Pourquoi un code PIN local d’appareil est-il préférable à un mot de passe Maître ?
Les mots de passe complexes sont-ils la seule solution ?
On nous dit souvent qu'un mot de passe complexe et unique est supérieur à un mot de passe simple. Cependant, la complexité du mot de passe n'est qu'un moyen parmi d'autres d'envisager la sécurité. Il existe d'autres méthodes, comme le déverrouillage biométrique et le code PIN de l'appareil, qui sont également sûres. Mais lorsque votre ordinateur portable ou votre téléphone portable n'est pas compatible avec une méthode de déverrouillage biométrique, un code PIN à six chiffres peut-il remplacer efficacement un mot de passe complexe et unique ?
Voyons ce que fait réellement le mot de passe. Les sites Web utilisent généralement les mots de passe pour authentifier les utilisateurs, alors que les gestionnaires de mots de passe les utilisent pour bien d'autres choses :
- Les sites Web ont simplement besoin de confirmer qu'un utilisateur est bien celui qu'il prétend être, et le mot de passe est un des moyens d'y parvenir. Le mot de passe n'est pas le seul moyen d'accéder au compte de l'utilisateur, puisque la fonctionnalité « mot de passe oublié » permet de réinitialiser le mot de passe à l'aide d'un lien magique envoyé par e-mail.
- Pour les gestionnaires de mots de passe, un « mot de passe Maître » fait plus que le mot de passe lambda d'un site Web. Les gestionnaires de mots de passe ont besoin d'une clé pour accéder au coffre-fort, et le mot de passe Maître correspond en substance à cette clé qui permet de chiffrer et de déchiffrer les données du coffre-fort. Sans lui, les données chiffrées sont inaccessibles.
Introduisons l'expression « données de compte utiles », en relation avec les mots de passe. Il s'agit des données qui font que votre compte en ligne a de la valeur pour vous. Dans le cas d'un réseau social, ces données utiles sont vos connexions, les messages et les photos que vous avez importés, etc. Autre exemple : le site Web d'un club de lecture, où vous pouvez répertorier les livres que vous lisez, et laisser ou lire des avis. La création d'un compte vous permet de créer des « données de compte utiles ». Dans ces cas d'utilisation, votre mot de passe agit comme une clé permettant d'accéder aux informations de votre compte. Bien que le mot de passe n'ait pas de lien direct avec vos « données de compte utiles », c'est lui qui déverrouille votre compte et vous permet d'y accéder. Si vous oubliez votre mot de passe, il existe généralement des méthodes pour le récupérer, comme le flux de récupération « mot de passe oublié » mentionné plus haut. Le plus important est que vous ne perdez pas les données de votre compte.
Les gestionnaires de mots de passe fonctionnent différemment des comptes en ligne classiques. Les « données de compte utiles » d'un gestionnaire de mots de passe sont toutes les informations confidentielles qu'il protège, telles que vos identifiants de connexion à d'autres sites Web. Ces informations sont chiffrées à l'aide d'une clé, qui est généralement directement liée à votre mot de passe Maître. Si vous oubliez votre mot de passe Maître, vous perdez généralement l'accès à vos « données de compte utiles », car il n'y a pas d'autre moyen de les déchiffrer. Le mot de passe principal déverrouille et fait apparaître les données réelles (vos différents mots de passe) stockées dans le gestionnaire de mots de passe. Si vous perdez votre mot de passe Maître, vous perdez l'accès à toutes les données qu'il protège, à moins que vous ne disposiez d'une méthode de secours (telle qu'une clé de récupération de compte).
Sécurité et commodité avec un code PIN local d'appareil
Lorsque vous utilisez un « mot de passe Maître » pour déverrouiller Dashlane sur votre appareil, ce mot de passe déchiffre en fait vos données. Toute personne qui vole vos données a besoin de votre mot de passe Maître pour déchiffrer vos données.
Lorsque vous utilisez un code PIN pour déverrouiller Dashlane, il ne participe pas directement au déchiffrage des données de votre coffre-fort. Ce qu'il fait, c'est déverrouiller une clé cryptographique forte et unique pour déchiffrer votre coffre-fort. De plus, le code PIN est lié à l'appareil local que vous utilisez et doit être configuré sur cet appareil. La saisie du code PIN sur cet appareil implique des données supplémentaires, invisibles pour l'utilisateur, qui sont propres à cet appareil afin de déverrouiller la clé cryptographique qui déchiffre votre coffre-fort.
Authentication Method | Does it decrypt your data? | What does it do? | What if someone else knows it? |
PIN | No | It protects a local secret that can decrypt your data. | Un tiers ne peut rien faire avec votre code PIN à moins qu'il ne possède également l'appareil qui utilise ce code PIN. |
Master Password | Yes | It directly protects your data. | They can't do anything with your master password unless they also have your data. |
Que se passe-t-il si quelqu'un détient mon ordinateur portable ? Peut-il en trouver le code PIN local par force brute ?
Le parallèle avec un cadenas à combinaison pour bagage est que vous avez besoin du bagage pour tester la combinaison. Alors que n'importe qui peut essayer des centaines de combinaisons sur vos bagages et finir par trouver la bonne, il n'en va pas de même pour le code PIN local d'appareil de Dashlane.
Dashlane a introduit un code PIN local sur le Web parce qu'il n'y a pas de moyen simple de s'authentifier dans un produit qui chiffre les données sans un mot de passe Maître complexe. Un code PIN local est une bonne solution car il permet à l'utilisateur de s'appuyer sur un secret facile à retenir (quelque chose qu'il connaît) et de l'associer à son appareil (quelque chose qu'il possède). De plus, il y a une limite du nombre de tentatives qui empêche quelqu'un qui possède votre appareil d'essayer des milliers de combinaisons, ce qui met fin au parallèle avec votre cadenas à combinaison de bagage, car il ne comporte pas de mécanisme de ce type.
Disparition des mots de passe et des mots de passe Maîtres chez Dashlane
Dashlane est à la pointe des technologies sans mot de passe. Les clés d'identification contribuent à la suppression des mots de passe pour les sites Web, et Dashlane les gère sur toutes les plates-formes. Avec des fonctionnalités telles que le code PIN local d'appareil, Dashlane favorise également la disparition du mot de passe Maître, permettant aux utilisateurs d'accéder à leur compte facilement et en toute sécurité sans les contraintes et les inconvénients liés à l'utilisation d'un mot de passe.
Inscrivez-vous pour connaître toute l'actualité de Dashlane