Utiliser le même mot de passe pour plusieurs sites, c’est une très mauvaise idée. Il suffit que ce mot de passe fuite — on vient de découvrir l’existence d’une méga base de données de 2,2 milliards d’infos de connexion — pour que tous les comptes utilisant celui-ci soient menacés.
C’est pourquoi depuis macOS Mojave et iOS 12 les mots de passe utilisés plusieurs fois sont signalés. L’alerte apparaît dans la liste des identifiants enregistrés :
- sur Mac : Safari > Préférences > Mots de passe
- sur iOS : Réglages > Mots de passe et comptes > Mots de passe Web/apps
Une fois qu’on est informé, encore faut-il remplacer le mot de passe réutilisé par un autre différent pour chaque site. Une opération rébarbative si on en a beaucoup. Un groupe du W3C propose justement une norme pour faciliter la démarche.
L’idée est que les gestionnaires de mots de passe puissent guider les utilisateurs directement vers la page de modification du mot de passe. Pour cela, les sites web sont invités à prendre en charge l’URL /.well-known/change-password
. Plusieurs sont déjà compatibles, comme le note un ingénieur d’Apple. C’est le cas de Twitter, Spotify, WordPress ou encore iCloud.com.
Et qu’est-ce qui se passe si le site n’a pas d’adresse /.well-known/change-password
? Safari est censé rediriger vers sa page d’accueil, seulement lors de nos essais avec Facebook et Google ce n’est pas qui se passe. On reste face à la page d’erreur du site.
Quoi qu’il en soit, ce dispositif poussé par Apple est amené à se développer. Les autres navigateurs et les gestionnaires de mots de passe dédiés peuvent l’adopter librement.