Comment choisir un bon mot de passe ?
Les mots de passe.
Les mots de passe… Sources de bien des questions !
Voici quelques réponses qui, nous l'espérons, répondront à vos interrogations.
1. Faut-il les changer souvent ?
Changer régulièrement un mot de passe est une bonne pratique. Cependant, ce n’est plus une mesure requise si celui-ci est suffisamment robuste. En effet, si votre mot de passe est compliqué, il faudra beaucoup de temps pour essayer de le cracker. Mais s’il est simple, il pourrait être découvert en quelques minutes. Le changer pour un autre mot de passe simple donnerait alors un faux sentiment de sécurité, puisque celui-ci pourrait être trouvé tout aussi vite.
Selon une étude, sur une liste contenant 500 mots de passe populaires, près de
80 % des personnes interrogées avaient au moins un de leurs mots de passe dedans.
2. Qu’est-ce qu’un mot de passe robuste ?
Un mot de passe robuste est un mot de passe compliqué, formé d’un grand nombre de caractères, et composé de lettres minuscules et majuscules, de chiffres et de caractères spéciaux.
La longueur moyenne des mots de passe des gens se situe entre 7 et 9 caractères. Prenons par exemple le mot abricot. Ce mot de 7 lettres faisant partie du dictionnaire pourrait être découvert instantanément, car il ne faut pas beaucoup de temps à un ordinateur pour comparer votre mot de passe à une liste de mots déjà existants.
Graduellement, nous allons complexifier le même mot de passe, et voir l’évolution du temps nécessaire pour le déchiffrer. (Je vous invite à bien regarder les différences d’une ligne à l’autre)
abricot: instantané@bricot: 4 secondes@bric0t: 22 secondesAbricot,abRicot: 25 secondesabric0t: 1 minuteAbric0t,Abr1c0t,A8r1c0t,A8r1C0t: 1 minute
Comme vous le constatez, nous ne sommes pas capables d’aller au-delà d’une minute. La raison est le nombre de caractères. En gardant 7 caractères, on stagne à 1 minute. Changer de mot pour P0iVr0n ne règlerait pas votre problème, car nous avons le même nombre de caractères. C’est pourquoi il faut privilégier la longueur du mot de passe, plutôt que de le changer souvent.
Reprenons abricot auquel nous allons ajouter 1, puis 2 caractères.
abricot1: 1 minuteAbricot1: 1 heureabricot1$: 16 heuresAbricot1$,Abric0t1$,A8r1c0t1$: 3 semaines
Comme vous pouvez le constater, ici aussi, nous ne sommes pas capables d’aller au-delà de 3 semaines. Pour dépasser ces 3 semaines, il faudrait continuer d’ajouter des caractères.
Gardez en tête que les temps indiqués sont des estimés maximums. Il se peut donc que votre mot de passe soit déchiffré plus rapidement.
Afin de vérifier la robustesse d’un mot de passe, vous pouvez utiliser le site ci-dessous, qui vous indiquera sa force.
3. De quelle longueur devrait-il être ?
De nos jours, la recommandation est d’utiliser des mots de passe d'au moins 21 caractères. Un mot de passe de 21 caractères comme WdhYSNM#t4saq3s!fH9B1 prendrait 42 quintillions d’années pour être cassé. (1 quintillion est égal à 1 milliard de trilliards)
4. Puis-je utiliser le même mot de passe plusieurs fois ?
Ce n’est pas recommandé. Advenant une brèche de sécurité chez un de vos fournisseurs de services, si votre mot de passe est divulgué et que vous l’utilisez aussi ailleurs, il sera possible pour une personne malveillante qui mettrait la main dessus d’accéder aussi au second compte.
Utiliser des variantes trop proches, comme Abric0t1$ sur un compte et Abric0t2$ sur un autre, n’est pas non plus recommandé. Une personne ayant l’un des deux mots de passe pourrait aisément deviner l’autre.
5. Que faut-il éviter d’autre ?
Si une personne malveillante vous vise spécifiquement, elle fera une enquête sur vous. Il est garanti qu’elle trouvera de l’information et sera tentée d’utiliser cette information dans des combinaisons de mots de passe.
Il faut donc éviter d’utiliser des mots du dictionnaire comme abricot ou des marques de commerce tels qu’Amazon, ainsi que des informations personnelles comme une date de naissance, adresse, nom d’un animal de compagnie, etc.
Les exemples ci-dessous ne sont donc pas conseillés :
abricot1!ouA8ric0t1!: s’approche trop d’un mot du dictionnaire12Amazon#ou34secwyse$: comprend le nom d’une marque ou d’un site internetNem0&D0ris!: bien qu'il faudrait 400 ans pour le cracker, si ce sont vos deux poissons préférés et que cette information est sur un réseau social, il serait préférable de ne pas l'utiliser
De plus en plus d’outils sont aussi capables d’automatiquement remplacer certains caractères, par l’équivalent en chiffre ou caractères spéciaux, réduisant ainsi le temps nécessaire pour déchiffrer un mot de passe.
Ex. : a -> @, o -> 0, b -> 8 ...
Il faut aussi éviter de créer un mot de passe qui commence par une majuscule et se termine par un caractère spécial ou un chiffre. C’est une méthode très populaire de « complexifier » un mot de passe.
Évidemment, écrire son mot de passe sur un bout de papier est une habitude à proscrire.
6. Comment s’en souvenir ?
Avec la quantité de sites sur lesquels nous sommes inscrits, il devient difficile de se souvenir de tous nos mots de passe, surtout si nous en utilisons des différents pour chaque compte, qu’ils sont aléatoires et qu'ils font 20 caractères de long.
Certaines personnes utilisent un algorithme mental pour générer leurs mots de passe et s’en souvenir systématiquement. (ex. : algorithme Cue-Pin-Select)
D’autres vont utiliser des moyens mnémotechniques comme la phonétique : « J’aime beaucoup secwyse » deviendrait JmB0cou$3kw0aIz par exemple.
Si vous ne souhaitez pas compter sur votre mémoire pour tous ces mots de passe, vous pouvez utiliser un gestionnaire de mot de passe (outil présenté plus bas).
7. Un mot de passe robuste, est-ce suffisant ?
Malheureusement, un mot de passe robuste seul n’est pas assez. S’il se fait compromettre, un acteur malveillant pourra alors accéder au compte auquel il est relié.
Afin d’ajouter une couche supplémentaire de sécurité sur vos comptes, nous vous invitons à activer l’authentification à multifacteur, souvent abrégée en anglais par 2FA (two-factor authentification) ou MFA (Multi-factor authentification). C’est une méthode supplémentaire permettant de confirmer que c’est bien vous qui essayez d’accéder à un compte.
La méthode la plus courante est via une méthode numérique et un code temporaire. Le code demandé peut être reçu par courriel/SMS ou généré par une application spécifique (souvent mobile).
Dans le cas où le code vous est envoyé par courriel ou SMS, celui-ci a une durée de vie allant de 10 minutes à une heure.
Si vous utilisez une application pour générer ce code, il sera valide pendant 60 secondes seulement.
Voici quelques applications d’authentification :
Certains vont préférer utiliser une méthode physique en tant que facteur supplémentaire, comme une YubiKey (certains modèles permettent même de ne plus utiliser de mots de passe).
De plus en plus de services proposent maintenant un accès sans mot de passe. C’est d’ailleurs le cas de secwyse. En effet, lorsque vous souhaitez vous connecter, nous vous envoyons un lien unique et à durée de vie limitée.
Un mot de passe de moins à gérer ! 🥳
Les gestionnaires de mots de passe
Si vous ne souhaitez pas vous embêter à essayer de vous souvenir de tous vos mots de passe, l’utilisation d’un gestionnaire de mots de passe devient un ami très précieux, puisqu’il vous suffira de vous souvenir d’un seul mot de passe.
Un gestionnaire de mots de passe, ou voûte, va vous permettre d’enregistrer de façon sécuritaire l’ensemble de vos codes d’accès. Tout est automatiquement et immédiatement crypté.
Pour y accéder, vous aurez besoin d’un mot de passe maître. Faites-le très robuste afin que seuls vous puissiez vous en souvenir. Ajoutez aussi une authentification multifacteur et le tout sera inaccessible à toutes personnes autres que vous.
Ces outils vous permettront de créer des mots de passe robustes. En effet ils viennent avec un générateur de mots de passe que vous pouvez paramétrer selon vos critères. Certains sont en mesure de vous donner la robustesse de votre mot de passe, et même de vous indiquer si celui-ci est présent dans une liste suite à une brèche de données.
Dans cette voûte, vous pourrez aussi mettre des informations personnelles, telles que vos passeports, permis de conduire, adresse civique. Ainsi, remplir des formulaires sur internet sera un jeu d’enfant. Vous aurez toute l’information rapidement accessible. De plus, la plupart des gestionnaires de mots de passe vous permettent d’auto-compléter ces formulaires. Vous pouvez voir cet outil comme un coffre-fort numérique sécurisé.
Pour ces applications il existe souvent plusieurs plans, gratuit et premium, ajoutant des fonctionnalités supplémentaires.
Voici quelques exemples de gestionnaires de mots de passe :
Le mot de la fin
Maintenant que vous savez comment créer un mot de passe robuste, il faut prendre le temps de passer au travers des différents comptes que vous avez, afin de les modifier s'ils ne sont pas assez complexes.
Ce serait aussi un bon moment pour activer l'authentification multifacteur, et si vous décidez d'utiliser un gestionnaire de mot de passe, de commencer à le remplir.