J’ai (encore) oublié mon mot de passe…

Pour prouver mon identité, il y a trois façons de faire: ce que je suis, ce que je sais et ce que j’ai.

L’authentification multifacteur aide à sécuriser les comptes, en ajoutant un élément d’authentification avec ce que j’ai (mon téléphone en général) ou ce que je suis (empreinte digitale ou visage). Toutefois, le mot de passe reste la base de l’authentification, il s’agit du secret que moi seule connait. C’est pourquoi il est important d’avoir des mots de passe sécuritaires.

Une politique de mot de passe inefficace

L’authentification multifacteur apporte une sécurité additionnelle, mais ne remplace pas le mot de passe. Pour une bonne sécurité, il faut combiner ce que je suis, ce que j’ai et ce que je sais. Mais qui n’a jamais oublié son mot de passe? Au retour des vacances, ou sur un site utilisé plus rarement, notre mémoire fait parfois défaut.

Aujourd’hui, je dois me souvenir des identifiants et mots de passe pour accéder à plus d’une cinquantaine de comptes. De mon fournisseur d’électricité, aux différents sites d’achats en ligne et réseaux sociaux, en passant par les impôts ou l’école de mes enfants, sans oublier mon employeur, tous exigent un identifiant et mot de passe.

Évidemment, chacun a des contraintes différentes : minimum (ou maximum) de caractères, types de caractères autorisés ou interdits. Résultat, tout le monde utilise les mêmes mots de passe. Nous avons les mêmes astuces de substitution ou incrémentation quand la politique l’impose. @ pour a, ! ou 2021 ajoutés à la fin.

Les mots de passe les plus utilisés sont ainsi 123456 et 123456789. En imposant des contraintes aux utilisateurs, les politiques de mots de passe produisent l’effet inverse.

Comment utiliser des mots de passe différents sur chaque site

Il est plus simple d’utiliser le même de mot de passe partout, avec une petite variation quand il ne répond pas à la politique de sécurité. Malheureusement, si un des sites est piraté, votre identité numérique (identifiant et mot de passe) sera compromise, et elle sera testée sur un grand nombre d’autres sites, de façon automatique, pour accéder à vos données, ou demander de l’argent à vos amis.

La technique la plus simple est d’utiliser dans votre mot de passe « standard » le nom ou une partie du nom du site.

Ainsi les mots de passe 12345Facebook et 12345Amazon sont une coche au-dessus du simple 123456789, bien qu’ils restent peu sécuritaires.

Les mots de passe les plus sécuritaires

Tant que les ordinateurs quantiques ne seront pas parmi nous, la puissance de calcul des ordinateurs restera limitée. Les mots de passe les plus longs sont les plus sécuritaires, même s’ils n’ont pas de complexité.

Tableau de robustesse des mots de passe selon leur complexité et longueur

En théorie, plus le type de caractères est varié, plus le temps de décryptage est long. Mais trop souvent, ce sont les mêmes symboles qui sont utilisés, ou pire, le même mot de passe sur différentes plateformes.

L’authentification multifacteur, aussi appelée authentification forte ou moderne, est la meilleure solution, mais elle n’est souvent pas une option, car complexe pour els sites à mettre en place.

Dans ce cas, un mot de passe de 16 caractères même si ce ne sont que des minuscules est aussi sécuritaire qu’un mot de passe incluant des symboles de 13 caractères. Et il sera bien plus facile de se souvenir de « jesuisleplusfort » que de « Jesu!sle+f0rt ». Dans les deux cas, il faudra plus de 1000 ans pour les décrypter.

Pour en savoir plus sur les mots de passe et notre capacité à nous en souvenirs, je vous invite à regarder ce TED Talk (en anglais, sous-titres français).

Quelle est la meilleure politique de mot de passe ?

La meilleure politique est celle qui facilite la vie des utilisateurs. En réduisant les oublis de mot de passe, elle évite le temps perdu en réinitialisation et l’agacement des utilisateurs.

Cette politique est la suivante :

  • Pas de règle de complexité
  • 14 caractères minimum
  • Utiliser des listes noires
  • Pas d’expiration

Comme nous l’avons vu précédemment, la complexité bride la créativité des utilisateurs, normalise les mots de passe et les rend plus faciles à deviner. À partir de 14 caractères, le stockage du mot de passe (hash) ne requiert pas l’ajout de caractères nuls, il est donc beaucoup plus sécuritaire. Toutefois, pour éviter les mots de passe trop simples, il sera bon de bannir 12345, azerty et quelques autres.

Enfin, la norme NIST SP 800-63B Digital Identity Guidelines recommande de ne changer les mots de passe que s’il existe des preuves de compromission. C’est-à-dire qu’il ne faut changer les mots de passe que s’ils ont été volés. Et croyez-moi, ne pas devoir changer son mot de passe tous les 3 ou 6 mois est un vrai soulagement.

Choisir un mot de passe simple et sécuritaire

Il faut maintenant penser phrase de passe. Bien plus facile à mémoriser et à changer selon le site utilisé, la phrase de passe peut aussi être thérapeutique. À votre bureau, vous devez entrer votre mot de passe au moins 3 ou 4 fois par jour. Utilisez-le pour vous motiver : «cesoirjevaiscourir» ou vous encourager : «tufaisdesprogresencourse»

Vous pouvez faire une phrase ou combiner des mots inspirants : «lavieestbelleaujourdhui» «chantermangerriredanser». Enfin, pour diversifier les mots de passe c’est facile avec «JetrouvetoutàlaFnac» ou «JetrouvetoutsurFacebook».

Compte tenu du nombre de sites qui se sont fait pirater leurs bases de données, il est fort probable qu’un de vos mots de passe soit connu. Alors c’est le moment de changer et de passer aux phrases de passe ! Vous pouvez aussi partager cet article avec votre service informatique pour l’inciter à réfléchir et à changer sa politique de mot de passe. En vous facilitant la vie, c’est votre efficacité et satisfaction au travail qui augmente !