Mots de passe : les bonnes pratiques

Messageries, réseaux sociaux, banques, administrations et commerces en ligne, réseaux et applications d’entreprise… la sécurité de l’accès à tous ces services du quotidien repose aujourd’hui essentiellement sur les mots de passe. Face à la profusion des mots de passe, la tentation est forte d’en avoir une gestion trop simple. Une telle pratique serait dangereuse, car
elle augmenterait considérablement les risques de compromettre la sécurité de vos accès. Voici 10 bonnes pratiques à adopter pour gérer efficacement vos mots de passe.

1 – UTILISEZ UN MOT DE PASSE DIFFÉRENT POUR CHAQUE SERVICE
Ainsi en cas de perte ou de vol d’un de vos mots de passe, seul le service concerné sera vulnérable. Dans le cas contraire, tous les services pour lesquels vous utilisez le même mot de passe compromis seraient piratables.
De nombreux sites où vous avez probablement un comptes ont déjà été piratés et c’est à l’occasion de l’une de ces intrusions que votre mot de passe a déjà été subtilisé.

2 – UTILISEZ UN MOT DE PASSE SUFFISAMMENT LONG ET COMPLEXE
Une technique d’attaque répandue, dite par « force brute », consiste à essayer toutes les combinaisons possibles de caractères jusqu’à trouver le bon mot de passe. Réalisées par des ordinateurs, ces attaques peuvent tester des dizaines de milliers de combinaisons par seconde. Pour empêcher ce type d’attaque, il est admis qu’un bon mot de passe doit comporter au minimum 12 signes mélangeant des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Plus votre mot de passe est long et complexe, plus il est difficile à pirater.

3 – UTILISEZ UN MOT DE PASSE IMPOSSIBLE À DEVINER
Une autre technique d’attaque utilisée par les pirates est d’essayer de « deviner » votre mot de passe. Évitez donc d’employer dans vos mots de passe des informations personnelles qui pourraient être faciles à retrouver (sur les réseaux sociaux par exemple), comme le prénom de votre enfant, une date anniversaire ou votre groupe de musique préféré. Évitez également les suites logiques simples comme 123456, azerty, abcdef… qui font partie des listes de mots de passe les plus courants et qui sont les premières combinaisons qu’essaieront les cybercriminels pour tenter de forcer vos comptes.
Les mots de passe sont trop souvent faciles à deviner. Moins il est facile, plus vous blindez la porte d’accès à vos comptes.

4 – UTILISEZ UN GESTIONNAIRE DE MOTS DE PASSE
Il est humainement impossible de retenir les dizaines de mots de passe longs et complexes que chacun est amené à utiliser quotidiennement. Ne commettez pas pour autant l’erreur de les noter sur un pense-bête que vous laisseriez à proximité de votre équipement, ni de les inscrire dans votre messagerie ou dans un fichier non protégé de votre ordinateur, ou encore dans votre téléphone mobile auquel un cybercriminel pourrait avoir accès. Apprenez à utiliser un gestionnaire de mot de passe sécurisé qui s’en chargera à votre place, pour ne plus avoir à retenir que le seul mot de passe qui permet d’en ouvrir l’accès.
Keepass, logiciel libre et gratuit certifié par l’ANSSI – Agence Nationale de Sécurité des Systèmes d’Information  – permet de stocker en sécurité vos mots de passe pour les utiliser dans vos applications. Il dispose aussi d’une fonction permettant
de générer des mots de passe complexes aléatoires.

5 CHANGEZ VOTRE MOT DE PASSE AU MOINDRE SOUPÇON
Vous avez un doute sur la sécurité d’un de vos comptes ou vous entendez qu’une organisation ou société chez qui vous avez un compte s’est faite pirater.
N’attendez pas de savoir si c’est vrai ou pas. Changez immédiatement le mot  de passe concerné avant qu’il ne tombe dans de mauvaises mains.
Changer de mot de passé périodiquement limite les risques de piratage de vos comptes.

6 – NE COMMUNIQUEZ JAMAIS VOTRE MOT DE PASSE À UN TIERS
Votre mot de passe doit rester secret. Aucune société ou organisation sérieuse ne vous demandera jamais de lui communiquer votre mot de passe par messagerie ou par téléphone. Même pour une « maintenance » ou un « dépannage informatique
». Si l’on vous demande votre mot de passe, considérez que vous êtes face à une  tentative de piratage ou d’escroquerie.
Soyez vigilant face à l’ingénierie sociale, manipulation psychologique consistant pour des pirates à usurper des identités pour obtenir vos mots de passe.

7 – N’UTILISEZ PAS VOS MOTS DE PASSE SUR UN ORDINATEUR PARTAGÉ

Les ordinateurs en libre accès que vous pouvez utiliser dans des hôtels, cybercafés
et autres lieux publics peuvent être piégés et vos mots de passe peuvent être récupérés par un criminel. Si vous êtes obligé d’utiliser un ordinateur partagé ou qui n’est pas le vôtre, utilisez le mode de « navigation privée » du navigateur, qui permet d’éviter de laisser trop de traces informatiques, veillez à bien fermer vos sessions après utilisation et n’enregistrez jamais vos mots de passe dans le navigateur. Enfin, dès que vous avez à nouveau accès à un ordinateur de confiance, changez au plus vite tous les mots de passe que vous avez utilisés sur l’ordinateur partagé.
Ordinateur en libre accès = précautions renforcées !

8 – ACTIVEZ LA « DOUBLE AUTHENTIFICATION » LORSQUE C’EST POSSIBLE

Pour renforcer la sécurité de vos accès, de plus en plus de services proposent cette option. En plus de votre nom de compte et de votre mot de passe, ces services vous demandent un code provisoire que vous pouvez recevoir, par exemple, par SMS sur votre téléphone mobile ou qui peut être généré par une application ou une clé spécifique que vous contrôlez. Ainsi grâce à ce code, vous seul pourrez autoriser un nouvel appareil à se connecter aux comptes protégés.
Quelques services avec double authentification : Outlook, Gmail, Yahoo Mail…,  Facebook, Instagram, LinkedIn, Twitter , Skype, WhatsApp, Amazon, eBay, Paypal, Apple iCloud, Dropbox, Google Drive, OneDrive…

9 – CHANGEZ LES MOTS DE PASSE PAR DÉFAUT DES DIFFÉRENTS SERVICES AUXQUELS VOUS ACCÉDEZ

De nombreux services proposent des mots de passe par défaut que vous n’êtes parfois pas obligé de changer.
Ces mots de passe par défaut sont souvent connus des cybercriminels. Aussi, il est important de les remplacer au plus vite par vos propres mots de passe que vous contrôlez.
« admin / password », « 000 », « 1234 » : si vous avez un équipement ou service avec ces mots de passe, les pirates aussi !

10 – CHOISISSEZ UN MOT DE PASSE PARTICULIÈREMENT ROBUSTE POUR VOTRE MESSAGERIE

Votre adresse de messagerie est généralement associée à beaucoup de vos comptes en ligne. Cela permet notamment de recevoir les liens de réinitialisation
des mots de passe de vos autres comptes. Un cybercriminel qui réussirait à pirater votre messagerie pourrait facilement utiliser la fonction « mot de passe oublié » des différents services auxquels vous pouvez accéder, comme votre compte bancaire, pour en prendre le contrôle. Votre mot de passe de messagerie est donc un des mots de passe les plus importants à protéger.
Un pirate avec l’accès à votre messagerie obtient l’accès à tous vos comptes !

POUR ALLER PLUS LOIN :
• Par la CNIL : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe
• Par l’ANSSI : www.ssi.gouv.fr/guide/mot-de-passe

Ou noter ses mots de passe ? Quelles sont les qualités d’un bon mot de passe ? Quel est le meilleur mot de passe ? Quel est le mot de passe le plus sécurisé ? Où stocker mes mots de passe ?  Comment se souvenir d’un mot de passe oublié ? Comment synchroniser les mots de passe ?Retrouvons-nous sur le Forum
Mots de passe

 

Les conseils de la CNIL pour un bon mot de passe

UN MOT DE PASSE EN BÉTON
Un bon mot de passe doit contenir au moins 12 caractères et 4 types différents : des minuscules, des majuscules, des chiffres et des caractères spéciaux. Il peut être plus court si votre compte est équipé de sécurités complémentaires !

IL NE DIT RIEN SUR VOUS
Personne ne doit deviner votre mot de passe à partir du nom de votre chien ou de votre film préféré. Idem pour le code de votre smartphone : préférez un nombre aléatoire à une année.

UN COMPTE, UN MOT DE PASSE IL NE DIT RIEN SUR VOUS
Pour éviter les piratages en cascade, chacun de vos comptes en ligne qui présente un caractère sensible (banque, messagerie, réseau social, etc.) doit être verrouillé avec un mot de passe propre et unique. Nos conseils pour la sécurisation de votre boite mail.

Ne jamais l’abandonner en pleine nature
Les post-it, les fichiers texte, votre smartphone ou votre boite de messagerie ne sont pas conçus pour sécuriser le stockage de vos mots de passe. Pensez aussi à ne jamais les enregistrer dans le navigateur d’un ordinateur partagé.

Deux cadenas valent mieux qu’un
Quand le service vous le propose, activez la double authentification. Si quelqu’un se connecte à votre compte depuis un terminal inconnu, le site vous prévient par SMS/e-mail. Libre à vous d’autoriser ou de refuser l’accès !

LES RECOMMANDATIONS DE L’ANSI

Utilisez un mot de passe unique pour chaque service. En particulier, l’utilisation d’un même mot de passe entre sa messagerie professionnelle et sa messagerie personnelle est impérativement à proscrire ;
Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.) ;
Ne demandez jamais à un tiers de générer pour vous un mot de passe ;
Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent ;
Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ;
Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur Internet), encore moins sur un papier facilement accessible ;
Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;
Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.
La robustesse d’un mot de passe dépend en général d’abord de sa complexité, mais également de divers autres paramètres, expliqués en détail dans le document Recommandations de sécurité relatives aux mots de passe.

Si vous souhaitez une règle simple : choisissez des mots de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).

Deux méthodes pour choisir vos mots de passe :

La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ;
La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.