Pour qu’un mot de passe soit robuste, il doit respecter quelques critères. Quels sont-ils ? Quelle est la définition d’un mot de passe fort et complexe ? Pourquoi ne faut-il surtout pas utiliser le même pour différents comptes ?
Nous répondons à ces questions dans l’article ci-dessous et nous vous donnons quelques astuces pour créer de bons mots de passe.
Un bon mot de passe est obligatoire
Au quotidien, nous sommes nombreux à utiliser des comptes en ligne, accessibles avec un identifiant et un mot de passe. Cela semble donc suffisant, au premier abord, pour sécuriser nos accès sur internet. Or, ce n’est pas le cas. Si l’on n’utilise pas un code d’accès suffisamment long et complexe, alors le niveau de protection de nos comptes reste faible.
En effet, dans un contexte de menace accrue sur la sécurité des données et grâce à des méthodes de plus en plus sophistiquées, les pirates arrivent de plus en plus facilement à compromettre les mots de passe.
Par exemple : un mot de passe tiré d’un mot du dictionnaire, quelle qu’en soit sa longueur, serait trouvé en quelques heures seulement. Alors qu’il faudrait des années pour trouver un mot de passe plus complexe.
Les enjeux sont clairs. Pour votre sécurité informatique, il convient de créer un code d’accès robuste et d’en utiliser des différents selon vos comptes sur internet. D’autant plus si le code de déverrouillage de votre PC est identique au code d’accès de votre compte en banque…
Comment créer un mot de passe long et diversifié
Aujourd’hui, il est recommandé par la CNIL de rédiger un mot de passe d’au moins 12 caractères ou d’opter pour une « phrase de passe » (passphrase en anglais), comprenant :
- Minuscules
- Majuscules
- Chiffre (au moins 1)
- Caractère spécial (au moins 1)
Afin que personne ne puisse le deviner, il ne doit jamais faire référence à vos informations personnelles. Pourquoi cela ? Car pour tenter de trouver votre mot de passe, un pirate va tout d’abord demander à l’ordinateur d’effectuer des recherches en lien avec vos données personnelles. Par exemple, n’utilisez pas votre date de naissance ou le prénom de votre enfant. Ces informations sont disponibles sur les réseaux sociaux ou facilement devinables.
Prenons l’exemple de « Rio2mille!9 ». Ce code d’accès semble robuste, car il correspond aux prérequis d’un bon mot de passe. Toutefois, si votre perroquet s’appelle Rio, et qu’il est né en 2019, un pirate peut facilement trouver ces informations en ligne. Ce dernier n’aura plus qu’à demander à l’ordinateur de tester un maximum de combinaisons entre le nom de votre animal et sa date de naissance. Ou encore, avec les informations concernant vos enfants ou votre conjoint.
De ce fait, il convient de proscrire tout mot de passe relatif à un terme issu du dictionnaire, ou faisant référence à une information personnelle connue publiquement, comme une date de mariage ou de naissance.
Enfin, il ne doit pas figurer dans la liste des mots de passe les plus utilisés.
Un mot de passe à usage unique
Il est vivement conseillé d’utiliser un mot de passe unique et différent pour chaque compte de messagerie (professionnelle et personnelle). Il en va de même pour tout autre accès en ligne présentant un caractère sensible (banque, réseaux sociaux, sessions utilisateur).
En effet, si l’un de vos comptes est victime d’une fuite de données, votre code d’accès pourrait être réutilisé afin d’accéder à vos autres comptes utilisant un mot de passe identique.
Vous pouvez vérifier si l’un de vos comptes a été compromis dans une violation de données et découvrir la source de cet incident pour y remédier.
Il est donc évident que :
- Votre mot de passe ne doit pas être noté sur un post-it à côté de votre poste, ni dans un bloc-notes
- Il ne doit pas se trouver dans un document Word sur votre ordinateur, ou sur votre smartphone ou encore dans vos e-mails (car ils ne sont pas prévus pour les stocker et les sécuriser)
- Ne demandez pas à un tiers de créer un mot de passe pour vous
- N’autorisez pas l’enregistrement automatique des mots de passe dans votre navigateur internet
- Changez les codes d’accès qui vous sont attribués par défaut
- Au moindre soupçon, changez votre mot de passe
- Sur un ordinateur partagé en lieu public, utilisez la navigation privée et déconnectez vos sessions après chaque utilisation
Comment le mémoriser ?
À moins d’utiliser un coffre-fort numérique de type gestionnaire de mot de passe, il peut être difficile de mémoriser l’ensemble de vos codes d’accès. Néanmoins, nous vous proposons quelques astuces pour créer un mot de passe fort et vous en souvenir.
Quelques astuces pour vous aider
Basez-vous sur une phrase que vous aimez bien utiliser, sur un proverbe qui vous marque, ou sur une citation extraite de votre film préféré.
Prenons pour exemple : « Rio ne répond plus » (nous ne parlons pas de votre perroquet, rassurez-vous, mais du film OSS 117 😊) avec la réplique « D’aucun ont des aventures, je suis une aventure ! ».
En utilisant la première lettre de chaque mot, et en conservant la ponctuation, cela donnerait : D’aoda,jsua !
Complexifiez ce résultat avec un mélange de majuscules, minuscules, chiffres et symboles. Cela donne : #D@0da,Js1a !
→ Ici, le premier A est remplacé par un @ – le o remplacé par le chiffre 0 – le un par le chiffre 1.
Ce mot de passe serait donc simple à retenir et difficile à deviner.
La CNIL met à disposition un outil pour aider les utilisateurs à créer un mot de passe long et mémorisable.
Utilisez un générateur de mot de passe
Comme tous vos codes d’accès doivent être différents, il est quasiment impossible de tous les retenir !
Simplifiez-vous la tâche avec un gestionnaire de mots de passe, ou coffre-fort de mots de passe. Ce dernier mémorise l’ensemble de vos mots de passe et vous permet d’en générer de manière aléatoire. Ainsi, vous n’avez plus qu’un seul mot de passe à retenir : celui de votre outil gestionnaire.
KeePass est un gestionnaire gratuit recommandé par la CNIL.
Keeper® est une autre option, proposant plus de fonctionnalités, notamment le partage temporaire et sécurisé des mots de passe entre utilisateurs. Utile si vous souhaitez partager l’accès à l’un de vos collaborateurs sur un temps limité. Keeper est également disponible hors ligne, et sur plusieurs appareils à la fois (smartphone, postes de travail, tablette,…).
Augmentez la sécurité avec la double authentification
Si l’option vous est proposée dans les paramètres de votre compte utilisateur, activez la double authentification. Cela vous apporte un élément de sécurité supplémentaire et vous permet d’être informé par e-mail ou sms de toute tentative de connexion à votre compte depuis un autre terminal.
Changez régulièrement de mot de passe
Un des mots de passe les plus importants à changer régulièrement est celui de votre adresse e-mail. En effet, c’est grâce à votre boite mail que vous pouvez réinitialiser des codes d’accès. Donc au moins deux fois par an, changez celui-ci et autres accès de comptes que vous jugez nécessaires.
En entreprise, nous vous recommandons de mettre en place une stratégie d’expiration de mot de passe automatique pour les accès aux sessions et boites mail. Il faudra accorder une attention toute particulière aux comptes administrateurs, qui sont particulièrement visés par les cybercriminels.
Pour plus d’informations sur la sécurité d’entreprise, contactez-nous.