nordpass logo

10 mythes sur les mots de passe démystifiés

Benjamin Scott

Les mots de passe constituent la première ligne de défense à l'ère du numérique. Afin de sensibiliser les particuliers et les entreprises à leur importance et au rôle qu'ils jouent en matière de sécurité, la Journée mondiale du mot de passe est célébrée chaque année le premier jeudi du mois de mai.

En cette Journée du mot de passe 2020, nous allons dissiper certaines des idées fausses qui entourent encore cet aspect crucial de la sécurité en ligne. Qu'est-ce qui fait qu'un mot de passe est faible ou sécurisé ? Dans quelle mesure est-il risqué de noter par écrit ses informations de connexion ? Voici dix mythes persistants sur les mots de passe démystifiés.

1. Si vous n'avez rien à cacher, pas besoin de vous soucier des mots de passe

Lorsque les gens pensent que l'enjeu est faible, ils baissent la garde. Le piège, c'est que vous n'avez pas besoin de partager des secrets d'État pour craindre un piratage. Un pirate informatique qui s'introduit dans votre compte de réseaux sociaux ou votre messagerie électronique peut tout de même faire beaucoup de dégâts à long terme.

D'une part, il se peut que ce ne soit pas vous qui subissiez les conséquences d'un mot de passe mal sécurisé. Des pirates informatiques pourraient utiliser votre compte pour lancer des attaques phishing contre d'autres personnes, en extrayant votre liste de contacts et votre liste d'amis.

Vous pouvez toujours être directement impacté, bien sûr. Un pirate informatique qui déchiffre un mot de passe peut avoir accès à d'autres comptes liés sur différentes plateformes. Après tout, les identifiants de messagerie et de réseaux sociaux sont souvent utilisés comme mécanismes de connexion à des sites tiers. Un pirate informatique pourrait même mettre en place une attaque de l'homme du milieu (MITM) après avoir espionné votre compte.

Vous ne voyez peut-être pas comment un mot de passe faible pourrait vous nuire, mais un pirate peut certainement le comprendre.

2. Vous pouvez utiliser le même mot de passe sur plusieurs comptes

Réutiliser un mot de passe n'est pas une bonne idée, même si vous pensez qu'il est fort. Pour la même raison, vous ne voudrez pas utiliser une seule et même clé pour votre voiture, votre bureau et votre appartement.

Contourner la sécurité des connexions n'a jamais été aussi facile : avec un logiciel de force brute, des pirates informatiques peuvent s'introduire dans un compte en quelques secondes. Si vous utilisez les mêmes informations pour plusieurs sites, alors un piratage peut rapidement se propager.

Différencier vos informations de connexion constitue une partie essentielle de la sécurité en ligne, qui permet de limiter la menace que représente tout piratage réussi.

3. Les chiffres et les caractères spéciaux renforcent automatiquement votre mot de passe

L'ajout de chiffres et de symboles à votre mot de passe est bien sûr utile, mais pas autant que ce que beaucoup pensent. Les pirates informatiques utilisent des programmes capables de parcourir les symboles et les séquences numériques les plus courants en quelques millisecondes. Ajouter « 123 » ou remplacer la lettre « A » par « @ » ne ralentira guère le dernier logiciel de force brute.

S'il est important d'utiliser des lettres, des chiffres et des symboles totalement aléatoires, il est également essentiel d'éviter les modèles.

4. Il n'est pas prudent de noter par écrit ses mots de passe

Ce point dépend de circonstances spécifiques. Dans un environnement professionnel ou de bureau, il est évidemment vital de ne pas laisser traîner les informations relatives au mot de passe. En revanche, pour les personnes possédant des comptes personnels, à savoir des comptes de réseaux sociaux, par exemple, et de messagerie électronique personnelle, cela n'est pas vraiment aussi important.

Si une personne veut détourner votre compte de réseaux sociaux ou s'introduire dans votre messagerie électronique, il est peu probable qu'elle vive dans votre quartier. Cette personne peut se trouver dans une chambre à l'autre bout du monde et lancer tout de même une attaque. Ces criminels s'appuient sur des logiciels algorithmiques complexes, et non sur la feuille sur laquelle vous avez écrit vos mots de passe et que vous avez laissée tomber.

Bien pire que d'écrire un mot de passe, c'est d'en utiliser un simple et facile à retenir. « Facile à retenir » signifie en réalité « facile à déchiffrer ».

5. Les vérificateurs de mots de passe sur les sites sont toujours fiables

Accédez à n'importe quel site Web qui intègre une évaluation de la force du mot de passe dans le processus de création d'un mot de passe. Vous constaterez qu'en ajoutant une lettre majuscule, et quelques chiffres et symboles, vous pouvez faire passer votre mot de passe de weak à strong.

Ce n'est pas comme cela que password security fonctionne. Le pirate informatique qui veut s'introduire dans votre messagerie électronique utilisera des outils sophistiqués. Ceux-ci peuvent vérifier chaque mot du dictionnaire en quelques secondes. Parcourir les noms communs et les associer à des dates et des modèles numériques communs ne leur prendra pas longtemps.

Choisir « [email protected] » au lieu de « mot de passe » n'améliore guère la sécurité, quoi qu'en dise le vérificateur de force.

6. Changer régulièrement votre mot de passe améliore votre sécurité en ligne

Ce n'est pas tout à fait un mythe, mais changer régulièrement votre mot de passe n'est qu'une petite partie d'un processus beaucoup plus large.

Il s'agit d'une bonne pratique au sein des grandes organisations, par exemple au sein des entreprises ou universités, mais elle présente certains inconvénients. Forcer les gens à modifier leurs informations de connexion tous les quelques mois peut les pousser à accorder moins d'attention à la qualité des mots de passe qu'ils utilisent.

Il vaut mieux se fier à un seul mot de passe complexe et difficile à déchiffrer pendant toute une année que d'en utiliser six simples dans le même intervalle de temps.

7. Oublier votre mot de passe peut vous priver définitivement d'un compte

Cela ne serait vrai que dans des circonstances très spécifiques. Pour la grande majorité des utilisateurs de la plupart des plateformes protégées par un mot de passe, la récupération d'un compte est assez simple.

Qu'il s'agisse de sites de réseaux sociaux tels que Instagram ou de centres de divertissement tels que Spotify et le Playstation Network, vous pouvez réinitialiser un mot de passe oublié en quelques étapes simples.

8. Les utilisateurs de mots de passe sont toujours ceux qu'il faut blâmer en cas de violations de la sécurité des mots de passe

Il est facile de blâmer les utilisateurs lorsque leurs comptes sont piratés ou que leurs données de connexion apparaissent en ligne. Cependant, les mots de passe faibles ne sont pas toujours à l'origine de ces violations.

Comme nous l'avons évoqué dans le mythe numéro 5, de nombreux sites Web donnent des conseils trompeurs sur ce qui constitue un mot de passe fort. La plupart ne prennent pas la peine d'inviter les utilisateurs à prendre des précautions supplémentaires.

Pire encore, les mots de passe sont parfois divulgués sur le Dark Web lorsque des fichiers d'entreprise ne sont pas sécurisés. Vous pouvez en fait savoir si vos données de connexion sont disponibles en ligne en consultant le site me suis-je fait avoir ?. Les entreprises doivent être conscientes du rôle qu'elles jouent dans la protection des mots de passe des utilisateurs.

9. La complexité l'emporte toujours sur la longueur du mot de passe

La complexité est essentielle, mais la longueur l'est tout autant. Ce n'est pas pour rien que la plupart des sites imposent un nombre minimum de caractères pour les mots de passe : plus ils sont longs, mieux c'est.

Il est plus difficile de rendre complexes des mots de passe courts. Même un ensemble aléatoire de lettres et de symboles peut être déchiffré relativement rapidement s'il ne comporte que six caractères.

La longueur et la complexité sont les deux clés d'une bonne sécurité des mots de passe. Si vous pouvez vous concentrer sur ces deux aspects, votre compte sera beaucoup plus difficile à forcer.

10. Vous n'avez pas besoin d'un gestionnaire de mots de passe

En fait, c'est sûrement le cas. Un gestionnaire de mots de passe contribuerait grandement à limiter la plupart des risques que nous avons abordés jusqu'à présent.

Avec NordPass, vous pouvez générer des mots de passe longs et complexes et les stocker en toute sécurité dans des coffres chiffrés. Ensuite, lorsque vous vous connectez à un compte ou à un profil, NordPass remplit automatiquement le formulaire à votre place. Vous n'avez pas besoin de vous souvenir de vos mots de passe, NordPass le fait pour vous.

Un bon gestionnaire de mots de passe est la pièce maîtresse d'une stratégie de sécurité en ligne forte.

S’abonner aux actualités de NordPass