Nouvelles recommandations : les mots de passe, ce n'est plus tout à fait comme les brosses à dents

Une administration américaine a formulé de nouvelles règles officielles concernant les mots de passe - et l'auteur de la version précédente se repentit des anciennes recommandations. L'une des principales modifications : il n'est plus recommandé de changer régulièrement les mots de passe. BEE SECURE résume les connaissances les plus récentes sur la sécurité des mots de passe.

 

Le "National Institute of Standards and Technology" des États-Unis a récemment formulé de nouvelles normes concernant la sécurité des mots de passe. Dans le rapport, quelques règles de longue date permettant de créer des mots de passe soi-disant sûrs ont été supprimées. Ainsi, il n'est plus recommandé de changer les mots de passe tous les trois mois. Il est également précisé que l'utilisation de caractères spéciaux ne renforce pas forcément la sécurité. Dans une interview accordée au Wall Street Journal, Bill Blurr, auteur de la version précédente, se repentit des anciennes recommandations, puisque, selon les nouvelles règles, elles n'ont pas permis de garantir des mots de passe sûrs.

 

Le principal indicateur d'un mot de passe sûr est la facilité à le deviner. Un mot de passe n'est donc pas sûr, s'il

  • est plus court que huit caractères
  • figure dans un dictionnaire
  • contient des caractères qui se répètent ou se suivent (p.ex. "aaaaaaa" ou "1234abcd" ou "qwertz")
  • s'agit d'un mot de passe fréquemment utilisé, qui apparaît dans un "leak" (p.ex. "bonjour" ou "motdepasse")
  • est facile à deviner dans le contexte (p.ex. le nom d'utilisateur, le nom du service ou des variations, voire votre date d'anniversaire, prénom de votre conjoint ou le nom de votre animal de compagnie, etc.)

 

Aussi, les caractères spéciaux ne permettent pas de renforcer la sécurité des mots de passe faciles à deviner. Ainsi, "motdepa$$e" est aussi facile à deviner que "motdepasse" - tout simplement parce que de nombreuses personnes ont trouvé cette idée "géniale" et que les hackeurs essaient cette combinaison en premier.

 

Comment choisir un mot de passe sûr ?

Un mot de passe sûr doit donc être difficile à deviner et unique. Il est recommandé de choisir p.ex. une phrase plus longue et de la modifier légèrement pour chaque service. Choisissez p.ex. une citation de votre livre préféré et ajoutez quelques caractères spéciaux ainsi qu'une courte séquence de lettres pour chaque service.

 

Par exemple :

 

"L'écureuil danse avec le panda.fb" ou "Une fois sur le net, toujours sur le net!fb"

"L'écureuil danse avec le panda.sc" ou "Une fois sur le net, toujours sur le net!sc"

"L'écureuil danse avec le panda.abc" ou "Une fois sur le net, toujours sur le net!abc"

 

Le plus important est que votre mot de passe (ou plutôt votre phrase de passe) n'apparaisse pas dans un dictionnaire ou dans des listes de mots de passe piratés. Grâce au service Pwned Passwords, vous pouvez vérifier si votre mot de passe apparaît dans les listes dont se servent les hackeurs en premier.

 

Le plus sûr est d'utiliser un gestionnaire de mots de passe p.ex. 1Password, LastPass ou KeePass. Ces services génèrent pour vous, et pour chaque service que vous utilisez, un mot de passe unique et l'enregistre automatiquement. Vous n'avez donc plus besoin d'inventer des mots de passe et vous n'avez plus qu'à vous rappeler d'un seul mot de passe (celui du gestionnaire de mots de passe).

 

Si possible, utilisez également une authentification à deux facteurs. Ainsi, les mots de passe volés sont inutilisables pour les hackeurs, puisque vous devez saisir outre le mot de passe un code unique pour vous connecter (qui vous est envoyé par application ou par SMS sur votre téléphone portable)

 

Comment puis-je modifier mon mot de passe ?

BEE SECURE a elle aussi utilisé la métaphore de la brosse à dents : comme les brosses à dents, les mots de passe ne se partagent pas (ce qui est toujours vrai !)  et sont à remplacer tous les trois mois. Cette dernière recommandation n'augmente pas forcément la sécurité du mot de passe - il n'y a pas d'inconvénients à le faire si vous utilisez toujours des mots de passe sûrs, mais ce n'est plus nécessaire. En revanche, il faut changer votre mot de passe à chaque fois qu'un service a été piraté ou votre mot de passe dérobé. Vous trouverez plus d'informations p.ex. sur haveibeenpwned.com. Peut-être vaut-il mieux oublier la métaphore de la brosse à dents et comparer les mots de passe plutôt à des clés : vos clés non plus, vous ne les donnez à personne - et vous les changez lorsque vous êtes victime d'une effraction ou si vous pensez que quelqu'un a fait un double de vos clés.

 

Sources :

Süddeutsche

Source : Heise.de

NIST Special Publication 800-63B