J’ai essayé deux gestionnaires de mots de passe sans mots de passe et j’ai été sérieusement impressionné par l’un d’entre eux.

Les applications de gestion de mot de passe existent depuis des décennies. De nos jours, il existe des dizaines de candidats légitimes pour gérer vos informations d’identification en ligne, et tous commencent par la même architecture de base : vos noms d’utilisateur, mots de passe et autres secrets sont stockés dans une base de données (souvent appelée coffre-fort) protégée par un chiffrement solide. Pour déverrouiller ce coffre-fort, vous entrez un mot de passe principal. En fait, ce modèle est si répandu qu’il a inspiré les noms de certains produits de pointe dans la catégorie. Il y a 1Password, par exemple, qui promet que vous n’aurez qu’un seul mot de passe à retenir au lieu de dizaines ou de centaines. LastPass prétend que votre mot de passe principal sera « le dernier mot de passe que vous aurez jamais besoin ». Aussi : Pourquoi vous pouvez toujours faire confiance (aux autres) aux gestionnaires de mots de passe, même après le gâchis LastPass Les meilleurs produits de la catégorie offrent des options sans mot de passe en alternative à la saisie de ce mot de passe principal pour déverrouiller votre coffre-fort de mots de passe. En général, cela signifie utiliser des biométriques (reconnaissance faciale ou ID d’empreinte digitale) ou une clé matérielle sur un appareil fiable. Mais dans tous ces cas, le mot de passe principal est toujours disponible en tant que méthode de déchiffrement de secours. Et c’est là que certains se sentent nerveux à l’idée de confier tous ces secrets à un gestionnaire de mots de passe. Si quelqu’un peut voler votre mot de passe principal, il peut prendre le contrôle de votre existence en ligne. Vous pouvez rendre le travail d’un attaquant considérablement plus difficile en utilisant une authentification à facteur multiple, mais c’est toujours un point faible, architecturalement parlant.