Vous cherchez des conseils pour protéger votre domicile et votre bureau des cyberattaques ?
Si vous voulez vraiment entrer dans les détails de la sécurité numérique, lisez les quatre volumes des directives sur l’identité numérique du National Institute of Standards and Technology (NIST). Il s’agit d’un document volumineux, dont une grande partie est destinée aux agences gouvernementales qui ont besoin d’une sécurité extrêmement solide.
Mais il contient également de nombreuses informations pratiques et faciles à lire. Comme par exemple sur la longueur et la complexité des mots de passe. Vous trouverez ces détails dans la courte annexe intitulée « Strength of Memorized Secrets » (force des secrets mémorisés).
Par ailleurs, les responsables du NIST ont créé une page simple sur les principes de base de la cybersécurité qui résume toutes ces informations techniques en un ensemble de lignes directrices à l’intention des PME.
Pour un ensemble de lignes directrices plus simples et plus pratiques, essayez le site web Secure Our World, géré par la Cybersecurity & Infrastructure Security Agency (CISA). Il s’adresse au grand public sans connaissances techniques. Ce qui en fait une solide source d’informations que vous pouvez partager avec vos amis et votre famille pour les aider à faire face aux menaces les plus courantes.
J’ai consulté les dernières versions de tous ces documents et j’ai dressé une liste de sept règles à suivre en matière de mots de passe.
1. Assurez-vous que tous vos mots de passe sont suffisamment forts
Qu’est-ce qui fait la force d’un mot de passe ?
- Il est suffisamment long – au moins 12 caractères, et idéalement plus.
- Il est aléatoire, avec un mélange de lettres majuscules et minuscules, de chiffres et de symboles qui ne figurent pas dans un dictionnaire et qui n’incluent aucune partie de votre nom ou du nom du service qu’ils déverrouillent.
- Il n’est pas facile à deviner.
De tous ces facteurs, les experts s’accordent à dire que la longueur est le plus important. En fait, les experts du NIST affirment que des analyses récentes de bases de données de mots de passe piratées montrent qu’il est bien plus important d’avoir un mot de passe plus long que d’essayer de le rendre complexe.
Les phrases de passe composées d’au moins trois mots sans rapport entre eux, séparés par des symboles et des chiffres, peuvent également être efficaces.
2. Utiliser un gestionnaire de mots de passe
Une personne moyenne possède des dizaines de mots de passe. Une personne très connectée peut avoir des centaines d’identifiants. Aucun être humain ne peut mémoriser ne serait-ce qu’une poignée de mots de passe longs, aléatoires et uniques. C’est pourquoi vous avez besoin d’un gestionnaire de mots de passe, qui vous décharge du travail de création de mots de passe uniques et impossibles à deviner. Et qui les enregistre dans une base de données sécurisée et chiffrée.
Techniquement, un carnet de notes papier et stylo peut faire une partie de ce travail. Mais un gestionnaire de mots de passe logiciel fait bien plus. Il crée instantanément des mots de passe vraiment aléatoires, enregistre vos informations d’identification dans une base de données chiffrée et synchronise le tout sur plusieurs appareils.
La couche de protection la plus importante est cependant celle qui n’est pas immédiatement évidente. Votre gestionnaire de mots de passe sait quel(s) domaine(s) est (sont) associé(s) à un ensemble d’informations d’identification enregistré. Donc il ne saisira pas de mot de passe sur un domaine qui n’est pas autorisé.
Ainsi, si un pirate rédige un courriel qui vous fait croire qu’il provient de votre banque ou de votre courtier et que vous cliquez sur un lien menant à un faux domaine, le gestionnaire de mots de passe refusera d’entrer les informations d’identification.
Il s’agit là d’un puissant outil de lutte contre le phishing.
3. Ne jamais réutiliser un mot de passe
L’instinct humain naturel veut que l’on ait un ensemble préféré d’identifiants (nom d’utilisateur et mot de passe) que l’on réutilise sur plusieurs sites. Certes, cela facilite la mémorisation. Mais cela garantit également qu’une violation de données sur un site permettra aux pirates d’accéder à cet ensemble d’identifiants, qu’ils essaieront à leur tour sur d’autres sites qui n’ont pas été touchés par la violation.
Un bon gestionnaire de mots de passe doit donc signaler les mots de passe réutilisés. Et proposer de créer des remplacements solides et uniques.
Remarque : le simple fait d’ajouter un point d’exclamation ou un chiffre à la fin de votre ancien mot de passe ne constitue pas un nouveau mot de passe. Il en va de même pour la création d’une nouvelle variante de l’un de vos mots de passe les plus utilisés.
4. Éviter les indices de mot de passe
L’idée d’un indice de mot de passe est qu’il est composé d’un mot, d’un nom ou d’une date qui a une signification pour vous. Par définition, ce type de mot de passe est facile à deviner. Et l’ajout d’un indice de mot de passe rend la tâche encore plus facile à quelqu’un qui veut s’introduire dans vos comptes.
Le meilleur indice de mot de passe tient en quatre mots : « Vérifiez votre gestionnaire de mots de passe ».
5. Modifier les mots de passe par défaut
L’un des moyens les plus insidieux pour les pirates de s’introduire dans un réseau domestique ou professionnel est de passer par un appareil de ce réseau, en utilisant les vulnérabilités de son interface de gestion.
Il peut s’agir de votre routeur Wi-Fi, par exemple, dont le mot de passe par défaut se résume souvent à un simple mot de passe. Les caméras IP et les sonnettes que vous installez dans le cadre d’un système de sécurité domestique sont également des points d’entrée possibles.
Si vous avez l’un de ces appareils sur votre réseau, remplacez les mots de passe par défaut par des identifiants plus robustes.
6. Utilisez l’authentification multifactorielle dans la mesure du possible
Quelle que soit la solidité de vos mots de passe et le soin que vous mettez à les protéger contre toute compromission, des problèmes surviennent. (Ce n’est pas exactement ce que dit l’expression, mais c’est assez proche).
La protection la plus efficace, et de loin, est de veiller à ce que personne ne puisse se connecter à vos comptes sur un nouvel appareil sans pouvoir fournir une deuxième forme d’identification, idéalement en utilisant une application d’authentification sur un appareil que vous possédez. (Les codes envoyés à votre téléphone par SMS sont une option acceptable, mais ils risquent davantage d’être détournés par un pirate déterminé).
Il n’est pas nécessaire d’utiliser le 2FA pour tous les comptes. Mais vous devez insister sur l’utilisation d’un deuxième facteur pour les comptes de grande valeur tels que les comptes de messagerie et les comptes bancaires.
7. Ne changez vos mots de passe que si vous y êtes obligé
Les experts s’accordent à dire qu’il n’est pas nécessaire de changer régulièrement de mot de passe et que les organisations qui exigent des utilisateurs qu’ils changent leur mot de passe sans raison rendent en fait leurs réseaux moins sûrs.
Pourquoi ? Parce que les personnes contraintes de changer régulièrement de mot de passe sont susceptibles de choisir un mot de passe faible et facile à deviner.
Si vous avez bien choisi un mot de passe fort et unique, il n’est pas nécessaire de le modifier dans des circonstances normales.
Alors, quand faut-il changer de mot de passe ?
Il est évident que vous devez remplacer un mot de passe s’il est trop faible ou s’il s’agit d’un duplicata d’un mot de passe que vous utilisez ailleurs. Vous devez également changer tout mot de passe au premier signe qu’il a été compromis dans le cadre d’une violation de données.
Et, bien entendu, si votre service informatique ou un service en ligne insiste pour vous obliger à changer de mot de passe, vous devez faire ce qu’ils disent.
Laissez votre gestionnaire de mots de passe créer le mot de passe le plus long et le plus fort qui réponde à leurs exigences.
Source : « ZDNet.com »