent un carnet de papier, qu’elles compulsent pour chaque connexion. En général, les mots de passe sont les mêmes et très simples. Or, un mot de passe robuste doit être une longue combinaison entre majuscules, minuscules, chiffres et caractères spéciaux. En outre, il doit être spécifique pour chaque identifiant. Sans quoi, le risque de piratage est grand.
Et puis, le carnet n’est jamais assez en sécurité, à l’abri des regards indiscrets. Il est susceptible d’être facilement dérobé. Il ne dispense pas de taper au clavier nom et mot de passe dans le formulaire, avec le risque d’erreur de frappe. Très bof !
La méthode du carnet est inadaptée à mon usage.
Coffre-fort de mots de passe en ligne
Une solution très pratique est l’assistant de connexion, qui remplit automatiquement les champs des formulaires. Sitôt que l’URL (l’adresse du site visité) est reconnue dans le navigateur internet, l’assistant remplit le nom et le mot de passe là où il faut. C’est d’une facilité déconcertante.
Le principe général repose sur un mot de passe maître, que l’utilisateur doit choisir complexe et être capable de retenir. Le portefeuille d’identifiants est crypté. Une extension s’installe dans le navigateur internet pour le remplissage automatique des formulaires de connexion. La perte du mot de passe maître conduit à la perte du portefeuille. Il est possible de ranger ses identifiants en groupes.
De nombreux coffre-fort de mots de passe existent, dont deux principaux que j’ai testés : LastPass et Dashlane. 1Password est souvent aussi souvent évoqué, mais je ne le connais pas.
J’utilise depuis longtemps la version freemium (gratuite) de LastPass. Elle autorise une installation sur plusieurs machines à l’exception des terminaux mobiles (smartphone et tablette Android pour ma part). Mais mon besoin est surtout de me connecter à mes espaces personnels depuis mes PCs (desktop et laptop). La version Premium coûte 12$/an. Malheureusement LastPass a été acheté en octobre 2015 par LogMeIn, à la réputation douteuse. Il est probable que le modèle économique de Lastpass change bientôt et que ses utilisateurs fuient.
J’ai donc cherché un remplaçant et découvert Dashlane. L’ergonomie est très bonne, même si inférieure à celle de LastPass. Cependant, la version gratuite n’est utilisable que sur un unique appareil. Le prix de la version premium est trop important à mes yeux (40€/an). La dernière version de Dashlane Premium permet une synchronisation locale en WiFi sans passer par le Cloud.
Coffre-fort de mots de passe en local
L’outil plébiscité par les geeks est clairement Keepass (recommandé par la CNIL et certifié par l’ANSSI). Mon ami Frank m’en parle depuis longtemps. Il s’agit d’un outil gratuit open-source à l’excellente réputation. En revanche, son ergonomie est nettement moins bonne que celles de LastPass et Dashlane. Keepass en lui même se contente de gérer le coffre-fort crypté. Il est nécessaire de lui adjoindre un greffon compatible avec le navigateur internet. Pour Google Chrome, il s’agit de chromIPass. En une heure, j’ai trouvé les éléments à installer, configuré Keepass et importé mon portefeuille d’identifiants. Cependant, il faut entrer dans la technique pour réussir. Je ne reproduis pas ici le pas-à-pas, car de nombreux tutoriaux existent sur le Net.
Bilan
Le souci principal avec un coffre-fort de mots de passe est de remettre à un tiers des données personnelles ultras sensibles. Le premier critère de choix est donc la confiance en l’éditeur.
Il est assez facile de passer d’un outil à l’autre en reconstituant son portefeuille d’identifiants, via un export/import en CSV.
Bref, j’ai désactivé l’extension LastPass dans Google Chrome et j’expérimente à présent Keepass Professional Edition V2.30 portable.
| Comparatif | |
|
|
| Configuration | 😀 | 😀 | 🙁 |
| Ergonomie | 😀 | 😀 | 🙁 |
| Fonctionnalités Freemium | 😀 | 🙁 | 😀 |
| Coût Premium | 🙁 | 🙁 | 😀 |
| Indice de confiance | 🙁 | 😐 | 😀 |
| Total | 😐 | 🙁 | 😀 |
Bonjour,
Merci de partager cette analyse. Il existe une autre solution que vous n’avez pas intégrer dans votre benchmark, le navigateur permet de stocker les mdp. Pourquoi l’avez vous exclu ?
Cordialement
Bonjour Laurent, effectivement j’ai ignoré le stockage de mots de passe permis par les navigateurs. Pourtant j’utilise Google Chrome, qui intègre cette fonction. J’utilise la synchronisation des favoris, mais j’ai désactivé l’enregistrement des mots de passe. J’ai choisi Chrome pour la navigation avant tout. Je pense qu’un outil ne peut pas tout faire bien. Je préfère donc sélectionner un gestionnaire de mots de passe, à côté, reconnu pour son mécanisme de cryptage. En outre, j’estime que Google en sait assez à mon sujet. Je repartis mes œufs dans différents paniers. LastPass m’avait emballé pour son ergonomie. Je suis passé à KeePass, en privilégiant la sécurité et en sacrifiant le confort. Pour finir, il se trouve que les articles trouvés lors de mes recherches comparent les solutions dédiées sans jamais les confronter à la sauvegarde par les navigateurs. Il semble que ce ne soit pas la même aire de jeux…
Bonjour,
je viens d’installer last pass (versionfree) sur un ordi ; curieusement, le coffre fort est toujours ouvert et accessible sans le mot de passe maitre en cliquant sur l’icone de la barre des taches.
avez vous une explication?
Merci d’avance
Bonjour, je n’ai pas beaucoup expérimenté la toute nouvelle version V4 de Lastpass. En outre, je n’ai pas installé Lastpass desktop pour Windows, mais uniquement l’extension pour mon navigateur. Dans les paramètres de compte en V3, une case à cocher permet de retenir le mot de passe maître ou pas. Dans les paramètres de compte en V4, une section “Saisir à nouveau le Mot de Passe Maître” permet de choisir les modalités de ressaisie parmi 7 situations. Le principe est que sur un appareil nomade il est impératif de ressaisir le mot de passe maître à chaque allumage de la machine et de verrouiller sa session dès que l’on quitte le clavier.
En fait, je vous suggère de désinstaller le programme Windows ou iOS et d’ajouter uniquement l’extension pour navigateur. Vous aurez alors à décider s’il faut se souvenir ou pas du mot de passe. Il semble que le paramétrage de Lastpass diffère selon l’installation via desktop ou via le navigateur…