Nous sommes tous de plus en plus exposés aux cybermenaces. Des mots de passe forts constituent une première barrière contre la majorité des attaquants. Découvrez les conseils de Datanaos pour créer un bon mot de passe.
Pourquoi un bon mot de passe est-il essentiel ?
Un mot de passe faible est comme un cadenas bon marché : il jouera un rôle dissuasif et rebutera des attaquants peu motivés, mais ne vous protégera en rien dans le cas d’une vraie attaque. Un mot de passe trop faible fait peser un risque de piratage de vos comptes, et ainsi par effet domino des risques différents en fonction des informations qui auront pu être récupérées suite à une violation réussie : vol d’identité, achats frauduleux, préparation de nouvelles attaques, diffamation, …
En France, plusieurs organismes, comme la Commission Nationale Informatique et Libertés (CNIL) ou l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), ont publiés des recommandations sur les mots de passe :
Datanaos vous épargne la lecture de ces recommandations en abordant pour vous leurs sujets clés : que dois-je faire pour avoir un bon mot de passe, et que dois-je éviter ?
Qu’est-ce que je ne dois jamais faire ?
Lors de la création d’un mot de passe, certaines erreurs fréquentes sont encore rencontrées, et doivent à tout prix être évitées :
- Utiliser un mot de passe trop court (moins de 12 caractères)
Nos consultants ont pû entendre que les attaquants chercheront des mots de passe complexes, et ne penseront ainsi pas aux mots de passe simples, ou encore que les organismes bancaires utilisent des règles de mot de passe différentes… cela ne marche pas ainsi. Un attaquant disposera bien souvent d’outils spécialisés et peu coûteux, capables de trouver assez rapidement un mot de passe comportant peu de caractères.
- Choisir pour mot de passe des suites
Parmi les mots de passe les plus fréquemments découverts, on retrouve les suites de caractères logiques comme abcdef, azerty, qwerty, wxcvbn, 123456, 987654, etc. Ces mots de passe, simples à retenir en raison du pattern qu’ils utilisent, ne présentent absolument aucune sécurité et sont généralement les premiers testés par un attaquant.
- Créer un mot de passe à partir d’informations personnelles
Afin d’assurer le caractère unique de leurs mots de passe, certains choisissent d’y intégrer une information leur étant propre, comme une date de naissance, le nom d’un animal de compagnie, l’année de mariage, etc. L’usage de ces informations personnelles n’améliore en rien la sécurité du mot de passe : si ces informations viennent à fuiter, des attaquants réuniront ces informations et chercheront à tester différentes configurations de mots de passe les comportant.
- Utiliser toujours le même mot de passe
Le problème est maintenant bien connu, et pourtant toujours aussi présent : nous utilisons souvent les mêmes mots de passe pour plusieurs comptes ou applications. Ainsi, lors d’une violation de la sécurité sur un site ou une application, des attaquants peuvent parfois mettre la main sur un mot de passe mal sécurisé, et l’essayer sur plusieurs autres sites, au petit bonheur la chance, en espérant obtenir plus d’accès ou d’informations encore.
Que puis-je faire pour avoir un bon mot de passe ?
Il est important tout d’abord de respecter quelques règles simples :
- Un mot de passe doit contenir au moins 12 caractères, dont 1 majuscule, 1 minuscule, 1 chiffre et 1 caractère spécial
Ce standard permet d’ores et déjà de mettre K.O. la plupart des outils de découverte de mot de passe.
- Utiliser un gestionnaire de mots de passe
Des gestionnaires de mots de passe intégrés (comme dans certains produits Apple) ou téléchargés (comme Keepass), vous permettent de conserver de manière sécurisée des mots de passe différents de plusieurs comptes et applications, sans avoir à s’en souvenir. Le seul mot de passe que vous devez conserver est alors celui du gestionnaire.
- Utiliser une phrase de passe
Certains comptes ou certaines applications vous permettront parfois de créer, en lieu de place d’un mot de passe, une « phrase de passe ». Le principe reste le même : la création d’une clé secrète permettant l’accès. Néanmoins il s’agira cette fois-ci de créer une phrase complète, sans espace (par exemple : « J’aimemanger3chocapicsparjouretcréerdesphrasesdepassebidon! »). Il reste recommandé d’intégrer dans la phrase de passe des minuscules, majuscules, chiffres et caractères spéciaux.
Pour aller plus loin
- L’authentification à double facteur
Proposée par certains services, l’authentification à double facteur vous permet de recevoir, après avoir renseigné un identifiant et mot de passe correct, une notification, un code, ou un captcha à confirmer afin de pouvoir accéder aux services. Reçu par sms, sur une application, ou par e-mail, ce code temporaire permet de s’assurer que seule une personne pouvant accéder à votre boite e-mail ou votre téléphone peut se connecter.
- Les post-it
Les post-it ou feuilles volantes sont à fuir comme la peste. Souvent cachés au même endroit (en dessous du clavier ou de l’écran, dans un tiroir, sous le poste de travail, dans un carnet, …) ou parfois même laissés visibles à l’oeil de tous, les post-it contenant un mot de passe rendent totalement inutile le concept même de mot de passe, soit le caractère secret de la clé.
- Les moyens mnémotechniques
Fusion du mot de passe et de la phrase de passe, un mot de passe utilisant un moyen mnémotéchnique consiste généralement en une information, sous forme de phrase, réduite aux initiales de chaque mot (par exemple, la phrase de passe « J’aimemanger3chocapicsparjouretcréerdesphrasesdepassebidon! » devient « Jam3cpjecdpdpb! »). Cette méthode permet ainsi de se rappeler plus simplement de divers mots de passe sans avoir à les noter.
La CNIL vous met à disposition un outil afin de faciliter la génération d’un mot de passe sûr. Des questions ? Besoin d’aide ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.