PSA : Les gestionnaires de mots de passe sont probablement le moyen le plus sûr d’établir et de gérer des mots de passe sécurisés, mais ils ne sont pas à l’épreuve des balles. Un paramètre de sécurité en particulier est peut-être un peu trop laxiste dans certains gestionnaires, ce qui pourrait donner aux attaquants un moyen de saisir les mots de passe des utilisateurs dans certaines situations.

Si vous utilisez un gestionnaire de mots de passe, vous devez absolument vérifier le paramètre qui contrôle la rapidité avec laquelle il efface le texte copié du presse-papiers, car la saisie d’informations à partir de cet emplacement est une tactique courante des acteurs malveillants.

Certains gestionnaires de mots de passe comme Bitwarden et Keeper n’effacent jamais le presse-papiers avec leurs paramètres par défaut. Cela indique qu’une fois que vous avez utilisé un mot de passe avec l’un de ces gestionnaires, votre nom d’utilisateur et votre mot de passe restent indéfiniment dans le presse-papiers, accessibles à toute autre application de votre système. PCWorld écrit que l’utilisation de presse-papiers cloud pourrait permettre à d’autres applications d’accéder à ces informations même si les utilisateurs ne collent pas le texte.

Le paramètre permettant à votre gestionnaire de mots de passe d’effacer le presse-papiers après un certain temps se trouve sous Paramètres dans Keeper et NordPass et Paramètres > Options dans Bitwarden. Vous pouvez le trouver dans l’application de bureau, l’application mobile ou l’extension de navigateur de chaque gestionnaire. NordPass est par défaut de 30 secondes, et il serait prudent pour les autres développeurs de gestionnaires de mots de passe de modifier leurs valeurs par défaut pour quelque chose de similaire.

Deux gestionnaires de mots de passe ont subi des attaques au cours des derniers mois, dont LastPass, qui a été touché en décembre. La société a d’abord déclaré que les utilisateurs ordinaires n’étaient pas alarmés, mais plus tard ce mois-là, elle a révélé que les attaquants avaient accédé à des noms d’utilisateur et à des mots de passe cryptés. Il faudrait un hacker déterminé pour déchiffrer les mots de passe, mais ce n’est pas impossible. Les utilisateurs de LastPass devraient au moins changer leurs mots de passe et éventuellement envisager un autre gestionnaire de mots de passe.

Plus tôt ce mois-ci, Norton Password Manager a résisté à une attaque moins grave mais toujours préoccupante. Quelqu’un a utilisé une attaque de bourrage d’informations d’identification pour effectuer des tentatives de connexion en masse à l’aide d’une collection de noms d’utilisateur et de mots de passe volés lors d’autres violations de données. Contrairement à l’incident de LastPass, personne n’a violé les systèmes internes de l’opérateur Gen Digital (anciennement Symantec et NorthLifeLock), et toute personne qui utilise l’authentification à deux facteurs devrait être en sécurité.

Lorsque vous modifiez le paramètre du presse-papiers de votre gestionnaire de mots de passe, il est également bon de faire le tour des autres paramètres de sécurité. Ils permettent aux utilisateurs de contrôler des éléments tels que les méthodes de connexion, la fréquence à laquelle le gestionnaire se verrouille, la manière dont il gère les clés d’authentification et d’autres fonctionnalités importantes.