TL;DR: En attendant qu’Internet se décide à abandonner les mots de passe, on peut toujours utiliser la fonction “mot de passe oublié”. C’est mieux que les post-its, moins complexe que les gestionnaires et ça permet de partager les accès sans partager de mot de passe.

PHP CEO — DISAPPOINTING HUSBAND. DISAPPOINTED FATHER.

Pour accéder au contenu des sites et tester leurs services, je suis invité à créer un compte. J’indique mon email. Puis je dois choisir un mot de passe. Parfois je suis libre de choisir les règles, d’autres fois, je dois respecter une politique que je ne sais pas comment respecter et que je n’ai pas envie de respecter. De toute façon, même lorsque j’ai la liberté de choisir, je n’ai pas beaucoup d’imagination, je reste quelques secondes devant le formulaire sans savoir quoi faire. Donc soit je mets un mot de passe que j’ai déjà utilisé, soit j’improvise une composition entre deux mots de passe, soit je crée pour l’occasion une phrase facile à retenir. Dans tous les cas ça ne change rien. Je ne connais pas mes mots de passe.

Ce n’est pas un problème : j’enregistre tous les mots de passe dans mon navigateur et je coche la case “souvenez-vous de moi”. Pour le SSH, j’utilise des clefs.

Partager les accès

J’ai récemment décidé de quitter ma boite. Étant un adepte des mauvaises pratiques, comme j’étais seul au début, j’ai créé tous les comptes importants avec mes identifiants. Je dois faire la transition avec l’équipe technique et nous ne souhaitons pas qu’une seule personne soit responsable de tous ces services.

Nous avons donc voulu créer un compte administrateur pour chacun sur chaque site. Malheureusement ce n’est pas simple. Certains sites n’autorisent qu’un compte admin. Il faut parfois contacter leur service client pour changer l’email principal. Sans parler du compte mail de facturation qui est pratiquement tout le temps unique. D’autres fois, le prix décuple quand on passe d’un compte à plusieurs, $5/mo vs $50/mo ça compte, surtout quand il y a quinze autres services comme ça. J’ai été tenté d’écrire un mot de passe sur un post-it ou de l’envoyer par mail. Ou même d’utiliser un service de gestion de mots de passe partagé payant, pour lequel il faut créer un compte et… choisir un mot de passe. Nous avons essayé autre chose.

Pas de mot de passe sur Medium

Medium ne demande qu’un email pour se connecter et fonctionne à la manière du “mot de passe oublié” qu’on trouve sur chaque site. Certains sites proposent une connexion avec email + mot de passe + token. Et mettent à disposition le lien de récupération de mot passe qui ne nécessite qu’un email en dessous. Ils pourraient rajouter une infinité de règles de validations, le plus simple reste toujours de se reconnecter depuis le lien de récupération de mot de passe et d’en saisir un nouveau qu’on oublie.

Adresse mail de groupe

Nous avons donc créé une liste de diffusion (à la admin@example.org). En passant, c’est ce que j’aurai du faire au début. À cette adresse sont associés les différents comptes, ceux qui sont en charge de tel ou tel service. Et personne n’a eu à échanger de mot de passe. Chaque fois qu’un développeur veut se connecter, il demande un nouveau mot de passe, il met n’importe quoi et il est connecté — les DSI en ont rêvé, le mot de passe change tout le temps. Ça marche sur tous les sites que nous utilisons et ce n’est pas contraignant. C’est une solution de punk, certes, et nous l’utiliserons jusqu’à ce que les sites web nous proposent quelque chose de mieux.