Outils / Méthodes

J’ai (encore) oublié mon mot de passe

Au bureau ou sur Internet, la politique de mot de passe est souvent complexe. Qui n’a jamais oublié son mot de passe? Au retour des vacances, ou sur un site utilisé plus rarement, notre mémoire fait parfois défaut. Différentes études ont trouvé des solutions simples pour protéger nos comptes et nos informations.

Une politique de mot de passe inefficace

Certains trouvent que nous sommes devenus paresseux. Avant, nous connaissions le numéro de téléphone de nos parents et amis par cœur. Maintenant, nous utilisons un ordinateur pour penser à notre place.

Je leur réponds qu’aujourd’hui, je dois me souvenir des identifiants et mots de passe pour accéder à plus d’une cinquantaine de comptes. De mon fournisseur d’électricité, aux différents sites d’achats en ligne et réseaux sociaux, en passant par les impôts ou l’école de mes enfants, sans oublier mon employeur, tous exigent un identifiant et mot de passe.

Évidemment, chacun a des contraintes différentes : minimum (ou maximum) de caractères, types de caractères autorisés ou interdits. Résultat, tout le monde utilise les mêmes mots de passe. Nous avons les mêmes astuces de substitution ou incrémentation quand la politique l’impose. @ pour a, ! ou 2021 ajoutés à la fin.

Les mots de passes les plus utilisés sont ainsi 123456 ou 123456789. En imposant des contraintes aux utilisateurs, les politiques produisent l’effet inverse.

Comment utiliser des mots de passes différents sur chaque site

Il est plus simple d’utiliser le même de passe partout, avec une petite variation quand il ne répond pas à la politique de sécurité. Malheureusement, si un des sites est piraté, votre identité numérique (identifiant et mot de passe) sera compromise, et elle sera testée sur un grand nombre d’autres sites, de façon automatique, pour accéder à vos données, ou demander de l’argent à vos amis.

La technique la plus simple est d’utiliser dans votre mot de passe « standard » le nom ou une partie du nom du site.

Ainsi les mots de passes 12345Facebook 12345Amazon sont une coche au-dessus du simple 123456789, bien qu’il reste peu sécuritaires.

Les mots de passes les plus sécuritaires

Tant que les ordinateurs quantiques ne seront pas parmi nous, la puissance de calcul des ordinateurs restera limitée. Les mots de passe les plus longs sont les plus sécuritaires, même s’ils n’ont pas de complexité.

Tableau de robustesse des mots de passe selon leur complexité et longueur

En théorie, plus le type de caractères est varié, plus le temps de décryptage est long. Mais trop souvent, ce sont les mêmes symboles qui sont utilisés, ou pire, le même mot de passe sur différentes plateformes.

L’authentification multifactorielle est la meilleure solution, mais elle n’est souvent pas une option car trop coûteuse.

Dans ce cas, un mot de passe de 15 caractères, même si ce ne sont que des minuscules est aussi sécuritaire qu’un mot de passe incluant des symboles de 12 caractères. Et il sera bien plus facile de se souvenir de « jesuisleplusfort » que de « Jesu!sle+f0rt ».

Pour en savoir plus sur les mots de passe et notre capacité à nous en souvenirs, je vous invite à regarder ce TED Talk (en anglais, sous titres français).

Quelle est la meilleure politique de mot de passe?

La meilleure politique est celle qui facilite la vie des utilisateurs. En réduisant les oublis de mot de passe, elle évite le temps perdu en réinitialisation et l’agacement des utilisateurs.

Cette politique est la suivante :

  • Pas de règle de complexité
  • 14 caractères minimum
  • Utiliser des listes noires
  • Pas d’expiration

Comme nous l’avons vu précédemment, la complexité bride la créativité des utilisateurs, normalise les mots de passe et les rend plus faciles à deviner. À partir de 14 caractères, le stockage du mot de passe (hash) ne requiert pas l’ajout de caractères nuls, il est donc beaucoup plus sécuritaire. Toutefois, pour éviter les mots de passe trop simples, il sera bon de bannir 12345, azerty et quelques autres.

Enfin, la norme NIST SP 800-63B Digital Identity Guidelines recommande de ne changer les mots de passe que s’il existe des preuves de compromission. C’est à dire qu’il ne faut changer les mots de passes que s’ils ont été volés. Et croyez moi, ne pas devoir changer son mot de passe tous les 3 ou 6 mois est un vrai soulagement pour les utilisateurs.

Choisir un mot de passe simple et sécuritaire

Il faut maintenant penser phrase de passe. Bien plus facile à mémoriser et à changer selon le site utilisé, la phrase de passe peut aussi être thérapeutique. À votre bureau, vous devez entrer votre mot de passe au moins 3 ou 4 fois par jour. Utilisez-le pour vous motiver : « cesoirjevaiscourir » ou vous encourager : « tufaisdesprogresencourse »

Vous pouvez faire une phrase ou combiner des mots inspirants : « lavieestbelleaujourdhui » « chantermangerriredanser ». Enfin, pour diversifier les mots de passe c’est facile avec « jetrouvetoutàlaFnac » ou « JetrouvetoutsurFacebook ».

À retenir

Compte tenu du nombre de sites qui se sont fait pirater leurs bases de données, il est fort probable qu’un de vos mots de passe soit connu. Alors c’est le moment de changer et de passer aux phrases de passes ! Vous pouvez aussi partager cet article avec votre service informatique pour l’inciter à réfléchir et à changer sa politique de mot de passe. En vous facilitant la vie, c’est votre efficacité et satisfaction au travail qui augmente !

Les commentaires sont fermés.