J’ai essayé deux gestionnaires de mots de passe sans mots de passe et j’ai été sérieusement impressionné par l’un d’entre eux.

Les applications de gestion de mot de passe existent depuis des décennies. De nos jours, il existe des dizaines de candidats légitimes pour gérer vos informations d’identification en ligne, et tous commencent par la même architecture de base : vos noms d’utilisateur, mots de passe et autres secrets sont stockés dans une base de données (souvent appelée coffre-fort) protégée par un chiffrement fort. Pour déverrouiller ce coffre-fort, vous entrez un mot de passe principal. En fait, ce modèle est si répandu qu’il a inspiré les noms de certains des meilleurs produits de la catégorie. Il y a 1Password, par exemple, qui promet que vous ne devrez vous souvenir que d’un seul mot de passe au lieu de dizaines ou de centaines. LastPass prétend que votre mot de passe principal sera « le dernier mot de passe dont vous aurez jamais besoin ». Aussi : Pourquoi vous pouvez toujours faire confiance (aux autres) aux gestionnaires de mots de passe, même après le gâchis LastPass Les meilleurs produits de la catégorie offrent des options sans mot de passe en alternative à la saisie du mot de passe principal pour déverrouiller votre coffre-fort de mots de passe. En général, cela signifie utiliser des biométriques (reconnaissance faciale ou identification par empreinte digitale) ou une clé matérielle sur un appareil fiable. Mais dans tous ces cas, le mot de passe principal est toujours disponible en tant que méthode de déchiffrement de secours. Et c’est là que certains s’inquiètent de confier tous ces secrets à un gestionnaire de mots de passe. Si quelqu’un peut voler votre mot de passe principal, il peut prendre le contrôle de votre existence en ligne entière. Vous pouvez rendre la tâche de l’attaquant considérablement plus difficile avec l’authentification à plusieurs facteurs, mais c’est toujours un point faible, sur le plan de l’architecture.