Les mots de passe.

Les mots de passe… Sources de bien des questions !
Voici quelques réponses qui, nous l'espérons, répondront à vos interrogations.

Cet article est sujet à changements selon le progrès des pratiques en matière de cybersécurité et de l’évolution des menaces.

1. Faut-il les changer souvent ?

Changer régulièrement un mot de passe est une bonne pratique. Cependant, ce n’est plus une mesure requise si celui-ci est suffisamment robuste. En effet, si votre mot de passe est compliqué, il faudra beaucoup de temps pour essayer de le cracker. Mais s’il est simple, il pourrait être découvert en quelques minutes. Le changer pour un autre mot de passe simple donnerait alors un faux sentiment de sécurité, puisque celui-ci pourrait être trouvé tout aussi vite.
Selon une étude, sur une liste contenant 500 mots de passe populaires, près de
80 % des personnes interrogées avaient au moins un de leurs mots de passe dedans.

2. Qu’est-ce qu’un mot de passe robuste ?

Un mot de passe robuste est un mot de passe compliqué, formé d’un grand nombre de caractères, et composé de lettres minuscules et majuscules, de chiffres et de caractères spéciaux.

La longueur moyenne des mots de passe des gens se situe entre 7 et 9 caractères. Prenons par exemple le mot abricot. Ce mot de 7 lettres faisant partie du dictionnaire pourrait être découvert instantanément, car il ne faut pas beaucoup de temps à un ordinateur pour comparer votre mot de passe à une liste de mots déjà existants.

Graduellement, nous allons complexifier le même mot de passe, et voir l’évolution du temps nécessaire pour le déchiffrer. (Je vous invite à bien regarder les différences d’une ligne à l’autre)

  • abricot: instantané
  • @bricot: 4 secondes
  • @bric0t: 22 secondes
  • Abricot, abRicot: 25 secondes
  • abric0t: 1 minute
  • Abric0t, Abr1c0t, A8r1c0t, A8r1C0t: 1 minute

Comme vous le constatez, nous ne sommes pas capables d’aller au-delà d’une minute. La raison est le nombre de caractères. En gardant 7 caractères, on stagne à 1 minute. Changer de mot pour P0iVr0n ne règlerait pas votre problème, car nous avons le même nombre de caractères. C’est pourquoi il faut privilégier la longueur du mot de passe, plutôt que de le changer souvent.
Reprenons abricot auquel nous allons ajouter 1, puis 2 caractères.

  • abricot1: 1 minute
  • Abricot1: 1 heure
  • abricot1$: 16 heures
  • Abricot1$, Abric0t1$, A8r1c0t1$: 3 semaines

Comme vous pouvez le constater, ici aussi, nous ne sommes pas capables d’aller au-delà de 3 semaines. Pour dépasser ces 3 semaines, il faudrait continuer d’ajouter des caractères.

Gardez en tête que les temps indiqués sont des estimés maximums. Il se peut donc que votre mot de passe soit déchiffré plus rapidement.

Afin de vérifier la robustesse d’un mot de passe, vous pouvez utiliser le site ci-dessous, qui vous indiquera sa force.

How Secure Is My Password? | Password Strength Checker
Data breaches and identity theft are on the rise, and the cause is often compromised passwords. After stealing credentials, cybercriminals can use passwords to
Site en anglais mais simple d'utilisation.

3. De quelle longueur devrait-il être ?

De nos jours, la recommandation est d’utiliser des mots de passe d'au moins 21 caractères. Un mot de passe de 21 caractères comme WdhYSNM#t4saq3s!fH9B1 prendrait 42 quintillions d’années pour être cassé. (1 quintillion est égal à 1 milliard de trilliards)

4. Puis-je utiliser le même mot de passe plusieurs fois ?

Ce n’est pas recommandé. Advenant une brèche de sécurité chez un de vos fournisseurs de services, si votre mot de passe est divulgué et que vous l’utilisez aussi ailleurs, il sera possible pour une personne malveillante qui mettrait la main dessus d’accéder aussi au second compte.

Utiliser des variantes trop proches, comme Abric0t1$ sur un compte et Abric0t2$ sur un autre, n’est pas non plus recommandé. Une personne ayant l’un des deux mots de passe pourrait aisément deviner l’autre.

5. Que faut-il éviter d’autre ?

Si une personne malveillante vous vise spécifiquement, elle fera une enquête sur vous. Il est garanti qu’elle trouvera de l’information et sera tentée d’utiliser cette information dans des combinaisons de mots de passe.

Il faut donc éviter d’utiliser des mots du dictionnaire comme abricot ou des marques de commerce tels qu’Amazon, ainsi que des informations personnelles comme une date de naissance, adresse, nom d’un animal de compagnie, etc.
Les exemples ci-dessous ne sont donc pas conseillés :

  • abricot1! ou A8ric0t1!: s’approche trop d’un mot du dictionnaire
  • 12Amazon# ou 34secwyse$: comprend le nom d’une marque ou d’un site internet
  • Nem0&D0ris!: bien qu'il faudrait 400 ans pour le cracker, si ce sont vos deux poissons préférés et que cette information est sur un réseau social, il serait préférable de ne pas l'utiliser

De plus en plus d’outils sont aussi capables d’automatiquement remplacer certains caractères, par l’équivalent en chiffre ou caractères spéciaux, réduisant ainsi le temps nécessaire pour déchiffrer un mot de passe.
Ex. : a -> @, o -> 0, b -> 8 ...

Il faut aussi éviter de créer un mot de passe qui commence par une majuscule et se termine par un caractère spécial ou un chiffre. C’est une méthode très populaire de « complexifier » un mot de passe.

Évidemment, écrire son mot de passe sur un bout de papier est une habitude à proscrire.

6. Comment s’en souvenir ?

Avec la quantité de sites sur lesquels nous sommes inscrits, il devient difficile de se souvenir de tous nos mots de passe, surtout si nous en utilisons des différents pour chaque compte, qu’ils sont aléatoires et qu'ils font 20 caractères de long.

Certaines personnes utilisent un algorithme mental pour générer leurs mots de passe et s’en souvenir systématiquement. (ex. : algorithme Cue-Pin-Select)
D’autres vont utiliser des moyens mnémotechniques comme la phonétique : « J’aime beaucoup secwyse » deviendrait JmB0cou$3kw0aIz par exemple.

Créer de tête de nombreux mots de passe inviolables et inoubliables
Nous présentons un générateur de mots de passe nommé Cue-Pin-Select qui est sécurisé, durable, adaptable à tous les ensembles de contraintes usuelles et aisément exécutable de tête ou avec un papier et un stylo. Ce générateur extrait de manière pseudo-aléatoire une suites de caractères à partir d’un…
Lien direct vers le document: PDF

Si vous ne souhaitez pas compter sur votre mémoire pour tous ces mots de passe, vous pouvez utiliser un gestionnaire de mot de passe (outil présenté plus bas).

7. Un mot de passe robuste, est-ce suffisant ?

Malheureusement, un mot de passe robuste seul n’est pas assez. S’il se fait compromettre, un acteur malveillant pourra alors accéder au compte auquel il est relié.

Afin d’ajouter une couche supplémentaire de sécurité sur vos comptes, nous vous invitons à activer l’authentification à multifacteur, souvent abrégée en anglais par 2FA (two-factor authentification) ou MFA (Multi-factor authentification). C’est une méthode supplémentaire permettant de confirmer que c’est bien vous qui essayez d’accéder à un compte.

La méthode la plus courante est via une méthode numérique et un code temporaire. Le code demandé peut être reçu par courriel/SMS ou généré par une application spécifique (souvent mobile).
Dans le cas où le code vous est envoyé par courriel ou SMS, celui-ci a une durée de vie allant de 10 minutes à une heure.
Si vous utilisez une application pour générer ce code, il sera valide pendant 60 secondes seulement.

Voici quelques applications d’authentification :

Authy | Two-factor Authentication (2FA) App & Guides
Two-factor authentication (2FA) adds an additional layer of protection beyond passwords. Download our free app today and follow our easy to use guides to protect your accounts and personal information.
Authy permet d’avoir l’application d’authentification synchronisée sur plusieurs appareils (mobile, tablette, ordinateur), ce qui vous « autorise » à perdre un de ces appareils sans perdre accès à tous vos comptes.
Google Authenticator - Apps on Google Play
Enable 2-step verification to protect your account from hijacking.
Lien vers la version pour iPhone/iPad
Application d’authentification pour téléphone mobile Microsoft | Sécurité Microsoft
Protégez vos données personnelles et professionnelles de toute intrusion extérieure en vous connectant de façon sécurisée aux applications de votre organisation grâce à l’application d’authentification pour téléphone mobile Microsoft.

Certains vont préférer utiliser une méthode physique en tant que facteur supplémentaire, comme une YubiKey (certains modèles permettent même de ne plus utiliser de mots de passe).

La clé YubiKey
La clé de sécurité numéro un du marché qui propose l’authentification à deux facteurs, multi-facteurs et sans mot de passe.

De plus en plus de services proposent maintenant un accès sans mot de passe. C’est d’ailleurs le cas de secwyse. En effet, lorsque vous souhaitez vous connecter, nous vous envoyons un lien unique et à durée de vie limitée.
Un mot de passe de moins à gérer ! 🥳

Les gestionnaires de mots de passe

Concept de gestionnaire de mots de passe
Concept de gestionnaire de mot de passe

Si vous ne souhaitez pas vous embêter à essayer de vous souvenir de tous vos mots de passe, l’utilisation d’un gestionnaire de mots de passe devient un ami très précieux, puisqu’il vous suffira de vous souvenir d’un seul mot de passe.

Il est préférable de ne pas enregistrer vos mots de passe directement dans votre navigateur web. Il existe des maliciels capables de les consulter ou d’en sortir la liste.

Un gestionnaire de mots de passe, ou voûte, va vous permettre d’enregistrer de façon sécuritaire l’ensemble de vos codes d’accès. Tout est automatiquement et immédiatement crypté.
Pour y accéder, vous aurez besoin d’un mot de passe maître. Faites-le très robuste afin que seuls vous puissiez vous en souvenir. Ajoutez aussi une authentification multifacteur et le tout sera inaccessible à toutes personnes autres que vous.

N’oubliez pas ce mot de passe ou il vous sera alors difficile de récupérer l’accès à votre voûte.

Ces outils vous permettront de créer des mots de passe robustes. En effet ils viennent avec un générateur de mots de passe que vous pouvez paramétrer selon vos critères. Certains sont en mesure de vous donner la robustesse de votre mot de passe, et même de vous indiquer si celui-ci est présent dans une liste suite à une brèche de données.

Dans cette voûte, vous pourrez aussi mettre des informations personnelles, telles que vos passeports, permis de conduire, adresse civique. Ainsi, remplir des formulaires sur internet sera un jeu d’enfant. Vous aurez toute l’information rapidement accessible. De plus, la plupart des gestionnaires de mots de passe vous permettent d’auto-compléter ces formulaires. Vous pouvez voir cet outil comme un coffre-fort numérique sécurisé.

Pour ces applications il existe souvent plusieurs plans, gratuit et premium, ajoutant des fonctionnalités supplémentaires.
Voici quelques exemples de gestionnaires de mots de passe :

Bitwarden Open Source Password Manager
Bitwarden is an integrated open source password management solution for individuals, teams, and business organizations
Le gestionnaire de mot de passe pour les familles, les entreprises, et les groupes de travail | 1Password
Un gestionnaire de mot de passe, un coffre-fort numérique, un remplisseur de formulaire et un portefeuille numérique sécurisé. 1Password se souvient de tous vos mots de passe pour vous afin de vous aider à protéger les informations de votre compte.
LastPass | Gestionnaire de mots de passe, remplissage automatique de formulaires, générateur de mots de passe aléatoires et app de porte-monnaie électronique sécurisée
Gestionnaire de mots de passe, remplissage automatique de formulaires, générateur de mots de passe aléatoires et app de porte-monnaie électronique sécurisée

Le mot de la fin

Maintenant que vous savez comment créer un mot de passe robuste, il faut prendre le temps de passer au travers des différents comptes que vous avez, afin de les modifier s'ils ne sont pas assez complexes.
Ce serait aussi un bon moment pour activer l'authentification multifacteur, et si vous décidez d'utiliser un gestionnaire de mot de passe, de commencer à le remplir.

secwyse n'est affilié à aucun des outils et produits mentionnés ci-haut. Ils sont partagés à titre indicatif.

Super! Maintenant passez au paiement pour un accès complet à secwyse.io.
Welcome back! You've successfully signed in.
You've successfully subscribed to secwyse.io.
Excellent! Votre compte est activé, vous avez désormais accès à tous les contenus.
Parfait! Vos informations de facturation ont été mises à jour.
Votre facturation n’a pas été mise à jour.