Jusqu’à quel point mémorisez-vous vos mots de passe ? Si vous êtes comme la plupart des gens, vous oubliez probablement vos mots de passe.
Vous avez peut-être tendance à réutiliser le même mot de passe sur différents comptes ou à créer des mots de passe faibles.
Dans cet article, nous allons passer en revue 11 bonnes habitudes en matière de mots de passe que vous devriez commencer à adopter dès maintenant afin de pouvoir non seulement créer des mots de passe plus forts, mais aussi de vous en souvenir plus facilement et de les conserver en toute sécurité.
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Commencez par perdre les mauvaises habitudes
Les êtres humains sont, pour la plupart, des êtres d’habitudes. Malheureusement, ces habitudes sont souvent mauvaises et lorsqu’il s’agit de mauvaises habitudes en matière de mots de passe, elles peuvent compromettre considérablement votre sécurité en ligne.
Beaucoup d’entre nous sont coupables d’avoir au moins une, voire la totalité de ces 5 mauvaises habitudes en matière de mots de passe :
- Réutiliser des mots de passe
- Ne pas mettre à jour ses mots de passe
- Utiliser des mots de passe courts
- Enregistrer ses mots de passe dans le navigateur
- Partager ses mots de passe
Vous devriez vraiment vous débarrasser de ces pratiques dès aujourd’hui. Pour les remplacer, voici 11 bonnes pratiques que vous devriez adopter en matière de mots de passe :
11 bonnes habitudes en matière de mots de passe que vous devez appliquer dès aujourd’hui
1. Utilisez des mots de passe plus longs
Si un mot de passe de 5 caractères est plus facile à retenir, il est aussi beaucoup plus facile à cracker qu’un mot de passe de plus de 10 caractères.
Selon les directives du National Institute of Standards and Technology (NIST), la longueur minimale des mots de passe générés par l’utilisateur doit être de 8 caractères, mais même cette longueur peut être trop courte, en fonction de ce qu’ils protègent et de celui qui essaie de s’y attaquer.
Par exemple, les testeurs de pénétration de LMG Security ont été capables de cracker un hachage de mot de passe de 8 caractères de Microsoft NT LAN Manager en moins de 8 heures. Mais il leur faudrait environ 8 ans pour faire de même avec un mot de passe de10 caractères, 77 000 ans pour un mot de passe de 12 caractères, 710,5 millions d’années pour 14 caractères et 6,5 trillions d’années pour un hachage de mot de passe de 16 caractères.
2. Rendez vos mots de passe plus complexes
Bien sûr, si votre mot de passe ne contient qu’un seul type de caractère, comme des lettres minuscules, il sera toujours vulnérable à une simple attaque par dictionnaire.
La solution consiste à ne pas se fier uniquement aux lettres, mais à rendre vos mots de passe plus complexes en utilisant une combinaison de lettres minuscules et majuscules, de chiffres et de caractères spéciaux.
Par exemple, vous pouvez prendre un mot, comme « password », qui comporte 8 caractères, ce qui correspond aux directives du NIST, et remplacer certaines des lettres par d’autres symboles comme ceci : « P@55w0rd ». Vous avez maintenant des lettres majuscules (P), des caractères spéciaux (@), des chiffres (55 et 0) et des lettres minuscules (r et d), ce qui devrait rendre le mot de passe un peu plus difficile à cracker.
3. Mettez vos mots de passe à jour
Avec suffisamment de temps et de ressources, n’importe quel mot de passe peut être cracké un jour ou l’autre.
Par conséquent, la sécurité des mots de passe devient souvent un jeu dans lequel vous devez constamment avoir une longueur d’avance sur le pirate, ce qui implique de changer vos mots de passe de temps en temps.
Pendant longtemps, la fréquence recommandée pour les changements de mots de passe a été de 1 à 3 mois. Cependant, cela crée un problème supplémentaire. Plus l’utilisateur est invité à changer son mot de passe ou à le mettre à jour, plus il est susceptible d’utiliser le même mot de passe, légèrement modifié. Ce qui, en fin de compte, ne résout rien.
NordPass, par exemple, recommande de changer les mots de passe tous les ans :
Finalement, il y a effectivement une période de temps adéquate au bout de laquelle vous devriez changer votre mot de passe : un an environ. C’est une bonne période qui se situe à mi-chemin entre une période suffisamment courte pour que vous ne vous sentiez pas obligé de créer un nouveau mot de passe (et donc un mauvais mot de passe) et une période suffisamment longue pour que vous commenciez à considérer qu’il y a un risque pour la sécurité de votre compte, en particulier pour des choses comme les ransomwares ou une attaque de pharming (dévoiement en français).
4. Ne réutilisez pas les mots de passe
Une étude conjointe menée en 2019 par Google et Harris Poll a révélé à quel point la réutilisation des mots de passe était une pratique courante.
Selon l’étude, 52 % des 3 000 répondants américains (de 16 à 50 ans et plus) ont déclaré réutiliser leur mot de passe sur plusieurs de leurs comptes (mais pas tous), 35 % utilisent un mot de passe différent à chaque fois et 13 % réutilisent le même mot de passe sur tous leurs comptes.
Même si vous ne réutilisez un mot de passe que sur deux comptes, cela revient à doubler le risque que l’un ou l’autre se retrouve sous le contrôle d’un pirate si l’un des deux comptes est compromis à la suite d’une violation de données.
Chaque compte que vous possédez doit avoir un mot de passe unique afin d’atténuer le risque qu’une violation de données sur un compte affecte vos autres comptes.
5. Utilisez l’authentification à deux facteurs (2FA)
Il ne suffit pas de se reposer sur les mots de passe pour sécuriser un compte, car même le meilleur d’entre eux peut être compromis, cracké ou divulgué.
C’est là qu’intervient l’authentification à deux facteurs ou 2FA (lien en anglais).
L’authentification à deux facteurs crée une méthode de vérification supplémentaire en plus du mot de passe. Il peut s’agir d’un jeton, d’un message SMS, d’un scan d’empreintes digitales ou d’une autre méthode que l’utilisateur reçoit sur un autre appareil qu’il possède. De cette façon, même si quelqu’un parvient à obtenir votre mot de passe, il ne pourra rien faire s’il ne connaît pas la deuxième méthode de vérification.
6. Ne laissez pas le navigateur enregistrer vos mots de passe
Si vous vous rendez sur un site Web pour la première fois et que vous créez un mot de passe, votre navigateur Internet vous demandera de l’autoriser à conserver ce mot de passe.
Si cela semble être une bonne idée en théorie, ce n’est pas du tout le cas. L’objectif premier des entreprises qui développent des navigateurs comme Google ou Mozilla n’est pas la sécurité de leurs clients, mais la convivialité de leurs produits et la recherche de nouveaux clients. C’est pourquoi vos mots de passe ne seront pas en sécurité avec eux.
Ne vous inquiétez pas d’avoir à vous souvenir de tous vos mots de passe. La bonne habitude suivante vous apporte la solution.
7. Utilisez un gestionnaire de mots de passe pour enregistrer et conserver vos mots de passe.
Une étude réalisée par NordPass en 2020 a révélé que la personne moyenne possède 100 mots de passe.
Naturellement, avoir à se souvenir de tous ces mots de passe est incroyablement difficile. Il n’est donc pas si étonnant que nous oubliions des mots de passe beaucoup trop souvent, ce qui signifie que nous devons réinitialiser ces mots de passe.
Une étude réalisée en 2019 par HYPR a révélé que 78 % des personnes ont eu à réinitialiser un mot de passe créé au cours des 3 mois précédent et dont elles ne se souvenaient plus.
Heureusement, il existe une solution simple pour enregistrer les mots de passe en toute sécurité et s’assurer de ne jamais les oublier : les gestionnaires de mots de passe, comme NordPass, dont nous avons déjà parlé.
Cependant, ne vous reposez pas trop sur les gestionnaires de mots de passe, car ils peuvent toujours être vulnérables aux violations de données. C’est ce qui s’est passé avec LastPass en 2015, par exemple.
8. Rendez vos mots de passe aléatoires
En prenant un mot courant et en remplaçant les lettres par d’autres symboles, vous obtiendrez un mot de passe plus difficile à deviner, mais il existe une meilleure pratique en matière de mot de passe.
Utiliser un générateur de mots de passe.
Chaque gestionnaire de mots de passe intègre également un générateur que vous pouvez utiliser pour créer des mots de passe sûrs et aléatoires.
Par exemple, avec le générateur de mots de passe LastPass, vous pouvez définir la longueur du mot de passe jusqu’à 50 caractères, utiliser des majuscules, des minuscules, des chiffres et des symboles, ou choisir un mot de passe facile à dire (évite les chiffres et les caractères spéciaux), facile à lire (évite les caractères qui peuvent être confondus, comme 0 et O), ou utiliser tous les caractères.
9. Vérifiez la sécurité de vos identifiants
Souvent, ce qui nous semble être un mot de passe fort s’avère ne pas l’être du tout et être facile à pirater.
C’est pourquoi vous devez vérifier de temps en temps la force de votre mot de passe. Le vérificateur de mot de passe de Kapersky (Kaspersky Password Checker) est un outil que vous pouvez utiliser dans ce but.
Il vous suffit d’entrer votre mot de passe dans le champ prévu à cet effet et le vérificateur vous dira si votre mot de passe est vraiment sûr (ou non).
Un autre outil que vous pouvez utiliser pour vérifier la sécurité de votre compte est Have I been Pwned. Cette page vous permet d’entrer votre adresse électronique pour voir si elle est présente dans une quelconque violation de données.
10. Les mots de passe « Salés & hachés »
Une autre bonne pratique en matière de mots de passe recommandée par le NIST consiste à utiliser le « sel » et le « hachage » sur vos mots de passe.
Dans ce cas, on ajoute d’abord une chaîne de caractères aléatoires au mot de passe (sel), avant de procéder au hachage du mot de passe. Cela ajoute une autre couche de sécurité au mot de passe et il devient impossible pour un pirate de casser le mot de passe en annulant le hachage.
11. Limitez les tentatives de mot de passe ratées
Les gens se trompent souvent de mot de passe, et pour cette raison, il n’est pas logique qu’un site Web verrouille leur compte après une première tentative ratée.
Cependant, il ne faut pas non plus donner à un pirate potentiel trop d’opportunités pour découvrir le mot de passe.
Le nombre de tentatives de connexion échouées que vous devez vous autoriser est, bien entendu, difficile à définir, car il dépend largement du niveau de risque de sécurité de votre organisation. Par exemple, pour Microsoft, 10 tentatives ratées avant un verrouillage est un bon point de départ.
Conclusion
Le concept des mots de passe a été présenté pour la première fois par Fernando Corbato en 1960 au MIT et pendant un certain temps, il n’a pas eu beaucoup d’applications au-delà du monde universitaire. Toutefois, avec la démocratisation des ordinateurs personnels dans les années 1980, la nécessité de protéger les fichiers privés est devenue évidente et les mots de passe ont trouvé leur utilité.
C’est ainsi qu’une quarantaine d’années plus tard, nous comptons toujours sur les mots de passe pour sécuriser nos fichiers et comptes privés.
Désormais,, les mots de passe ont montré leurs limites. Toutefois, grâce à ces 11 bonnes habitudes en matière de mots de passe, vous devriez pouvoir tenir les pirates à distance pendant au moins un certain temps.
Dans le cas malheureux où des pirates parviendraient tout de même à accéder à votre compte, suivez nos conseils pour limiter les dégâts.
Au-delà de nos bonnes pratiques en matière de mots de passe, un autre moyen de garantir la sécurité de vos données est d’utiliser une suite privée et sécurisée comme Mailfence. En vous dotant d’une messagerie sécurisée, vous empêchez les pirates d’avoir accès à vos autres comptes par l’utilisation de la fonction de mot de passe perdu. Renforcez tous vos comptes avec votre courrier électronique chiffré !