Les vols de données personnelles se multiplient... il est temps d'adopter une stratégie et des bonnes pratiques pour changer, créer et gérer vos mots de passe.
De récentes affaires de vols massifs de données, avec des chiffres à faire pâlir de peur les internautes – dans une affaire récente, des pirates russes ont accumulé 1,2 milliard d'identifiants et de mots de passe, et 500 millions d'adresses mail ! (lire « 1,2 milliard d'internautes entre les mains d'un gang russe ») -, ont mis en évidence la faiblesse de la sécurité des mots de passe. Ainsi que la nécessité de les renouveler régulièrement en adoptant de bonnes pratiques.
Nous sommes tous en cause dans ces dérives. Les hackers, bien sûr, qui dérobent nos identités, mais pourraient-ils le faire si facilement si ces données étaient protégées sérieusement ? Les entreprise et la DSI, inévitablement, et comme nous l'indique Geoff Webb, Senior Director, Solution Strategy chez NetIQ, « Tant (qu'elles) n’auront pas assimilé le caractère critique de la protection des mots de passe, ce type de hack continuera de se multiplier ». Et surtout les utilisateurs, qui encore aujourd'hui continuent d'employer le même mot de passe par trop simplifié quelque soit le compte auquel ils accèdent. « C’est bien notre propre comportement en tant qu’utilisateur qui constitue le plus gros risque »., renchérit Geoff Webb.
Comment créer un mot de passe efficace
Puisque que la période des vacances et de la reprise est souvent l'occasion de s'engager dans de bonnes résolutions, nous avons fait un rapide tour d'acteurs de la sécurité pour répondre à cette question : comment créer un mot de passe efficace ?
Pour Alexis Fogel, de Dashlane, il existe quelques règles de base pour assurer une bonne sécurité de vos données personnelles sur Internet.
- Utiliser un mot de passe différent par site web
Nous utilisons régulièrement le même mot de passe, quelque soit le site visité. Les pirates l'ont bien compris, et s'ils dérobent un mot de passe, ils vont démultiplier son exploitation, ce qui rend l'internaute particulièrement fragile. Un mot de passe différent par site limite les risques d'une attaque.
- Utiliser des mots de passe complexes
Nombre de services l'ont compris, qui testent les mots de passe qui sont choisis par leurs clients afin d'imposer des règles de longueur minimale et de diversité des caractères. Un mot de passe simple est facile à décrypter, ainsi que les mots de passe les plus couramment utilisés (par exemple 'motdepasse', '123456', '1111111', 'azerty', 'abcdefg', 'abc123', 'football', etc., les listes sont régulièrement publiées sur les sites spécialisés). En revanche, la présence de lettres majuscules, minuscules, de chiffres et éventuellement de caractères de séparation ou de ponctuation (/, +, ?, etc.) complexifie la tâche du hacker.
- Changer de mot de passe régulièrement
L'actualité nous le démontre au quotidien, aucun site n'est à l'abri, et les sites les plus en vue sont régulièrement attaqués. De plus, si la loi américaine impose aux entreprises de rendre publiques les vols de données, leurs consoeurs françaises ont plutôt tendance à conserver cette information sécrète. Dans le doute, il est préférable de limiter le risque en limitant la durée de vie d'un mot de passe.
- Utiliser l'authentification à deux facteurs
Cette pratique devrait tendre à se généraliser, et elle est parfois proposée en option. L'utilisateur saisit classiquement son identifiant et son mot de passe, mais il doit compléter ces informations par un autre mot de passe, temporaire, et fourni en direct lors de l'accès au site sous la forme d'un mail ou d'un SMS.
Elaborer un bon mot de passe
« Pour être efficace, mieux vaut qu’un mot de passe n’ait aucune signification, utilise un grand nombre de caractères, idéalement associant chiffres et lettres, et évite les suites logiques et les éléments à caractères personnels, de type prénoms de personnes de son entourage, dates importantes, références à des lieux d’habitation, suites de chiffres ou de lettres. »
Xavier Dreux, Responsable Marketing chez Prim'X, nous propose quelques techniques pour élaborer un bon mot de passe : il démarre d’une phrase qu'il retient, puis il utilise l’une des trois techniques suivantes :
- Utiliser des acronymes en ne gardant que la première lettre des différents mots qui compose une phrase. Exemple : « j’adore créer des mots de passe très compliqué » donnera « jcdmdptc ».
- S’appuyer sur la phonétique et le langage SMS pour écrire les mots de la phrase phonétiquement et en remplaçant certains mots par des lettres majuscules ou des chiffres. Exemple : « j’aime les mots de passe » devient « jMlesmot2pas ».
- Utiliser le Leet Speak, dont l’usage le plus courant consiste à remplacer certaines lettres par des chiffres visuellement proches (on remplace les e par des 3, les o par des 0, les s par des 5). Exemple : « créer un mot de passe » se transformera en « cr33r un m0t d3 pa553 ».
Outiller sa gestion de mots de passe
Pour aller plus loin, et considérant la difficulté de mémoriser la multiplicité des mots de passe que l'on nous conseille de créer, nos expets nous invitent à utiliser un gestionnaire de mots de passe. Ce logiciel va stocker de façon sécurisée vos mots de passe. La plupart sont également capables d’en générer, et de vous avertir dès qu’il y a un risque sur un site web afin que vous puissiez modifier votre mot de passe le plus rapidement possible.
Et n'oubliez pas, ne divulguez jamais vos mots de passe à un tiers !