Aux Etats-Unis, les responsables du National Institute of Standards and Technology (NIST) ont créé une page simple sur les principes de base de la cybersécurité qui résume les informations techniques contenues dans ses directives sur l’identité numérique en quatre volumes en un ensemble de lignes directrices claires à l’intention des propriétaires et des gestionnaires de petites entreprises. Nous avons parcouru ce document et extrait sept règles à suivre en matière de mots de passe qui peuvent s’appliquer à tous les utilisateurs particuliers et professionnels en France.
Utiliser des mots de passe forts
Qu’est-ce qui fait la force d’un mot de passe ?
Il doit être suffisamment long : au moins 12 caractères, et idéalement plus.
Il est aléatoire, avec un mélange de lettres majuscules et minuscules, de chiffres et de symboles qui ne figurent pas dans un dictionnaire et qui n’incluent aucune partie de votre nom ou du nom du service qu’ils déverrouillent.
Il ne doit pas être facile à deviner.
De tous ces facteurs, les experts s’accordent à dire que la longueur est le plus important. En fait, les experts du NIST affirment que des analyses récentes de bases de données de mots de passe piratées montrent qu’il est bien plus important d’avoir un mot de passe long que d’essayer de le rendre complexe. Les phrases sésame composées de trois mots ou plus sans rapport, séparés par des symboles et des chiffres, peuvent également être efficaces.
Utiliser un gestionnaire de mots de passe
Un utilisateur moyenne possède des dizaines de mots de passe. Une personne extrêmement connectée peut avoir des centaines d’identifiants. Aucun être humain ne peut mémoriser ne serait-ce qu’une poignée de mots de passe longs, aléatoires et uniques. C’est pourquoi vous avez besoin d’un gestionnaire de mots de passe, qui vous décharge du travail de création de sésames uniques et les enregistre dans une enclave sécurisée et chiffrée.
Votre gestionnaire de mots de passe sait quel domaine (ou quels domaines) est associé à un ensemble d’informations d’identification enregistré et ne saisira pas de mot de passe sur un domaine qui n’est pas autorisé. Ainsi, si un cybercriminel vous envoie un courriel qui vous fait croire qu’il provient de votre banque ou de votre courtier, et que vous cliquez sur un lien qui renvoie vers un faux domaine, le gestionnaire de mots de passe refusera de saisir vos informations d’identification.
Ne jamais réutiliser un mot de passe
Il est tentant d’avoir un ensemble d’identifiants favoris (nom d’utilisateur et mot de passe) que l’on réutilise sur plusieurs sites. Certes, cela facilite la mémorisation, mais cela garantit également qu’une violation de données sur un site donnera aux assaillants l’accès à cet ensemble d’identifiants, qu’ils essaieront à leur tour d’utiliser sur d’autres sites qui n’ont pas été affectés par la violation.
Un bon gestionnaire de mots de passe doit signaler les mots de passe réutilisés et proposer de créer des mots de passe de remplacement forts et uniques
Remarque : le simple fait d’ajouter un point d’exclamation ou un chiffre à la fin de votre ancien mot de passe ne permet pas de créer un nouveau mot de passe. Il en va de même pour la création d’une nouvelle variante de l’un de vos mots de passe les plus utilisés.
Éviter les indices dans les mots de passe
L’idée d’un indice de mot de passe est qu’il est composé d’un mot, d’un nom ou d’une date qui a du sens pour vous. Par définition, ce type de mot de passe est facile à deviner, et l’ajout d’un indice rend la tâche encore plus facile pour quelqu’un qui veut pirater vos comptes.
Modifier les mots de passe par défaut
L’un des moyens les plus insidieux pour les pirates de s’introduire dans un réseau domestique ou professionnel est de passer par un appareil de ce réseau, en utilisant les vulnérabilités de son interface de gestion. Il peut s’agir de votre routeur Wi-Fi, par exemple, dont le mot de passe par défaut est souvent basique. Les caméras et les sonnettes connectées sont également des points d’entrée possibles.
Si vous avez l’un de ces appareils sur votre réseau, remplacez les mots de passe par défaut par des identifiants plus robustes.
Utilise l’authentification multifactorielle autant que possible
Quelle que soit la solidité de vos mots de passe et le soin que vous mettez à les protéger contre toute compromission, le risque demeure.
La protection la plus efficace consiste de loin à s’assurer que personne ne puisse se connecter à vos comptes sur un nouvel appareil à moins de pouvoir fournir une deuxième forme d’identification, idéalement à l’aide d’une application d’authentification sur un appareil que vous possédez. (Les codes envoyés sur votre téléphone par SMS sont une option acceptable, mais ils risquent davantage d’être détournés par un attaquant déterminé.)
Vous n’êtes pas obligé d’utiliser l’authentification à deux facteurs (2FA) pour tous vos comptes, mais nous recommandons fortement de leur faire pour les comptes à forte valeur ajoutée tels que les comptes de messagerie, les banques et les courtiers.
Ne changez pas vos mots de passe à moins d’y être obligé
Les experts s’accordent à dire qu’il n’est pas nécessaire de changer régulièrement de mot de passe et que les organisations qui obligent les utilisateurs à changer leur mot de passe sans raison rendent en réalité leurs réseaux moins sûrs.
Pourquoi ? Parce que les personnes obligées de changer régulièrement de mot de passe sont susceptibles de choisir un mot de passe faible et facile à deviner. Si vous avez fait du bon travail en choisissant un mot de passe fort et unique, il n’est pas nécessaire de le changer dans des circonstances normales.
Alors, quand faut-il changer son mot de passe ?
Bien évidemment, vous devez remplacer un mot de passe s’il est trop faible ou s’il s’agit d’un doublon. Vous devez également changer tout mot de passe dès le premier signe qu’il a été compromis par suite d’une violation de données.
Cela dit, si votre service informatique ou un service en ligne insiste pour vous imposer un changement de mot de passe, vous devez faire ce qu’ils disent. Laissez simplement votre gestionnaire de mots de passe créer le mot de passe le plus long et le plus fort qui réponde à leurs exigences.