Gardez vos mots de passe forts et sûrs avec ces 9 règles
Les mots de passe sont encore essentiels dans nos vies numériques. Il convient d'utiliser des mots de passe forts et sûrs. Suivez ces règles et tout ira bien.
Un mot de passe fort est essentiel pour votre sécurité en ligne, et il vous en faut un unique pour chacun de vos comptes. Mais avec tous ces comptes, il est très tentant de succomber à la mauvaise habitude d’utiliser le même mot de passe (et le même identifiant) partout. Si vos données sont compromises, un mot de passe faible vous expose, au vol d’identité par exemple. En attendant que les mots de passe ne soient plus que de l’histoire ancienne, il convient de prendre les bonnes mesures.
Utilisez un gestionnaire de mots de passe
Les mots de passe forts sont longs, difficiles à deviner, avec moult caractères spéciaux et des chiffres. C’est là que les gestionnaires de mots de passe sont utiles. Un bon gestionnaire de mots de passe comme 1Password ou Bitwarden peut créer des mots de passe forts pour vous et ces solutions fonctionnent sur desktop et mobile.
Le seul inconvénient, finalement, c’est qu’il faut se souvenir d’un seul mot de passe, le mot de passe maître, qui vient déverrouiller l’accès à tous les autres. Celui-ci doit être très fort. N’oubliez pas non plus que même les gestionnaires de mots de passe peuvent être piratés.
Oui, vous pouvez écrire vos identifiants
Cette recommandation va à l’encontre de tout ce que l’on a pu vous dire quant à la protection en ligne. Mais les gestionnaires de mots de passe ne sont pas pour tout le monde. Certains experts en sécurité, comme l’Electronic Frontier Foundation, expliquent que garder vos identifiants sur une feuille de papier ou dans un carnet est une méthode tout à fait viable.
Bien sûr, ce faisant, quelqu’un pourrait pénétrer chez vous et repartir avec tous vos mots de passe, mais c’est très peu probable. Au bureau ou chez vous, gardez cette feuille dans un endroit sûr ou bien caché. Et faites savoir à un minimum de personnes où elle est.
Si vous voyez souvent, transporter avec vous vos mots de passe viendra par contre augmenter les risques de perte.
Soyez averti(e) si vos mots de passe sont compromis
Il n’est pas toujours possible d’empêcher ses mots de passe d’être compromis, mais l’on peut savoir si c’est le cas. Mozilla Firefox Monitor ou Google Password Checkup peuvent vous dire si telle adresse email et/ou tel mot de passe sont compromis. Have I Been Pwned offre la même fonction.
Évitez les mots et combinaisons de caractères trop communs dans vos mots de passe
L’objectif est de créer un mot de passe qu’un tiers ne pourrait deviner facilement. Évitez donc les mots courants et autres séquences de caractères prédictibles. Évitez aussi d’utiliser votre nom, prénom, celui de votre animal, votre date de naissance, numéro de rue ou quoi que ce soit associé à vous directement. A fortiori si c’est une information publique.
Les mots de passe longs sont meilleurs : 8 caractères, pas moins
8 caractères est une bonne longueur pour commencer à parler de mot de passe forts. Mais plus long, c’est mieux. L’Electronic Frontier Foundation et l’expert en sécurité Brian Krebs, parmi de nombreux autres, recommandent d’utiliser une passphrase constituée de trois ou quatre « mots » aléatoires. C’est plus difficile de s’en souvenir, cependant, d’où l’intérêt d’un gestionnaire de mots de passe.
Ne recyclez pas vos mots de passe
Réutiliser ses mots de passe sur des sites différents est une très mauvaise idée. Si quelqu’un met la main sur un mot de passe, il aura accès à vos autres comptes. Il en va de même en procédant avec de très simples modifications. Par exemple, PasswordOne et PasswordTwo, c’est interdit ! En utilisant un mot de passe unique pour chacun de vos comptes, dans l’éventualité où un hacker mettrait la main sur un mot de passe, il n’aurait accès qu’à ce seul compte.
Évitez d’utiliser des mots de passe déjà compromis
Les hackers utilisent des dictionnaires lorsqu’ils tentent de se connecter sur des comptes. Et ceux-ci sont notamment constitués de mots de passe déjà compromis. Pour vérifier si votre mot de passe a été compromis, allez sur le site Have I Been Pwned et entrez votre mot de passe.
Nul besoin de changer votre mot de passe régulièrement
Pendant des années, changer son mot de passe tous les 60 ou 90 jours était une pratique acceptée, parce que l’on pensait que c’était à peu près le temps nécessaire pour cracker un mot de passe. Mais Microsoft recommander aujourd’hui de ne pas le faire, à moins bien sûr de suspecter la compromission. Pourquoi ? En étant ainsi forcés à changer fréquemment, nombre d’entre nous prendrions la mauvaise habitude d’opter pour des mots de passe faciles à mémoriser ou de les écrire sur un post-it collé sur l’écran.
Utilisez l’authentification double facteur… mais évitez les codes via SMS
Si les voleurs mettent la main sur votre mot de passe, vous pouvez toujours empêcher l’accès à votre compte si vous avez opté pour l’authentification double facteur (2FA). Le système vous demandera alors de saisir une deuxième preuve, un code unique éphémère, avant de vous autoriser l’accès. Ainsi, si un hacker obtient votre mot de passe, sans votre appareil de confiance (souvent votre smartphone), il ne pourra se connecter sur votre compte.
Le plus souvent, le code unique est envoyé par SMS ou directement via un appel téléphonique. Malheureusement, les hackers peuvent aujourd’hui facilement usurper votre ligne (via SIM swap) et intercepter le code.
Le plus sûr reste d’utiliser une application d’authentification comme Authy, Google Authenticator ou Microsoft Authenticator. Et une fois la configuration effectuée, vous pouvez enregistrer votre appareil ou votre navigateur pour ne plus avoir à vous authentifier doublement à chaque fois que vous voulez vous connecter quelque part.
- Utilisez un gestionnaire de mots de passe
- Oui, vous pouvez écrire vos identifiants
- Soyez averti(e) si vos mots de passe sont compromis
- Évitez les mots et combinaisons de caractères trop communs dans vos mots de passe
- Les mots de passe longs sont meilleurs : 8 caractères, pas moins
- Ne recyclez pas vos mots de passe
- Évitez d’utiliser des mots de passe déjà compromis
- Nul besoin de changer votre mot de passe régulièrement
- Utilisez l’authentification double facteur… mais évitez les codes via SMS