Pourquoi vous ne devriez pas changer votre mot de passe aussi souvent

Informatec Digital » Ressources » Pourquoi vous ne devriez pas changer votre mot de passe aussi souvent

Pendant des années, nous avons entendu dire que la chose responsable à faire était Changez régulièrement votre mot de passe.C'était presque comme déclarer ses impôts : une obligation. Mais ces dernières années, les principales organisations de cybersécurité, telles que… Institut national américain des normes et de la technologie (NIST)Ils ont examiné cette recommandation en profondeur et sont parvenus à une conclusion frappante : imposer des changements fréquents de mots de passe aggrave généralement la sécurité au lieu de l’améliorer.

Ce changement d'approche s'appuie sur des données relatives aux violations massives de données d'identification, des études sur le comportement des utilisateurs et l'expérience pratique des entreprises et des universités. Aujourd'hui, la recommandation dominante est Utilisez des mots de passe forts, longs et uniques.Ne les modifiez que lorsqu'il existe un soupçon ou une preuve de compromission, et appuyez-vous sur des outils tels que authentification multifacteur (MFA) et des gestionnaires de mots de passe pour éviter de devenir fou à mémoriser des mots de passe impossibles.

Pourquoi il n'est plus conseillé de changer aussi souvent son mot de passe

Le NIST, qui établit des normes techniques pour les agences gouvernementales américaines et sert de référence aux entreprises du monde entier, a clairement indiqué dans son guide SP 800-63-4 que Les utilisateurs ne devraient pas être obligés de renouveler leur mot de passe périodiquement. En l'absence d'indices d'incident de sécurité, il s'agit d'un changement radical par rapport aux politiques classiques de « changement tous les 30/60/90 jours ».

Le projet public de ces directives explique que lorsqu'un mot de passe a été choisi correctement (il est long, aléatoire et unique), Imposer des changements tous les un à trois mois réduit la sécuritéLa difficulté à se souvenir de nouveaux mots de passe pousse les gens à les simplifier, à les réutiliser ou à appliquer des schémas prévisibles, ce dont les attaquants profitent précisément.

Les recommandations actuelles indiquent que les fournisseurs de services et les vérificateurs d'identité Ils ne devraient pas imposer d'expiration périodique des mots de passe.Toutefois, ils sont tenus d'imposer un changement immédiat lorsqu'il existe des signes indiquant que l'authentificateur a été compromis, par exemple après une fuite de données, un accès suspect ou la présence de la clé dans des bases de données divulguées.

De plus, le NIST remet en question d'autres exigences traditionnelles, telles que règles de composition rigides (exigeant un mélange de lettres majuscules, de chiffres et de symboles) ou les fameuses questions de sécurité comme « le nom de votre premier animal de compagnie ». Il est prouvé que ces règles incitent les utilisateurs à se comporter de manière très prévisible, générant ainsi des mots de passe comme Mot de passe 2023, Mot de passe 2024 ou Mot de passe 1 !qui sont un cadeau aux attaquants.

L'analyse de vastes bases de données de mots de passe volés révèle que L'avantage réel de ces règles classiques est bien moindre qu'on ne le pensait auparavant.L'impact négatif sur la facilité d'utilisation et la mémorisation est considérable. En résumé : les gens recherchent des solutions de facilité, et ces solutions se recoupent presque toujours.

Comment vos mots de passe sont réellement compromis aujourd'hui

Que vous le modifiiez tous les trois mois ou non, vos comptes sont exposés par la façon dont vous Les cybercriminels obtiennent des mots de passeLe vol ne se produit généralement pas par la devinette miraculeuse de votre mot de passe, mais par plusieurs vecteurs très spécifiques et bien connus.

L'une des méthodes les plus courantes est la fuites massives de données Les services en ligne, les réseaux sociaux, les forums, les plateformes de jeux, les sites de commerce électronique et les fournisseurs de services cloud présentent des failles de sécurité qui exposent des millions de combinaisons nom d'utilisateur/mot de passe, parfois non chiffrées ou avec des algorithmes défectueux. Ces bases de données finissent par être revendues sur des forums de piratage et le dark web.

Une autre méthode classique consiste à utiliser comme mot de passe faible ou trop communLes listes des mots de passe les plus utilisés dans des pays comme l'Espagne révèlent des combinaisons vraiment surprenantes, telles que « admin », « 123456 », « 000000 », « password », ou encore des noms et des villes évidents comme « carl0s » ou « barcelona ». Ces types de combinaisons peuvent être déchiffrées en moins d'une seconde grâce à des outils de force brute automatisés.

Il y a aussi des attaques de phishing et ingénierie socialeCes attaques consistent à vous inciter à saisir votre mot de passe sur un faux site web imitant celui de votre banque, de votre messagerie ou de votre réseau social. Ce procédé est parfois combiné à un enregistreur de frappe (keylogger), qui enregistre les frappes au clavier afin de capturer toutes les informations d'identification que vous saisissez.

Enfin, nous ne devons pas oublier le vulnérabilités logicielles et matériellesSystèmes obsolètes, routeurs avec un micrologiciel ancien, applications présentant des failles de sécurité… tous ces éléments peuvent permettre à un tiers d’accéder à vos mots de passe enregistrés, voire de les modifier et de bloquer votre accès légitime. D’où l’insistance des experts sur la mise à jour régulière des systèmes et des appareils.

Pourquoi le modifier « juste au cas où » pourrait être une mauvaise idée

Dans ce contexte, de nombreux utilisateurs considèrent que changer fréquemment de mot de passe est une mesure de sécurité universelle. Cependant, le NIST et des études menées par des universités comme Carnegie Mellon s'accordent à dire que… Des changements fréquents et injustifiés augmentent le risque de mauvaises pratiques..

Lorsqu'un système vous oblige à changer constamment vos mots de passe, la plupart des gens cessent d'y réfléchir et se contentent d'appliquer les règles. petites transformations triviales: ajouter ou incrémenter un chiffre à la fin, changer l'année, alterner un symbole évident... autant de schémas que les attaquants connaissent déjà par cœur.

De plus, les inconvénients liés à ces changements encouragent l'utilisation de Les mots de passe deviennent plus courts et plus faciles.Ou tout simplement réutiliser le même mot de passe sur différents services avec de légères variations. Si un pirate compromet l'un de ces comptes, il disposera d'indices très précis pour accéder aux autres, ce qui multipliera les dégâts potentiels.

De nombreux experts soulignent que si les entreprises consacraient le temps et l'argent investis dans l'imposition de changements trimestriels de mots de passe à former les utilisateurs à la création de clés fortes et uniquesEn déployant des gestionnaires de mots de passe et la vérification en deux étapes, l'amélioration réelle de la sécurité serait bien plus importante.

Même les entreprises de sécurité le reconnaissent, Aucune preuve de fuiteChanger régulièrement son mot de passe ne le rend pas plus sûr. En réalité, cela peut donner une fausse impression de sécurité, tandis que d'autres failles plus graves persistent, comme la réutilisation du même mot de passe sur plusieurs sites ou la non-activation de l'authentification multifacteur.

Quand faut-il changer son mot de passe sans hésiter ?

Même si la rotation forcée des mots de passe n'est plus une bonne pratique, cela ne signifie pas que vous devriez conserver le même mot de passe quoi qu'il arrive. Il existe des situations où Il est essentiel de le changer immédiatement pour réduire le risque.

Si une entreprise auprès de laquelle vous avez un compte fait de la publicité pour un Violation des donnéesLa chose prudente à faire est de modifier le mot de passe de ce service dès que possible, ainsi que celui de tous les autres services où vous le réutilisez (si vous avez commis cette erreur). Il arrive que ces failles de sécurité mettent des semaines à être signalées ; c’est pourquoi les outils de sécurité… surveillance du dark web ou des services comme « Have I Been Pwned » permettent de détecter plus tôt si votre courriel figure sur une liste de filtrage.

Un autre avertissement clair est le tentatives de connexion ou de modification de mot de passe non sollicitéesSi vous recevez des courriels légitimes vous demandant « Avez-vous demandé une réinitialisation de mot de passe ? » ou des alertes de connexion provenant d'emplacements ou d'appareils que vous ne reconnaissez pas, vous devez immédiatement modifier votre mot de passe en vous connectant vous-même au service (sans cliquer sur des liens suspects) et activer l'authentification multifacteur si ce n'est pas déjà fait.

Si vous soupçonnez que votre appareil a été infecté par des logiciels malveillantsVous devriez également changer vos mots de passe, mais seulement après avoir nettoyé votre ordinateur. Changer ses mots de passe est inutile si un pirate peut toujours voir tout ce que vous tapez. Une fois le système nettoyé, vous devez mettre à jour vos identifiants pour les services essentiels (messagerie, banque en ligne, réseaux sociaux, stockage cloud, etc.).

Dans le cas où l'un de vos comptes aurait clairement été piraté (Apparition de messages que vous n'avez pas envoyés, d'achats que vous n'avez pas effectués, de modifications étranges de votre profil) : tous les comptes partageant le même mot de passe ou des variantes similaires doivent être considérés comme compromis et leurs mots de passe doivent être modifiés immédiatement.

En entreprise, pour les comptes d'administrateur ou les systèmes particulièrement sensibles, de nombreuses organisations optent encore pour rotation des identifiants privilégiés Ils le font assez souvent, mais automatiquement et en générant des mots de passe aléatoires et robustes, précisément pour éviter les erreurs humaines liées aux modifications manuelles.

Qu'est-ce qu'un mot de passe sécurisé aujourd'hui (et qu'est-ce qui ne l'est pas) ?

Un mot de passe reste un un ensemble de caractères qui vous donne accès à des informations privées ou des ressources précieuses : messagerie électronique, réseaux sociaux, services bancaires en ligne, panneau de contrôle de votre site web, VPN de votre entreprise, appareils mobiles, etc. Le simple fait qu’il s’agisse de la seule barrière entre votre vie numérique et un pirate devrait suffire à le prendre au sérieux.

Les experts affirment depuis longtemps qu'un bon mot de passe devrait être long, complexe et uniqueTraditionnellement, le minimum requis était de huit caractères, combinant lettres majuscules, lettres minuscules, chiffres et symboles, et évitant les mots du dictionnaire ou les données personnelles (dates, noms, numéros d'immatriculation, etc.).

Les directives les plus récentes du NIST insistent encore davantage sur la longueur : elles recommandent d’exiger au moins 8 caractèresmais ils estiment souhaitable de relever la barre à 15 ou plusAutorisant jusqu'à 64 caractères maximum. Plus le texte est long, plus il est difficile à casser par des attaques automatisées, à condition qu'il ne s'agisse pas d'une phrase prévisible.

Une bonne stratégie pour les humains est d'utiliser phrases de passeDes séquences de mots aléatoires mêlant symboles et lettres majuscules sont faciles à mémoriser pour l'utilisateur, mais très difficiles à déchiffrer pour un ordinateur. Des exemples comme « Mars-Baleine-Près4-Fondue » ou « Minute.Camion.Où2.Tentative » offrent une entropie très élevée sans recourir à des schémas typiques.

Ce qu’il faut éviter, ce sont les mots de passe qui figurent année après année parmi les plus utilisés : "123456", "mot de passe", "qwerty", "111111", "admin"des combinaisons de touches évidentes, des mots isolés, des séquences de chiffres ou des touches basées sur des informations que n'importe qui pourrait extraire de vos réseaux sociaux (nom du partenaire, équipe de football, date de naissance...).

Il est tout aussi important que chaque service utilise un mot de passe différentUtiliser le même mot de passe pour sa messagerie, ses réseaux sociaux, ses comptes bancaires et ses achats en ligne, c'est comme utiliser la même clé pour sa maison, sa voiture et son coffre-fort, et en laisser un double sur le paillasson. Si l'un de ces sites est piraté, un pirate pourrait simplement tester cette combinaison sur tous les autres services populaires.

Authentification multifactorielle, gestionnaires de mots de passe et clés d'accès

L'autre aspect majeur de ce changement de paradigme est de cesser de dépendre entièrement d'une seule clé, aussi performante soit-elle. Aujourd'hui, elle est considérée comme essentielle. Complétez les mots de passe par une authentification multifacteurs (MFA) pour autant que le service le permette.

Le ministère des Affaires étrangères ajoute une deuxième preuve d'identité qui peut être quelque chose que tu sais (le mot de passe lui-même), quelque chose que tu as (mobile, jeton physique, application de code) ou quelque chose que vous êtes (Empreinte digitale, visage, iris). Ainsi, même si quelqu'un vole votre mot de passe, il lui sera beaucoup plus difficile de se connecter sans ce deuxième facteur d'authentification.

Activez l'authentification multifacteur pour l'accès à la messagerie, aux réseaux sociaux, aux services bancaires en ligne, aux services cloud ou au télétravail. Il déjoue de nombreuses attaques automatisées Ce système repose sur des tests effectués avec des mots de passe volés ou faibles. Même si votre mot de passe figure dans une fuite de données, l'attaquant se heurtera à un obstacle supplémentaire difficile à franchir.

Pour résoudre le problème de la mémorisation de dizaines de mots de passe longs et uniques, les experts recommandent d'utiliser un gestionnaire de mots de passeCes outils génèrent des clés aléatoires très complexes, les stockent chiffrées dans un coffre-fort numérique et les renseignent automatiquement lors de votre connexion. Il vous suffit de protéger un mot de passe principal robuste et, si possible, d'activer l'authentification multifacteur (MFA).

Un bon gestionnaire de mots de passe empêche les pratiques dangereuses telles que la notation des mots de passe sur papier, dans des feuilles de calcul non chiffrées ou dans des notes mobiles, ou encore leur enregistrement par le navigateur. Il facilite également leur utilisation. des mots de passe beaucoup plus longs de ce dont vous pouviez vous souvenir par vous-même, ce qui améliore la résistance aux attaques.

En même temps, clés d'accèsUne alternative moderne au mot de passe traditionnel, basée sur la cryptographie à clé publique. Les clés d'accès sont stockées sur l'appareil ou un gestionnaire compatible et permettent de se connecter par empreinte digitale, reconnaissance faciale ou code PIN local, sans envoyer de mot de passe réutilisable au serveur.

Des géants comme Google, Apple, Microsoft, Amazon, PayPal et GitHub prennent déjà en charge les mots de passe, et plus d'une centaine de sites web et d'applications s'y mettent. Bien que les mots de passe ne disparaissent pas du jour au lendemain, L'avenir s'oriente vers des systèmes sans mot de passe. qui atténuent bon nombre des problèmes actuels de vol et de réutilisation.

Bonnes pratiques de sécurité des mots de passe au quotidien

Au-delà du débat sur la date d'expiration, votre objectif devrait être minimiser la surface d'attaque que vos mots de passe offrent. Cela résulte de la combinaison de plusieurs bonnes pratiques faciles à intégrer si elles sont appliquées judicieusement.

Premièrement, engagez-vous à N'utilisez pas le même mot de passe pour plusieurs comptes.C'est particulièrement important pour les services essentiels comme la messagerie, les services bancaires, les boutiques en ligne avec cartes bancaires enregistrées et les comptes professionnels. Si vous les réutilisez déjà, il est primordial de changer ces mots de passe et de les séparer à l'aide d'un gestionnaire de mots de passe.

Lors de la mise à jour d'un mot de passe, évitez les « tricheries » telles que modifier un seul caractère (Ajouter un chiffre à la fin, remplacer une lettre par un symbole similaire, etc.). Les cybercriminels connaissent parfaitement ces schémas et les outils d'attaque les intègrent systématiquement.

Envisagez d'utiliser phrases de passe longues Pour les comptes que vous souhaitez mémoriser (par exemple, le mot de passe principal de votre gestionnaire de compte), combinez plusieurs mots apparemment sans rapport, insérez des majuscules à des endroits inattendus et ajoutez un chiffre ou un symbole entre eux pour augmenter la complexité.

Lorsque vous n'avez pas besoin de mémoriser votre mot de passe grâce à l'utilisation d'un gestionnaire de mots de passe, profitez de ses fonctionnalités. Générateurs de mots de passe et de phrases secrètesCes programmes génèrent automatiquement des chaînes de caractères aléatoires comme « 3>ZfrT61(9#X;?Kdk4FQ) » ou des phrases complexes et les stockent dans votre coffre-fort numérique. L'important n'est pas tant de pouvoir les réciter par cœur que de s'assurer que personne d'autre ne puisse les deviner.

Sur le plan opérationnel, à éviter à tout prix. stocker les mots de passe en clair Sur votre ordinateur ou appareil mobile, que ce soit dans des notes, des documents épars, des photos de post-it ou des e-mails que vous vous envoyez, tout peut contenir des informations sensibles. Un logiciel malveillant, un vol d'appareil ou un accès physique non autorisé transformerait ces données en une mine d'informations pour un pirate.

Enfin, prenez l'habitude de vérifier périodiquement si Vos comptes ont été divulgués. Vous pouvez vérifier la présence de vulnérabilités connues à l'aide de services de détection de violations de données ou des fonctionnalités de sécurité de votre gestionnaire de mots de passe ou de votre navigateur. Si vous constatez qu'un mot de passe a été compromis, vous devez le changer immédiatement.

Dans un monde où les violations de données se chiffrent en milliards et où des alternatives comme l'authentification multifacteur et les mots de passe émergent, la stratégie gagnante ne consiste plus à changer constamment de mot de passe, mais à construire un écosystème d'accès robuste et gérableDes mots de passe longs et uniques, l'authentification multifacteurs, des outils facilitant la gestion et une vigilance accrue face aux signes de compromission : en adoptant ces habitudes, vos comptes seront bien mieux protégés, même si vous ne vous souvenez plus de la dernière fois où vous avez modifié votre mot de passe.

Article connexe:

Comment créer des mots de passe forts et protéger vos comptes étape par étape