Mots de passe : les bonnes pratiques

Introduction

En complément de notre générateur de mots de passe, nous souhaitons vous sensibiliser quant à l’importance d’utiliser des mots de passe forts. Voici une synthèse des bonnes pratiques à respecter pour la gestion de vos mots de passe, si vous souhaitez protéger au mieux vos différents comptes.

Utilisez des mots de passe complexes

La première question qui vient à l’esprit : qu’est-ce qu’un mot de passe complexe ? Un mot de passe est complexe lorsqu’il mixte différents types de caractères et qu’il n’est pas facilement devinable. Les deux conditions vont ensemble et doivent être respectées.

Vous devez utiliser (au minimum) 3 des 4 types de caractères suivants : minuscules, majuscules, chiffres et caractères spéciaux Par exemple, le mot de passe « Azerty123 » mixte trois types de caractères mais ce n’est pas pour autant qu’il est complexe. En effet, il utilise des chaînes de caractères facilement devinables et connues des pirates informatiques. Un mot de passe facile à deviner, c’est un mot de passe qui utilise des suites logiques simples (« abcdef », « azerty », « password », etc.), ou à des informations à votre sujet comme votre prénom, votre nom, ou encore votre date de naissance.

Pour générer un mot de passe complexe, il est recommandé d’utiliser un générateur de mots de passe ou d’utiliser d’autres méthodes basées sur la traduction de phrases en mots de passe. Par exemple, il existe la méthode de la première lettre : on invente une phrase telle que « Vous avez 2 voitures noires et une moto rouge », qui donnera en mot de passe : « Va2vn&1mr ».

Utilisez des mots de passe longs

Plus un mot de passe est long, plus est difficile à deviner et moins il sera vulnérable aux attaques de type « Brute force » et de type « Password spraying ». En effet, une attaque qui utilise la méthode « Brute force » consiste à essayer un maximum de combinaisons possibles pour se connecter sur un compte. Les combinaisons sont issues de dictionnaires de mots de passe qui peuvent contenir des millions d’entrées. Utiliser un mot de passe complexe et long à la fois permet de se protéger contre ce type d’attaques.

Il est recommandé d’utiliser des mots de passe de 12 caractères minimums, en plus de la complexité évoquée précédemment.

Utilisez un gestionnaire de mots de passe

Utilisez un mot de passe long et complexe, oui, mais comment le retenir ? Ou plutôt, comment les retenir lorsqu’il y en aura des dizaines ? La solution, ce ne sont pas les post-it que l’on va coller sur son écran ! La solution à un autre nom : le gestionnaire de mots de passe.

Il s’agit d’un logiciel qui va permettre de créer un coffre-fort numérique où vous allez stocker l’ensemble de vos identifiants et mots de passe pour chacun des sites et applications que vous utilisez. Sur le marché, il existe des solutions payantes et gratuites, et vous pouvez trouver votre bonheur dans les solutions gratuites. Nous vous recommandons Bitwarden et KeePass, deux solutions fiables et open source.

Pour déverrouiller votre coffre-fort, il faudra saisir votre mot de passe maître : c’est le seul mot de passe que vous devez retenir.

Utilisez des mots de passe différents à chaque fois

Partez du principe que chaque compte doit avoir son mot de passe unique pour une raison simple : si vous perdez un mot de passe ou que le mot de passe fuite suite à un piratage, ce sera le seul compte affecté.

Si vous n’appliquez pas cette règle, en cas de perte ou de vol d’un mot de passe, vous pourriez être contraint de modifier le mot de passe sur un nombre important de sites. Difficilement gérable. Autrement dit, le pirate peut accéder à tous les sites où vous utilisez le même mot de passe. Anticipez et dès le départ utilisez des mots de passe différents : le gestionnaire de mots de passe est votre meilleur allié pour les gérer.

Dans le cas où un site est victime d’un piratage et que vous disposez d’un compte sur ce site, changez immédiatement votre mot de passe et mettez à jour votre coffre-fort.

Utilisez la double authentification

A chaque fois que cela est possible, activez la double authentification, que l’on appelle également « authentification multifacteurs ».

C’est une option de plus en plus répandue et elle représente une sécurité supplémentaire non négligeable pour protéger l’accès à votre compte. Concrètement, en plus d’indiquer votre nom d’utilisateur et votre mot de passe, vous devrez valider un deuxième facteur pour vous connecter. Ce second facteur peut être un code reçu par SMS ou par e-mail, un code généré par une application comme Microsoft Authenticator ou Google Authenticator, une clé de sécurité (par exemple FIDO), ou encore un jeton obtenu à partir d’une clé adéquate.

Ce n'est pas tout...

En plus des règles évoquées ci-dessus, vous devez prendre en considération les recommandations suivantes :

• Ne communiquez jamais votre mot de passe

• Modifiez les mots de passe par défaut : certains sites génèrent un mot de passe pour vous mais vous devez le changer même s’il semble complexe !

• Evitez autant que possible de vous connecter avec vos identifiants sur des ordinateurs partagés et en libre accès dans certains lieux