Accueil
Cybersécurité
Cybersécurité
··17 Commentaires

Journée mondiale du mot de passe

Cette année, la journée mondiale du mot de passe est tombée le 1er mai. Pas de bol, je n’avais pas préparé d’article pour ce jour, donc il parait aujourd’hui. Mieux vaut tard que jamais, diront certains. J’ai décidé de partager mon expérience, donc n’hésitez pas à en faire de même en commentaire.

mot de passe

Bonnes pratiques pour ses mots de passe

Comme c’est la journée mondiale du mot de passe, il est important de rappeler quelques règles essentielles pour protéger vos comptes en ligne :

  • Créez des mots de passe forts de 12 caractères minimum, en mélangeant lettres majuscules et minuscules, chiffres et symboles. Plus c’est complexe, mieux c’est !
  • Ne jamais réutiliser les mots de passe sur plusieurs sites. Je sais, c’est plus facile à dire qu’à faire, surtout si l’on doit tout retenir de tête.
  • Utilisez un gestionnaire de mots de passe (gratuit ou payant, il en existe beaucoup) pour stocker et générer des mots de passe uniques.
  • Ajoutez l’authentification multifactorielle (MFA) lorsque c’est possible. Cela ajoute une couche de sécurité supplémentaire, même si votre mot de passe est compromis.

Mon expérience : gestionnaires de mots de passe

Au fil des années, j’ai utilisé plusieurs outils pour gérer mes mots de passe. Parmi les derniers, je peux citer KeePass, LastPass (que je déconseille pour diverses raisons de sécurité) et surtout Bitwarden. Ce dernier reste mon favori : il est sécurisé, multiplateforme, très complet, gratuit dans sa version de base, rapide et peut même être auto-hébergé sur un NAS. Pour ma part, j’ai environ 400 mots de passe enregistrés (impossible de tous les retenir). Du coup, j’ai un identifiant et un mot de passe fort uniquement pour accéder à mon coffre-fort Bitwarden.

Personnellement, j’utilise Bitwarden sur mon NAS depuis plusieurs années grâce à Docker (Vaultwarden). Cela signifie que mon coffre-fort de mots de passe est hébergé uniquement chez moi, ce qui me rassure côté confidentialité et sécurité.

Pour le quotidien, j’utilise l’extension Bitwarden dans mon navigateur préféré (Firefox) ainsi que l’application officielle sur mon téléphone. Cela me permet d’accéder à mes mots de passe où que je sois, sans sacrifier la sécurité.

Quelques mots de passe « hors ligne »

Cependant, je ne mets pas tous mes mots de passe dans Bitwarden. Oui, je l’avoue, je suis un peu parano sur les bords. Certains mots de passe ultra-sensibles, comme ceux de ma banque en ligne, l’accès à mes PC à la maison et au travail, ou encore celui de mon NAS, ne sont stockés nulle part (sauf dans ma tête, tant qu’elle fonctionne). C’est une précaution supplémentaire, même si cela demande un effort de mémoire.

Et vous, quelles sont vos habitudes pour gérer vos mots de passe ? Utilisez-vous un gestionnaire ? Si oui, lequel ? N’hésite pas à laisser un commentaire 😉

Étiquettes
BitwardenKeepassmot de passe
Fx
Passionné de nouvelles technologies, je suis un touche-à-tout. Mon smartphone ne me quitte (presque) jamais. Je peux vous parler des NAS pendant des heures.
Similaire
best nas 2025 - Quelle alternative au NAS Synology DS925+...
Précédent Quelle alternative au NAS Synology DS925+…
UGreen DXP4800 Plus - Avis - UGREEN DXP4800 Plus : une alternative aux NAS classiques ?
Suivant Avis – UGREEN DXP4800 Plus : une alternative aux NAS classiques ?

17 Commentaires

  1. Il y a la solution passbolt également qui est opensource et installable en on promise 🙂

    Répondre

  2. Bonjour,

    J’utilise Keepass depuis une quinzaine d’année.

    J’avais le fichier sur mon NAS lorsqu’il était accessible de l’extérieur, mais il y a quelques années lorsque Synology a eut des soucis de sécurité j’ai enlevé l’accès, donc maintenant je l’ai qu’en local et de temps en temps je place une copie du fichier sur mon smartphone.

    Contrairement à toi je ne suis pas parano, donc j’ai tous mes MDP dedans.

    Et une copie du fichier est chez ma fille, qui possède aussi la « clé » pour déchiffrer mon MDP, pour avoir accès à toutes les infos administratives lorsque je ne serais plus de ce monde (et oui ça se prépare aussi et si je peux simplifier la tâche à mes enfants ce n’est pas plus mal).

    Répondre

  3. Pour ma part j’utilise Waultwarden qui est une évolution de Bitwarden moins exigeante en ressources. Et puis ça sert à quoi qu’un administrateur du Forum des Nas rédige un excellent tutoriel sur cette application si le boss n’en profite pas ?

    Répondre

  4. Bonjour,
    Comme toi, usage de différentes applications dont Keepass, puis et c’est génial Vaultwarden + app Bitwarden sur NAS. Chaque membre de ma famille a un coffre à lui. Problème : lors d’un déménagement lorsque le serveur est débranché. C’est touchy. Sauvegarde des applications Docker tous les jours… Pas assez de mémoire pour garder mon pass de banque ou autre en tête.

    Répondre

  5. Pour ma part KeepassXC qui est une version modernisée et plus complète de Keepass, open source et gratuite.
    Bonne ergnonomie, intégration aux navigateur et appli mobile KeepassDX pour de la saisie automatique un peu partout.

    Aujourd’hui une base de mot de passe sur le synology, synchronisée sur mes différents PC et téléphone grace à synology drive et à terme c’est syncthing qui fera le boulot de syncro quand j’aurai quitté Synology.

    Répondre

  6. Bonjour,
    A noter que si vous avez une instance Nextcloud, il est possible d’y ajouter une extension gérant les fichiers au format keepass.

    Répondre

  7. Moi ça fait longtemps que j’ai adopté vaultwarden hébergé sur mon NAS. J’en fais profiter toute la famille. Et au cas où je fais des sauvegardes sur un raspberry..

    Répondre

  8. Comme d’autres, un petit Vaultwarden sur le NAS.
    Bien entendu le backup régulier qui va bien + whitelist d’IPs au niveau reverse proxy, histoire de dormir l’esprit tranquille !

    Répondre

  9. Keepass et Lockpass sont les 2 seules solutions certifiées par l’ANSSI en France. Un sondage de 2023 dans une communauté Synology sur les gestionnaires de mot de passe avait donné sur 206 réponses, 37.9% pour Bitwarden, 24.3% Keepass, 14.1% Vaultwarden, Dashlane 4.4%, C2Password 3.4%, 1Password 3.4%, tous les autres étant entre 0.5 et 2.9% (Enpass, Nordpass, Lastpass, Proton pass, Safeincloud, Syspass, Password Safe, Lockwise, Splasid).
    Il existe aussi Locknest qui est un gestionnaire de mots de passe hébergé sur une clé usb sécurisée.

    Répondre

  10. La clé YubiKey
    La clé de sécurité n°1 du marché, permettant une authentification forte à deux facteurs, multi-facteurs et sans mot de passe.

    https://www.yubico.com/la-cle-yubikey/?lang=fr...

    Fort implanté dans les entreprises où la sécurité est importante

    Il s’agit d’un appareil hors ligne qui ne nécessite pas de connexion à Internet ou à un réseau mobile. La facilité d’authentification sans avoir à révéler ou à saisir un mot de passe à usage unique garantit que les comptes d’utilisateurs sont plus résistants aux attaques par phishing.

    On définit un code PIN FIDO2 avant de commencer à l’utiliser (sécurité en plus).

    C’est vraiment superbe, le seul défaut pour un particulier c’est le prix d e la clé.
    Idéalement il faut 3 clés
    une qui est toujours sur vous.
    une qui est cachée quelque part à la maison ou dans un coffre protégé contre l’incendie à la maison.
    une dans un coffre de l’entreprise ou un coffre à la banque.

    Mais c’est un rêve à l’utilisation

    Répondre

    1. Pour ma part, je préfère les clés FIDO 2 de Neowave qui sont 100% françaises. Les clés Yubikey sont assez courantes mais elles ont des failles de sécurité connues.
      Les clés FIDO 2 ne remplacent pas un gestionnaire de mots de passe, elles servent en double authentification.

      Répondre

      1. Bonjour,
        Yubico corrige aussi les failles et Microsoft, Google, Facebook, Amazon,… utilisent ces clés.
        Je suppose qu’ils ont testé et comparé avec NeoWave.
        J’utilise Authy qui est gratuit et permet de combiner le 2FA
        (défaut c’est qu’il faut créer un compte lié à un n° de téléphone mais c’est aussi logique d’un point de vue sécurité indépendant)

        Même si j’aime pas Kaspersky (méfiance des app Russes & Chinoises)

        https://www.kaspersky.fr/blog/best-authenticator-a....

        Répondre

        1. « Twilio Authy » plus jamais.
          J’ai changé de téléphone et totalement impossible de rendre fonctionnelle cette app sur mon nouveau téléphone (du S22 au S24), j’avais pourtant fait les fameux backups dans l’application avant.
          Après des recherches j’ai vu que je n’étais pas du tout le seul avec ce même problème (même message d’erreur), j’ai finalement suivi la procédure radicale indiquée pour ce type de problème, mais toujours impossible de le résoudre. Le seul résultat est que j’avais au final cette app inutilisable sur mon ancien téléphone et impossible à la configurer sur mon nouveau, bingo.

          Par chance, avant de changer mon téléphone j’avais mis mes TOTP dans KeepasssXC (j’étais depuis 20 ans dans « keepass » avant), une double chance d’avoir fait ces deux changements avant, je n’ai donc rien perdu.

          Maintenant, suis avec KeepassXC sur mon ordi, KeepassDX + 2FAS Auth (au cas où) sur mon téléphone Android.

          Ce n’est que mon expérience inattendue et malheureuse avec « Twilio Authy »

          Répondre

  11. j’utilise un peu de tout (bitwarden, merci cachem, forum des nas, et FX pour le / les tutos docker) pour les mots de passes un peu touchy c’est du keepass en local
    (le tout backupé sur mon nas (dans un repertoire utilisé avec uniquement un compte spécifique, histoire de pas me le faire pourrir via le smb,
    le tout est repliqué sur un cloud publique mais de maniere chiffré avec les techno syno)
    Apres j’utilise aussi du ms authenticator (pour le mfa) et certains mot de passe stocké sur firefox (et pc chiffré avec bitlocker)

    Répondre

  12. Je dois peut-être vivre dangereusement, j’utilise Bitwarden avec leurs abonnement pour 2 ans et leurs partage et stockage crypté de fichiers.
    Et une petite sauvegarde du fichier crypté sur mon Nas au cas où si leurs serveurs plante un jour

    Répondre

  13. Bonjour,
    J’utilise Dashlane, il y a t’il un problème connu avec ce gestionnaire de mots de passe ?
    Belle journée à toutes et tous !

    Répondre

  14. Bonjour
    j’utilise vaultwarden hébergé sur mon NAS, installé avec l’aide du forum Cachem :-).

    J’envisage éventuellement de m’équiper de clés physiques, pour l’instant j’utilise Authy pour la double authentification.

    Répondre

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.