À l’ère du numérique, nous stockons en ligne de plus en plus de données personnelles, de nos adresses e-mail et numéros de téléphone, aux adresses postales, numéros de cartes bancaires ou autres informations très sensibles. En même temps, les fuites de données et piratages ont lieu quasi quotidiennement, et sont aujourd’hui un revers inévitable de la vie moderne et un vrai risque pour nos informations personnelles.
Saviez-vous qu’une usurpation d’identité a lieu toutes les 2 secondes, rien qu’aux États-Unis, d’après une étude récente ? En France, 67 % des entreprises ont été victimes de cyberattaques en 2019. Alors pensez-vous encore que vous pouvez protéger vos données avec un mot de passe simple ?
Les pires mots de passe en 2019
Votre mot de passe est la seule chose qui peut éloigner un pirate de l’un de vos comptes. Quand bien même, les gens continuent d’utiliser des combinaisons comme 123456, azerty ou motdepasse pour protéger leurs données, d’après SplashData, une société de gestion de mots de passe. La liste des pires mots de passe utilisés en 2019 inclut entre autres, princess, qwerty, iloveyou et welcome.
Le pire dans tout ça, c’est que cette liste ne change pas beaucoup d’une année à l’autre. Malgré les nombreux articles dans la presse et les campagnes de sensibilisation, les gens continuent d’utiliser les mêmes mots de passe.
On pourrait penser qu’il n’est plus nécessaire de parler de mots de passe à l’ère du numérique, mais vous serez peut-être surpris(e) d’apprendre que Password123 reste le mot de passe préféré des fonctionnaires en Australie occidentale.
La structure d’un mot de passe complexe
De nombreuses plateformes en ligne indiquent brièvement ce qu’un mot de passe complexe doit contenir et quelques-unes indiquent même le degré de complexité du mot de passe. Tim Gaiser, directeur du projet Gestion d’identité chez Avira, explique qu’il faut suivre trois règles simples : le mot de passe doit être long, sa séquence doit être aléatoire et il doit être unique (un mot de passe différent par compte en ligne).
Selon lui, plus un mot de passe est long, mieux il résistera aux attaques par force brute. « Nous vous conseillons d’utiliser au moins 12, ou encore mieux, 20 caractères pour vos mots de passe. »
La séquence de votre mot de passe doit être aléatoire, car nombre d’entre nous utilisent des données personnelles ou des données qui peuvent nous être associées, comme nos hobbies, dans nos mots de passe. « Aujourd’hui, il est bien plus facile qu’avant de trouver ces informations sur vous, sur Internet ou via des techniques d’ingénierie sociale. C’est pourquoi nous vous conseillons d’utiliser un mot de passe créé de manière totalement aléatoire, qui n’a aucun rapport avec vous. »
Enfin, dernier point, il rappelle qu’il ne faut pas réutiliser les mêmes mots de passe entre les comptes ! « Si l’un de vos comptes est piraté et que votre mot de passe est compromis, les autres comptes qui utilisent le même mot de passe sont également à risque. Il existe sur le dark web des bases de données contenant des milliards de données de comptes piratés, ajoutées au web public, que les pirates exploitent sans vergogne. »
Tim conseille d’utiliser un programme de gestion des mots de passe et de générer ses mots de passe via cet outil. « Vos mots de passe peuvent quasiment tous être gérés par un gestionnaire de mots de passe, sans avoir besoin de s’en souvenir tous. Vous pouvez être sûr(e) qu’ils sont stockés dans votre gestionnaire de mots de passe et que vous pouvez les utiliser sur tous vos appareils, quand vous en avez besoin. »
Composer un mot de passe complexe de deux façons
Toutefois, vous souhaiterez peut-être pouvoir vous souvenir de quelques-uns de vos mots de passe (comme celui de votre adresse e-mail principale par exemple). Dans ce cas, les règles ci-dessus s’appliquent toujours, mais vous pouvez composer un mot de passe complexe de deux façons, telles que décrites par Tim.
Vous pouvez choisir la méthode de la phrase secrète. Avec cette méthode, vous pensez à au moins 4 mots au hasard que vous n’aurez pas de mal à retenir et vous les reliez avec des caractères spéciaux. Utilisez aussi des majuscules et des minuscules, par exemple : Montagne-Pelouse-Jaune-Zèbre.
Ou vous pouvez opter pour la phrase longue. Pensez à une longue phrase dont vous vous rappellerez facilement et utilisez le premier caractère de chaque mot pour créer votre mot de passe. Veillez également à utiliser des minuscules et des majuscules et à combiner des chiffres et des caractères spéciaux. Par exemple : La voiture est verte, elle a deux portes et quatre roues. Qui devient : Lvev-ea#2P&quatreR.
Mythes sur les mots de passe
Tim décrypte quelques mythes sur les mots de passe, nous indique lesquels sont vrais et quelles pratiques ont changé depuis quelques années.
Le premier est lié au changement régulier de mots de passe. « Depuis longtemps, on nous dit de modifier régulièrement nos mots de passe (une fois par an et dans certains cas, tous les 3 ou 6 mois). Le résultat ? Les gens étaient si stressés qu’ils réutilisaient leurs anciens mots de passe en ne les modifiant que légèrement. Cette règle a récemment été abandonnée par le NIST américain et le BSI allemand, en faveur de mots de passe complexes, aléatoires et uniques. », mentionne l’expert d’Avira.
Si l’on en croit le deuxième mythe, il faudrait utiliser au moins une minuscule, une majuscule, un chiffre et un caractère spécial. « Cette règle a été introduite il y a quelques années, lorsque les mots de passe étaient relativement courts, afin d’augmenter le nombre de combinaisons possibles et pour empêcher les attaques par force brute. D’après les nouvelles règles qui stipulent d’utiliser les mots de passe longs, qui en principe acceptent tous les caractères imprimables ASCII, il n’est plus nécessaire d’exiger un type de caractère en particulier. Chaque caractère augmente exponentiellement le nombre de combinaisons possibles, c’est donc la longueur du mot de passe qui déterminera la durée nécessaire pour pirater le mot de passe, plutôt que le type de caractère utilisé. », poursuit Tim Gaiser.
Autres recommandations pour un mot de passe complexe
Ne dites jamais la vérité si l’un de vos comptes vous demande d’écrire un indice pour récupérer votre compte ultérieurement. Les indices de mots de passe sont faciles à trouver via les techniques d’ingénierie sociale et sont des portes ouvertes sur vos comptes en ligne. Ou pensez-vous que c’est grave si l’on découvre le nom de jeune fille de votre mère ou celui de votre premier animal de compagnie ? Alors que faire ? Désactivez les indices de mots de passe lorsque c’est possible. Si vous ne pouvez pas, mentez !
Traitez les indices comme de vrais mots de passe. Le meilleur moyen est de générer un autre mot de passe et de stocker l’indice avec le vrai mot de passe dans votre programme de gestion des mots de passe.
Utilisez l’authentification à deux facteurs. En général, pour vous connecter à vos comptes en ligne, vous utilisez un nom d’utilisateur et un mot de passe. Pour mieux protéger vos comptes, de nombreux fournisseurs vous proposent d’utiliser un deuxième facteur d’authentification.
Si vous vivez en Europe, vous le savez peut-être déjà avec votre application bancaire. En effet, l’authentification à deux facteurs est récemment devenue obligatoire pour respecter une réglementation légale de l’UE.
Pour les autres services en ligne, les approches les plus couramment utilisées sont celles de l’envoi d’un code SMS par le fournisseur sur votre téléphone ou de la génération d’un code au sein d’une application d’authentification que vous avez installée sur votre appareil mobile.
Dans les deux cas, vous devez saisir le code, après avoir saisi votre identifiant et votre mot de passe pour vous connecter. Cela vous permet de n’accéder à votre compte que si vous connaissez le mot de passe (1er facteur) et avez accès à l’appareil mobile (2nd facteur) qui reçoit le code par SMS ou qui génère le code. Les pirates ne sont alors plus en mesure d’accéder à votre compte, même s’ils mettent la main sur votre mot de passe.
Pourquoi utiliser un gestionnaire de mots de passe
Nous le savons. Il y a beaucoup de choses à prendre en compte pour protéger vos données. Sachant, d’après nos recommandations, qu’un bon mot de passe doit être long, aléatoire et unique, le seul moyen d’y arriver est d’utiliser un gestionnaire de mots de passe, qui vous évite d’avoir à réfléchir à un nouveau mot de passe à chaque fois. Pour Tim Gaiser, une bonne gestion des mots de passe est la seule chose que l’on puisse faire pour protéger ses comptes en ligne.
Et pour cela, il faut faire confiance au programme que l’on utilise et le laisser se charger de la création des nouveaux mots de passe et les mémoriser. C’est ce que fait Avira Password Manager. Il fonctionne sur tous vos appareils et vous connecte automatiquement à vos comptes en ligne.
De plus, il vérifie si vos mots de passe sont trop simples ou s’ils ont été réutilisés et vous alerte si l’un de vos comptes a été piraté. Vous pouvez également activer l’authentification à deux facteurs là où c’est possible et utiliser un Identity Scanner, qui vous prévient si vos données ont été piratées. Tout cela gratuitement.
Photo credit: natasaadzic