Pourquoi et comment créer un mot de passe sécurisé : Astuces et bonnes pratiques pour protéger vos comptes
Dans un monde où la cybercriminalité est au cœur de l'informatique et en constante augmentation, il est essentiel de comprendre l'importance d'un mot de passe robuste. Que ce soit pour vos comptes personnels ou professionnels, un mot de passe solide est votre principale arme de défense contre les cyberattaques.
Dans cet article, nous allons explorer en détail les différents aspects liés à la sécurité des mots de passe, ainsi que des astuces et bonnes pratiques pour vous aider à concevoir des mots de passe à l’épreuve des attaques.
Les dangers d'un mot de passe compromis
Cette infographie reprise de Hive Systems représente le temps qu'un pirate peut mettre pour trouver un mot de passe en utilisant la méthode de piratage d'une combinaison d'attaque par force brute, qui teste toutes les combinaisons possibles, et par dictionnaire, qui compare des mots de passe courants, tout en utilisant notamment une carte graphique NVIDIA RTX 4090, l'une des plus puissantes sur le marché actuel. Et oui, selon le matériel utilisé, particulièrement les cartes graphiques, plus celle-ci est puissante, plus elle est capable de craquer un mot de passe rapidement. Donc, selon ce tableau infographique, la meilleure option afin d'avoir un mot de passe robuste et fiable est d'utiliser 13 caractères en y comptant des nombres, des lettres minuscules et majuscules, ainsi que des symboles.
L'importance de cette infographie est surtout de sensibiliser un public vulnérable ou moins à l'aise avec les technologies numériques, notamment en matière de mots de passe, et sur le rôle important d'un mot de passe sécurisé afin d'éviter les risques de piratage.
Vous pouvez retrouver l'intégralité de leur article sur Hive Systems.
Les principaux risques lors d'un mot de passe dérobé
Usurpation de comptes
La personne ayant accès à un ou des comptes que vous possédez (emails, réseaux sociaux, etc.), a la possibilité de changer vos mots de passe et donc de vous bloquer l'accès à vos comptes. Elle peut aussi se faire passer pour vous en envoyant divers messages ou emails.
Atteinte à la réputation
Si quelqu'un accède à l'un de vos comptes réseaux sociaux ou email, il peut nuire à votre réputation privée comme professionnelle. Il peut poster des photos non consenties ou bien encore envoyer des emails à votre entreprise dans le but de vous nuire.
Extorsion ou chantage
Le pirate, en accédant à des informations privées ou embarrassantes, peut vous faire chanter en échange de grosses sommes d'argent, au risque de les diffuser sur internet ou à vos proches.
Accès à des informations sensibles
Si une personne malhonnête a votre mot de passe, cela peut impliquer qu'elle puisse accéder à certaines données, et plus particulièrement à des données et informations sensibles, comme des photos, vidéos, des emails, ou ceux de vos cartes bancaires, ou bien encore ceux de votre entreprise si c'est dans le cadre du travail.
Bien sûr, il existe encore d'autres risques, mais le but ici n'est pas de faire un compte rendu de tous les risques possibles, mais de vous montrer les principaux.
Les caractéristiques d’un bon mot de passe
Utilisez un mot de passe pour chaque accès
C’est-à-dire que pour chaque compte que vous créez, il faut que le mot de passe soit unique et ne soit en aucun cas réutilisé pour un autre compte, même si ce compte n’appartient pas à la même application ou aux mêmes services utilisés.
Longueur du mot de passe
Plus votre mot de passe est long, plus il est robuste et moins il a de chances d'être piraté. Un mot de passe fort doit contenir entre 13 et 16 caractères en y comptant des chiffres, lettres minuscules et majuscules, et des symboles. Chaque caractère supplémentaire augmente considérablement les chances que votre mot de passe soit piraté.
Complexité
Pour qu’un mot de passe soit complexe, il doit contenir non seulement des lettres, mais également des majuscules, minuscules, des chiffres et des caractères spéciaux tout en les mélangeant. En prenant en compte toutes ces caractéristiques, les chances que votre mot de passe soit corrompu sont presque infinies. Par exemple, un mot de passe dit "complexe" peut être comme suit : "K4t%e;Oé7(&Ma*" est plus difficile à trouver que "Katemorin2000*". Évitez également de choisir un mot de passe avec des noms propres ou prénoms en lien avec vous, ou encore une date de naissance ou le nom de votre animal de compagnie.
Changez votre mot de passe au moindre doute
En effet, si vous voyez une utilisation inhabituelle de votre compte, par exemple pendant la nuit, ou bien si l’un des services comme ceux du gouvernement a récemment subi une fuite de données, il ne faut surtout pas hésiter à changer votre mot de passe.
Pareillement, lors de l’utilisation d’un mot de passe professionnel, par exemple celui de votre ordinateur de bureau, il est conseillé de le renouveler tous les 30 à 90 jours en fonction de son niveau de vulnérabilité.
Il existe aussi le site web haveibeenpwned afin que les internautes puissent vérifier si leurs données personnelles ont été compromises à la suite de violations de données. Le service recueille et analyse régulièrement des centaines d'exports de bases de données et de données texte, lesquelles comprennent des informations sur des milliards de comptes compromis.
Activer l’authentification à deux facteurs (2FA)
L'authentification à deux facteurs (2FA) est un système de sécurité qui demande deux preuves différentes pour s'assurer que c'est bien vous qui vous connectez. C'est un peu comme verrouiller une porte avec deux clés différentes.
Exemple :
- Quelque chose que vous savez, comme votre mot de passe.
- Quelque chose que vous avez, comme un code que vous recevez sur votre téléphone.
Ces deux éléments ensemble rendent plus difficile l'accès à vos comptes par quelqu'un d'autre.
L'authentification multifactorielle (MFA) va encore plus loin. Elle utilise trois preuves différentes pour garantir votre sécurité.
Exemple :
- Quelque chose que vous savez, comme un mot de passe.
- Quelque chose que vous avez, comme votre téléphone (ou une clé Yubikey).
- Quelque chose que vous êtes, comme votre empreinte digitale ou votre visage (avec la reconnaissance faciale).
Cela ajoute une couche supplémentaire de protection.
Il est important de comprendre que si vous utilisez, par exemple, un mot de passe et un code PIN (donc tous les deux sont quelque chose que vous savez), ce n'est pas une authentification multifactorielle, car ces deux éléments viennent de la même catégorie. Mais si vous combinez un code PIN et une reconnaissance faciale, c’est considéré comme plus sécurisé.
Enfin, vous pouvez aussi utiliser un système MFA sans mot de passe, en utilisant seulement votre téléphone et votre empreinte digitale, par exemple. Cela peut simplifier l’accès tout en restant sécurisé.
Comment créer un mot de passe sécurisé
Manuellement
- Pour créer un mot de passe de façon manuelle tout en étant sécurisé, vous pouvez l'écrire vous-même en mélangeant différentes lettres, qu'elles soient majuscules et minuscules, ainsi que des chiffres et des caractères spéciaux. Il vous faut donc un mot de passe avec au minimum une dizaine de caractères. Le mot de passe doit être neutre, cela veut dire qu'il ne doit pas ressembler de loin comme de près à un nom commun.
Générateur de mot de passe
- Afin d'éviter de créer un mot de passe de façon manuelle et de perdre du temps là-dessus, il existe différents générateurs de mot de passe sur internet comme DashLane, ou bien encore celui de notre association Minp. Ces générateurs de mot de passe sont des outils pour créer des mots de passe robustes et sécurisés.
Gestionnaires de mot de passe
- Les générateurs de mots sont bien lorsqu’on a 2 ou 3 mots de passe. Mais lorsqu'on commence à avoir plusieurs mots de passe, il est plus judicieux d’utiliser un gestionnaire de mot de passe. Pour faire simple, les gestionnaires de mots de passe comme KeePassXC (vous pouvez également voir l'article sur Protégez vos mots de passe avec KeePassXC et YubiKey), sont des logiciels qui vont à la fois gérer, mais aussi stocker et organiser tous vos mots de passe et informations sensibles. C’est un peu comme une armoire avec différents rangements ou compartiments pour chaque mot de passe, sauf que cette armoire est numérique et prend peu de place.
- Certains pourraient penser qu’ils vont uniquement stocker les mots de passe et se posent la question : “Mais du coup faut-il aller sur un générateur de mot de passe avant, et ensuite l’importer dans le gestionnaire de mot de passe ? c’est pas simple ton truc”. En fait non, la plupart des gestionnaires de mots incluent eux-mêmes un générateur de mot de passe qui sera ensuite directement stocké. Donc pour ceux qui auraient eu peur, vous êtes maintenant ravis de le savoir.
Les erreurs à éviter :
- Éviter de mettre vos mots de passe sur un fichier .txt ou doc sur votre ordinateur local ou de bureau.
- Ne pas réutiliser le même mot de passe pour un autre compte.
- Ne pas dévoiler pas tous vos mots de passe (surtout professionnels) à n'importe qui, voire à personne.
- Ne pas écrire de façon multiple tous vos mots de passe à différents endroits, cela risquerait d’augmenter les chances qu'une personne mal intentionnée en prenne note et les utilise à mauvais escient.
- Ne jamais faire "enregistrer votre mot de passe" lorsque le navigateur internet vous le propose.