Clé à emporter
- Google a mis à jour le gestionnaire de mots de passe intégré à son navigateur Web Chrome et à son système d'exploitation Android.
- La société affirme que les nouvelles fonctionnalités la rapprochent des gestionnaires de mots de passe tiers.
- Les experts en sécurité mettent toutefois en garde contre le stockage des informations d'identification dans un navigateur Web.
Comme c'est souvent le cas avec la technologie, la commodité se fait au détriment de la sécurité.
Google a ajouté des fonctionnalités utiles au gestionnaire de mots de passe intégré dans Chrome et Android qui en font une véritable alternative aux gestionnaires de mots de passe dédiés. Cependant, cela ne suffit pas à convaincre les experts en sécurité de faire confiance aux navigateurs pour stocker les mots de passe.
"Je ne suis pas fan du stockage des mots de passe dans n'importe quel navigateur Web", a déclaré Chris Hauk, champion de la confidentialité des consommateurs chez Pixel Privacy, à Lifewire par e-mail. "Cependant, cela est particulièrement vrai pour un navigateur comme Chrome, qui a subi de nombreuses failles de sécurité et de confidentialité dans le passé."
Mauvais outil pour le travail
Dans un échange d'e-mails avec Lifewire, Dahvid Schloss, Managing Lead, Offensive Security, chez Echelon Risk + Cyber, a déclaré que le déploiement du gestionnaire de mots de passe Google semble créer une très belle application facile à utiliser à partager entre les appareils d'un utilisateur. "Mais en fin de compte, l'application est aussi sécurisée que son appareil le moins sécurisé qui l'utilise."
Stephanie Benoit-Kurtz, professeur principal du Collège des systèmes et technologies de l'information de l'Université de Phoenix, est d'accord. Dans un e-mail, elle a déclaré à Lifewire que bien que les navigateurs aient parcouru un long chemin pour offrir aux utilisateurs une expérience simplifiée lors du stockage des identifiants et des mots de passe sur les sites Web, les utiliser pour stocker les mots de passe est une pente glissante.
Benoit-Kurtz a spécifiquement souligné deux problèmes liés au stockage des mots de passe dans les navigateurs. Le premier est le cryptage, car les navigateurs Web dépendent de la configuration de l'appareil pour les paramètres de cryptage. Elle a déclaré que les utilisateurs généraux n'apprécient pas pleinement l'importance du chiffrement dans la protection de leurs appareils.
"Le deuxième défi est que si un appareil avec les paramètres de votre navigateur est volé ou tombe entre les mains de quelqu'un d'autre suite à un piratage, le mauvais acteur peut avoir accès à toutes les données de connexion et de mot de passe des systèmes", a déclaré Benoit-Kurtz.
Elle a également reconnu que bien que les navigateurs aient parcouru un long chemin en matière de sécurité, les utilisateurs doivent toujours suivre tous les correctifs et la maintenance nécessaire pour assurer leur sécurité. Même dans ce cas, il existe des menaces du jour zéro qui peuvent rendre vulnérables même les navigateurs entièrement mis à jour.
Schloss a reconnu que bien qu'il n'ait pas encore modifié le gestionnaire de mots de passe mis à jour de Chrome, il ne semble pas être un module complémentaire à Chrome.
"Cela signifie qu'il est très possible que cela ne résolve pas le problème de stockage de texte brut qui a été et est abusé par les acteurs de la menace", a expliqué Schloss, "conduisant à la violation de tous vos mots de passe si un l'acteur de la menace était déjà sur votre appareil."
… l'application est seulement aussi sécurisée que son appareil le moins sécurisé qui l'utilise.
Faire appel à un spécialiste
Au lieu d'utiliser des navigateurs pour stocker les informations d'identification, nos experts recommandent d'utiliser des outils spécialisés créés explicitement pour stocker les mots de passe.
"Pour une option plus sécurisée, évaluez des technologies plus avancées telles que les coffres-forts de mots de passe pour sécuriser les identifiants et les mots de passe", a suggéré Benoit-Kurtz. "Ces outils sont généralement vendus sous forme d'abonnement et fournissent un chiffrement, une authentification multifacteur (MFA) et d'autres technologies nécessaires pour protéger les identifiants et les mots de passe."
Hauk s'appuie sur le gestionnaire de mots de passe 1Password, qui, selon lui, fonctionne sur la plupart des plates-formes et applications populaires et stocke en toute sécurité les informations d'identification dans une base de données bien cryptée.
"Les gestionnaires de mots de passe vous permettent de créer des mots de passe forts et complexes sans avoir la mémoire d'un éléphant", a déclaré Schloss, "et la plupart d'entre eux fournissent un certain niveau de surveillance des violations pour vous informer lorsque vous devez modifier un site. mot de passe."
Schloss utilise Keeper et Last Pass pour ses appareils personnels et professionnels, mais suggère que même s'ils ont tous deux leurs avantages, la plupart des gens n'ont pas besoin d'utiliser deux gestionnaires de mots de passe.
Il a fait valoir que la plupart des plus populaires ont une prise en charge multi-appareils qui les rend pratiques à utiliser. Alors que beaucoup stockent vos informations d'identification sur un serveur tiers, les données sont cryptées de bout en bout, ce qui signifie que vos mots de passe sont en sécurité même si des pirates piratent les serveurs de votre gestionnaire de mots de passe.
"Cela étant dit, n'importe quel gestionnaire de mots de passe vaut mieux que pas de gestionnaire de mots de passe", a conseillé Schloss. Il a souligné que la réutilisation des mots de passe est beaucoup plus dangereuse et une pratique terrible à prendre en compte.
"Par exemple, en cas de piratage d'un site et d'accès des pirates à votre mot de passe, ils pourraient utiliser ce même mot de passe pour accéder à vos autres comptes", a averti Schloss. "Vous leur avez donné les clés de votre château à ce moment-là."
