Le nouveau gestionnaire de mots de passe de Google Chrome rend la sécurisation de Chrome encore plus importante
Si vous êtes une personne qui n’a pas pris la peine d’un gestionnaire de mots de passe — bien que vous devriez probablement — vous serez peut-être ravi d’apprendre que la mise à jour de Google Chrome 69 inclut une meilleure gestion des mots de passe, et même un générateur de mots de passe. Attention, cependant: Cette nouvelle fonctionnalité rend encore plus important de verrouiller Chrome lui-même.
Google propose un gestionnaire de mots de passe intégré depuis environ 2015, date à laquelle il a commencé à proposer de stocker les mots de passe dans le navigateur dans le cadre de sa fonction de verrouillage intelligent. (Chrome avait stocké des mots de passe avant même cela, bien que la façon dont il l’avait fait ait été considérée par certains comme vraiment peu sûre.)
Maintenant, cependant, Google va plus loin. Il propose de créer un mot de passe aléatoire la première fois que vous vous connectez à un nouveau site, comme ceci:
Chrome propose ensuite de stocker ce mot de passe dans le navigateur. La prochaine fois que vous vous connecterez au site (si vous l’autorisez), Google utilisera ce mot de passe aléatoire stocké pour se connecter.
Naturellement, cela rend extrêmement facile pour les utilisateurs de Chrome de générer des mots de passe “sécurisés” pour chaque nouveau site, car le mot de passe créé par Chrome n’est essentiellement qu’un méli-mélo de chiffres et de lettres. (Il n’est pas clair si Chrome générera automatiquement des mots de passe conformes aux règles d’un site — pensez aux règles “XX caractères minimum, un chiffre, un caractère spécial” que vous trouverez sur certains sites — bien que les mots de passe que j’ai générés sur un site de test soient conformes.)
Assurez-vous que Chrome n’est pas le maillon faible
Plus vous stockez de clés dans la boîte de verrouillage de Chrome, plus vous voudrez vous assurer que Chrome lui-même est totalement sécurisé. Tout d’abord, sachez que si vous stockez un mot de passe aléatoire pour un site comme Netflix dans Chrome, vous devrez toujours saisir ce mot de passe si vous accédez à Netflix dans une application ou sur un appareil de diffusion en continu qui n’utilise pas Chrome comme interface. Heureusement, tous vos mots de passe devraient toujours être accessibles via passwords.google.com , où vous pouvez rechercher le nom du site et révéler chaque mot de passe individuel, puis le saisir.
Faites-le, cependant, et vous serez probablement étonné du nombre de mots de passe que vous avez stockés dans Chrome pour des raisons de commodité. (Pensez à en éliminer certains.) Pour y accéder, vous devez d’abord saisir le mot de passe de votre compte Google.
C’est ce mot de passe maître que vous devrez absolument sécuriser. Assurez-vous qu’il est unique. Si vous choisissez simplement de le mémoriser, assurez-vous qu’il s’agit d’une longue phrase secrète avec suffisamment de randomisation à l’intérieur pour tromper les robots et les espions. (Quelque chose comme “HowN0w, Browncat?heure numérique!” est à la fois mémorable et complexe.) N’enregistrez jamais ce mot de passe dans une feuille de calcul, une note autocollante ou un e-mail enregistré.
Le passwords.google.com le site demande votre mot de passe Google avant de divulguer la liste principale. Sachez que si vous utilisez plusieurs navigateurs, votre mot de passe peut être stocké comme les autres. Dans le navigateur Microsoft Edge de Windows, par exemple, le gestionnaire de mots de passe Edge ne révèle aucun des mots de passe stockés — mais si vous avez négligemment autorisé Edge à stocker votre mot de passe Google dans sa liste principale, un attaquant pourrait se connecter à la liste principale des mots de passe de Google en un seul clic, et sans connaître aucun de vos mots de passe soigneusement mémorisés. En quelques secondes, l’attaquant pourrait révéler votre mot de passe bancaire, puis fermer l’onglet et vous ne seriez pas plus sage.
( Accédez à Paramètres d’Edge > Paramètres avancés > Gérer les mots de passe, puis cliquez avec le bouton droit sur un site donné et cliquez sur supprimer les informations d’identification pour effacer ces mots de passe stockés. Vous pouvez également vous assurer que votre PC se verrouille automatiquement si un téléphone synchronisé est hors de portée via une fonctionnalité Windows appelée Verrouillage dynamique : Accédez à Paramètres > Options de connexion > Verrouillage dynamique.)
La commodité peut affaiblir l’authentification à deux facteurs
Vous avez probablement entendu parler de l’authentification à deux facteurs – combinant quelque chose que vous connaissez, comme un mot de passe, avec quelque chose que vous possédez, comme un téléphone. L’authentification à deux facteurs devrait déjà être activée pour votre compte Google, donc lorsque vous vous connectez à Google sur un nouveau PC, il vous sera demandé votre mot de passe, puis un code sera envoyé à votre téléphone via l’application Google Authenticator.
Au fil du temps, cependant, vous pourriez être tenté d’autoriser Google à “faire confiance à cet ordinateur” ou à supposer que c’est vous qui saisissez votre mot de passe. Pendant que vous gagnez du temps, vous vous privez également de certaines des offres d’authentification à deux facteurs de sécurité.
Ne t’inquiète pas, cependant. À l’intérieur myaccount.google.com , il existe des contrôles pour s’assurer que la vérification à deux facteurs est activée, ainsi qu’un contrôle pour révoquer l’état de confiance de vos appareils connectés. Vous ne pourrez pas choisir — le contrôle révoque le statut de tous vos appareils de confiance. Mais à mesure que Chrome s’enracine de plus en plus dans la sécurisation de l’accès à vos données, l’idée est que vous y placez plus de garanties.
Si l’authentification à deux clés ne suffit toujours pas, des couches de sécurité supplémentaires telles que le dongle matériel YubiKey existent depuis une demi-décennie environ. Beaucoup d’entre vous opteront cependant pour la commodité de tout laisser dans Chrome.
Chrome 69 inclut également des fonctionnalités telles qu’une interface utilisateur retravaillée et une boîte de recherche “omnibox” qui commencera à renvoyer des résultats ainsi que des requêtes de recherche suggérées automatiquement. Mais le gestionnaire de mots de passe mis à niveau est la fonctionnalité la plus importante publiée conjointement avec le dixième anniversaire de Chrome. En tant que navigateur PC le plus populaire de loin, c’est aussi celui que vous serez probablement invité à utiliser dans un proche avenir.