Un mot de passe est la première ligne de défense contre les menaces numériques, mais il est souvent mal compris. De nombreux utilisateurs pensent que changer régulièrement leur mot de passe ou utiliser uniquement des codes complexes est ce qui garantit une sécurité totale. Bien que la réalité soit bien différente, il existe des concepts communs qui sont encore répétés même s’ils sont inexacts. Cet article démystifie certaines de ces idées fausses et explique ce que disent réellement les agences de sécurité sur la protection des comptes.
Nous utilisons des mots de passe informatiques depuis des décennies, mais personne ne semble s'accorder sur la manière de choisir un mot de passe, sur ce qu'il doit contenir et sur la question de savoir si un mot de passe est suffisamment bon. Abordons brièvement ce sujet.
Les phrases sont des mots de passe intrinsèquement non sécurisés.
Contrairement aux mots de passe traditionnels, les phrases secrètes sont constituées de chaînes de mots et non de caractères aléatoires.
Parce qu’ils sont constitués de mots plutôt que de lettres, de chiffres et de caractères spéciaux aléatoires, ils sont parfois mal interprétés comme étant plus vulnérables à la force brute, en particulier si les pirates utilisent une attaque par dictionnaire. Mais ce n’est pas vrai. Tant que vous choisissez soigneusement votre phrase secrète, une phrase secrète de quatre mots peut avoir des centaines de milliards de combinaisons possibles et il faudrait des millions, voire des milliards d'années pour la déchiffrer.
Le plus grand risque est de choisir des phrases de passe très courantes. Évitez les phrases qui apparaissent dans la musique, les émissions de télévision, les films, les livres ou d’autres médias pour assurer votre sécurité. N'utilisez pas votre citation préférée d'une personne célèbre.
Avec cette simple mise en garde, les phrases secrètes offrent un grand avantage : elles sont plus faciles à retenir que les mots de passe de longueur égale. Par exemple, « birdDandeLionTanktoeGlasses » est plus facile à retenir que « 6dCV^skr%H4b6r9Xn8TAP5z86$6 ».
Changer régulièrement votre mot de passe améliore la sécurité.
De nombreux services exigent que vous changiez régulièrement votre mot de passe, mais à moins que vous ne réutilisiez des mots de passe (ce que vous ne devriez jamais faire) ou qu'il y ait une fuite de données qui expose votre mot de passe, ce changement n'apporte aucun avantage réel.
Il faudrait des milliards d’années pour déchiffrer un mot de passe de force moyenne, en supposant que les pirates informatiques soient libres de faire autant de tentatives que nécessaire. Cependant, tous les systèmes de notation Entrée bien conçus disposent de moyens pour empêcher quiconque d’essayer de deviner 100 millions de combinaisons. Ils devraient être bannis après seulement quelques tentatives.
Le seul cas où quelqu'un pourrait essayer de déchiffrer votre mot de passe de cette manière est s'il possédait une copie de votre base de données de mots de passe. Idéalement, le concepteur du système a pris des précautions pour garantir que les mots de passe stockés soient difficiles à déchiffrer.
Malheureusement, ce n’est pas toujours le cas et vous devez changer votre mot de passe si une base de données contenant votre mot de passe est volée. Si vous ne le faites pas, vous risquez d’être vulnérable au phishing des informations d’identification.
Les caractères spéciaux sont le seul moyen de créer des mots de passe forts.
Où que vous alliez, lorsque vous essayez de choisir un mot de passe, tout le monde vous dit que chaque mot de passe doit contenir un mélange de lettres majuscules et minuscules, ainsi que des chiffres et des caractères spéciaux.
- Cela vous donne l’impression que ces qualités sont ce qui rend un mot de passe fort, mais la réalité est plus compliquée que cela.
- Deux facteurs principaux déterminent la force d’un mot de passe : la longueur et la complexité.
- La complexité fait référence au nombre de types de caractères différents que vous utilisez (lettres, chiffres et symboles), tandis que la longueur fait référence au nombre de caractères que vous utilisez.
- En général, les mots de passe les plus forts sont ceux qui comportent le plus grand nombre possible de suppositions.
- Cela signifie que votre mot de passe utilise différents types de caractères, est trop long ou les deux.
Seule la longueur du mot de passe compte.
D’un autre côté, il est vrai que les mots de passe (et les phrases secrètes) s’améliorent à mesure qu’ils sont longs, mais la force ne réside pas seulement dans la longueur.
Par exemple, vous pouvez créer un mot de passe de 10 caractères et il sera probablement déchiffré presque immédiatement : aaaaaaaaaa.
La véritable force de la longueur supplémentaire ne s’applique que si le mot de passe est aléatoire, ou au moins pseudo-aléatoire. Les caractères répétitifs ou les séquences de lettres ou de chiffres courants, tels que 12345 ou abcdef, sont relativement faciles à déchiffrer.
Les mots de passe forts sont une alternative à l’authentification à deux facteurs (2FA).
J’entends souvent ce dicton : « Je n’ai pas besoin d’authentification à deux facteurs, un mot de passe suffit. »
Cela peut s’appliquer à des comptes qui ne vous intéressent pas ou qui ne vous intéressent pas, mais ce n’est jamais vrai pour quelque chose d’important.
La triste vérité est que les mots de passe constituent un système fondamentalement défectueux. Les gens réutilisent constamment les mots de passe et choisissent des mots de passe faibles qui sont faciles à forcer, même s'ils ne devraient pas.
Les mots de passe sont également vulnérables aux logiciels malveillants tels que les enregistreurs de frappe, qui peuvent littéralement voler votre mot de passe pendant que vous le saisissez. Sans parler du phishing, où une victime sans méfiance est amenée à divulguer son mot de passe sans le savoir.
L'authentification à deux facteurs (2FA) vous protège de presque tout cela, à condition de prendre des précautions et de vous rappeler de ne jamais donner vos codes d'authentification à deux facteurs à qui que ce soit, en aucune circonstance.
Si vous avez du mal à garder une trace de mots de passe ou de phrases de passe longs et complexes, votre meilleure option est un gestionnaire de mots de passe : il s'occupe de la partie difficile pour vous.
Bien sûr, de bons mots de passe et une authentification à deux facteurs ne sont qu’un élément d’une bonne hygiène numérique. Conservez des sauvegardes sécurisées des fichiers et informations importants autant que possible et ne vous exposez pas à des risques inutiles.
Une mauvaise compréhension du fonctionnement des mots de passe peut exposer vos données à des attaques inattendues. Les anciennes pratiques comme changer son mot de passe tous les mois ou utiliser des codes complexes et dénués de sens ne sont plus aussi efficaces qu’elles l’étaient autrefois. Le plus important est de choisir un mot de passe fort et unique et d’utiliser l’authentification à deux facteurs chaque fois que possible. Repenser ce que vous savez sur la protection de vos comptes peut être l’étape la plus importante vers une véritable sécurité numérique.
