Cela dépend si autour de toi, tu as des gens mal intentionnés qui pourraient tomber dessus, il vaut mieux bien la cacher. Mais c'est sûr sinon que ce n'est pas sur Internet. Mais un autre inconvénient de la feuille de papier est qu'au fur et à mesure des changements de mot de passe, de sites qui changent d'adresse etc..., tu arrives sur des feuilles avec plein de ratures dans lesquelles tu auras du mal à retrouver tes mots de passe sur la nieme feuille. Il vaut mieux les écrire dans un fichier éditable, mais donc c'est pareil, il doit être à l'abri des regards indiscrets.
Non, je suis plutôt d'accord avec Fansat70, un gestionnaire de mot de passe est le plus sûr, mais c'est aussi lourd à gérer. Dans le cas que je citais, il faut qu'il y ait un trojan stealer sur le PC, et donc comme le soulignait dans l'article l'auteur de keepass, que le PC soit déjà compromis. Donc effectivement, il faut d'abord ne pas télécharger de trucs louches, ne pas aller sur des sites louches etc....
Le problème des logins/mots de passe est compliqué. Effectivement, il y a en tellement maintenant que c'est impossible à mémoriser. Déjà, le login est par défaut maintenant l'adresse mail, parce que c'est unique et que cela permet de renvoyer un mail ou un code, en cas d'oubli de mot de passe, ou d'authentification à deux facteurs (par le mail). Donc il ne reste que le mot de passe à trouver. Il vaut mieux évidemment éviter de mettre le même mot de passe sur tous les sites, car une fois qu'il est compromis, tous les sites sont compromis. Un gestionnaire de mots de passe permet de générer un mot de passe aléatoire. Mais donc il vaut mieux éviter de perdre l'accès à son gestionnaire de mot de passe (fausse manip, crash disque...), car là impossible de retrouver ses mots de passe, autre que 'mot de passes oublié'. Pour moi, le principal risque est d'ailleurs plutôt d'oublier ou de ne pas retrouver ses mots de passe, donc il faut les enregistrer quelque part, de façon sécurisée.
Certains vont les enregistrer dans le navigateur. Comme fansat70, je n'aime pas trop, c'est une application web qui peut être compromise, il faut au moins mettre un mot de passe principal pour chiffrer les mots de passe. Mais de ce que je vois de collègues, c'est une solution de facilité, ils ne savent même pas qu'un mot de passe principal existe, et souvent ne se rappellent même pas les mots de passe enregistrés qu'ils ne tapent jamais, s'il faut l'utiliser ailleurs (ex : webmail). Quand je leur montre que l'on peut facilement les afficher, cela les fait un peu réfléchir.
Mais de toute façon, il y a d'autres risques de se faire hacker son mot de passe : site sur lequel on le rentre compromis. Phishing qui envoie sur un site contrefait...
Le mieux pour moi serait d'utiliser un certificat personnel pour s'authentifier, mais il faudrait qu'il soit valable pour tous les sites, ce qui n'est pas toujours possible. Et c'est une solution très peu pratiquée, hors contexte professionnel, car il faut avoir une autorité de certification qui le délivre. Pour une authentification ssh, on peut utiliser une paire de clé sss privée/publique que l'on génère soi-même... Il semble que pour l'instant, les trojan stealer ne volent pas les certificats, c'est trop lourd à gérer ensuite.
Mais donc la meilleure protection, c'est de rester méfiant, sur les mails que l'on reçoit, sur les sites que l'on visite, ne pas télécharger de crack vérolé etc, et donc de ne pas utiliser le même mot de passe partout... En de nombreuses années de pratique informatique et de surfs sur le web, je n'ai jusqu’ici jamais eu de problème, mais je ne jurerais pas que cela ne m'arrivera jamais.
J'évite en particulier de donner mon numéro de carte bancaire partout, car on a plein d'exemple de sites hackés où ces informations sont volées. Je limite à quelques sites de confiance (sans garantie absolue d'ailleurs).
Après, on voit le problème que pose cette gestion de mots de passe, avec une multiplication lourde d'authentification à deux facteurs pénible, d'applications bancaires pour valider les achats etc... Il devient pratiquement obligatoire d'avoir un smartphone, et de ne pas le perdre ! (et je ne fais pas personnellement une confiance absolue à un smatrphone, sur lequel je n'ai pas de compte root, mais qui lui peut être hacké comme on l'a vu avec l'application israélienne Pegasus...).