Changer régulièrement son mot de passe n’est plus considéré comme une mesure de sécurité supplémentaire pour les comptes en ligne. Un mot de passe complexe, utilisé uniquement pour un compte unique, peut être conservé pendant plusieurs années sans avoir besoin de le modifier.
L’Office fédéral de la sécurité de l’information en Allemagne a cessé de recommander le changement régulier des mots de passe depuis un certain temps dans ses résumés sur la sécurité informatique de base. Toutefois, il est essentiel de modifier un mot de passe si des personnes non autorisées ont pu le découvrir, ou si l’on a des doutes à ce sujet. De plus, le mot de passe utilisé pour certains services ou appareils électroniques doit également être changé régulièrement.
Changer son mot de passe fréquemment peut devenir contraignant pour l’utilisateur, qui peut alors avoir tendance à utiliser des mots de passe simples ou même les mêmes pour plusieurs comptes, ce qui est dangereux. Cela peut entraîner des violations de comptes en ligne si un mot de passe est compromis sur un service. Cela est particulièrement risqué pour les comptes de messagerie électronique, qui sont souvent utilisés pour réinitialiser les mots de passe d’autres services.
L’Office fédéral de la sécurité de l’information recommande d’utiliser un mot de passe fort et complexe, difficile à deviner, mais pas trop compliqué, pour que l’utilisateur puisse l’utiliser régulièrement sans trop de difficulté.
Phrase secrète
Une méthode pour se souvenir des mots de passe complexes (composés de chiffres et de caractères spéciaux) est de s’appuyer sur une phrase dont on prend les premières lettres. Étant donné que l’on peut se souvenir d’un nombre limité de phrases, l’office recommande d’utiliser une stratégie de « feuille de mots de passe ». Le premier volet de cette feuille contient des mots de passe génériques bien mémorisés, tandis que le second est spécifique à chaque compte électronique, noté sur la feuille de mots de passe. Même si cette feuille tombe entre de mauvaises mains, personne ne pourra accéder aux comptes.
Gestionnaire de mots de passe
Il est plus facile de se tourner vers des logiciels de gestion de mots de passe. Ces programmes génèrent, stockent et gèrent des mots de passe complexes. La plupart des gestionnaires de mots de passe peuvent être synchronisés entre plusieurs appareils, comme les smartphones ou les ordinateurs portables, et fonctionnent sur différents systèmes d’exploitation. Ces outils permettent d’utiliser des mots de passe forts et uniques pour chaque service et compte en ligne. Un exemple de programme gratuit est Bitwarden.
Authentification à deux facteurs
Étant donné que les mots de passe peuvent être divulgués ou piratés par des attaques de phishing ou des violations de données, l’Office fédéral recommande d’utiliser l’authentification à deux facteurs (2FA). Cette méthode exige un code supplémentaire lors de chaque connexion, en plus du nom d’utilisateur et du mot de passe. Même si quelqu’un parvient à voler ou deviner un mot de passe, il ne pourra pas se connecter sans ce code supplémentaire. Ce code peut être généré par une application mobile, comme Aegis sur Android.
Il est également conseillé de vérifier régulièrement si vos données d’accès, comme les adresses e-mail et leurs mots de passe, ont été compromises en consultant des bases de données telles que « Have I Been Pwned? » ou « Identity Leak Checker ».
Clés de mot de passe
L’avenir de la sécurité des mots de passe réside dans les clés de mot de passe, une technologie permettant de se connecter sans mot de passe, à condition que le service concerné le supporte. L’Office fédéral recommande d’utiliser ces clés car elles présentent plusieurs avantages par rapport aux mots de passe classiques.
Le système des clés de mot de passe repose sur un couple de clés cryptées : une clé privée que l’utilisateur conserve, et une clé publique que détient le fournisseur de service. Pour se connecter, l’utilisateur doit simplement authentifier son identité via son empreinte digitale, la reconnaissance faciale ou un code PIN. Ces clés peuvent être associées à un appareil ou à un système d’exploitation spécifiques, mais il devient de plus en plus facile de les partager et de les synchroniser entre plusieurs appareils.
Mesures pour protéger les mots de passe contre le vol
