À quelle fréquence changer votre mot de passe ?

La sécurité des mots de passe a fait couler beaucoup d’encre ces derniers temps, en particulier avec la pandémie, qui nous a obligés à travailler en ligne depuis notre domicile. Naturellement, l’une des questions que beaucoup se posent concerne la fréquence à laquelle nous devrions changer nos mots de passe.

Vous serez sûrement surpris d’apprendre que le fait de changer fréquemment de mot de passe n’est pas vraiment une bonne chose. En fait, cela peut produire l’effet contraire à celui recherché. Au lieu de renforcer la sécurité, les changements fréquents peuvent nous conduire à choisir des mots de passe similaires par lassitude. Voici d’emblée un conseil que vous devriez appliquer.

Le problème des changements fréquents

Pendant très longtemps, la fréquence acceptable de changement de mot de passe était en principe tous les 30, 60 ou 90 jours, c’est-à-dire tous les trois mois environ. Malheureusement, cela a causé un problème considérable, en particulier dans les entreprises qui imposent ces changements fréquents. Même Wired a abordé le même problème, à savoir le fait de ne pas changer souvent de mot de passe.

Les employés et plus généralement les personnes doivent mémoriser de plus en plus de mots de passe, ce qui les incite à ne pas créer de mots de passe longs et sécurisés, et c’est bien normal.

Bien sûr, une certaine logique se trouve derrière ces changements recommandés, du moins c’était le cas à une certaine époque. Plus vous changez de mot de passe, moins il est probable que le mot de passe soit piraté, n’est-ce pas ? En fait, non. Cela aggrave même la situation.

Lorsque les internautes sont obligés de créer de nouveaux mots de passe si fréquemment, ils finissent par ajouter quelques variations mineures aux mots de passe précédents.

Ce n’est pas le seul problème. Imaginez que vous venez de commencer à travailler ou que vous êtes en train de faire quelque chose et que vous êtes soudainement invité à changer de mot de passe. Ayant été interrompu dans vos activités, vous pourriez avoir tendance à choisir quelque chose de facile à mémoriser, mais également à deviner.

Recommandations du NIST

Récemment, le NIST, l’Institut national des normes et de la technologie (National Institute of Standards and Technology) a diffusé des conseils concernant la fréquence de changement des mots de passe. L’Institut reconnaît qu’il y a un gros problème avec les changements fréquents de mot de passe, et suggère notamment de réduire la fréquence des changements de mot de passe, ainsi que la complexité des mots de passe.

Le NIST préconise également d’utiliser des mots de passe plus longs, mais plus faciles à retenir, comme ceux qui se composent de plusieurs mots. De même, les entreprises et les sites web ne devraient pas imposer de changements de mot de passe au hasard ou arbitrairement, mais devraient avoir une bonne raison de le faire afin de motiver les employés à l’appliquer.

Le NIST parle également des entreprises qui essaient d’autres moyens de sécuriser les mots de passe, comme l’authentification à deux facteurs. Il existe en fait de nombreuses façons de protéger les informations, autres que simplement se concentrer sur les mots de passe textuels.

Le meilleur moment pour changer votre mot de passe

Si changer de mot de passe tous les 30, 60 ou 90 jours n’est pas la solution idéale, que faut-il faire ?

Tout d’abord, si le service que vous utilisez a fait l’objet d’une fuite de données, vous devez immédiatement changer de mot de passe. De même, si vous recevez une notification indiquant que votre compte a été consulté et qu’il ne s’agissait pas de vous, vous devez aussi changer immédiatement votre mot de passe. Par ailleurs, si vous recevez une demande d’authentification à deux facteurs sans en avoir initié une, c’est probablement également le moment de changer votre mot de passe.

En ce qui concerne les questions locales, si vous trouvez un virus ou un malware sur votre ordinateur qui sévit depuis un certain temps, vous devrez changer vos mots de passe, car ils seront probablement compromis. Ceci étant, il faut préciser que si vous disposez d’un bon antivirus et qu’il bloque les virus ou malwares avant qu’ils ne s’exécutent, vous n’avez pas à vous inquiéter. Par ailleurs, si vous vous êtes récemment connecté à un ordinateur public ou partagé, il peut être judicieux de changer votre mot de passe, car vous ne savez pas ce qui était en cours d’exécution sur cet ordinateur et il a pu être équipé d’un enregistreur de frappe.

Si vous avez partagé un mot de passe avec une autre personne, prévoyez également de le modifier. Si cette personne utilise un compte partagé, assurez-vous de ne pas utiliser ce mot de passe ailleurs. Par contre, si elle ne l’utilise plus, il n’y a aucun mal à changer le mot de passe par souci de sécurité.

Enfin, il existe un délai raisonnable après lequel vous devriez changer votre mot de passe : environ un an. Il s’agit d’un laps de temps suffisant pour que vous ne vous sentiez pas obligé de créer un nouveau mot de passe (et donc un mauvais mot de passe) et juste assez pour que vous commenciez à considérer qu’il y a un risque pour la sécurité de votre compte, en particulier face à un ransomware ou une attaque de pharming.

Conseils pour changer votre mot de passe

Alors maintenant que vous savez quand changer votre mot de passe, quelle est la meilleure façon de procéder ?

Voici quelques conseils :

• Utilisez un générateur de mots de passe si vous n’arrivez pas à trouver une bonne combinaison de mots de passe de 12 ou 16 caractères (ce qui, oui, est assez difficile).

• Puisque nous n’avons pas une excellente mémoire, utilisez plutôt une phrase secrète, appelée aussi phrase de passe. Il s’agit d’un enchaînement de mots qui a du sens. Par exemple, « Dix enfants dans le train » contient 25 caractères et est facile à mémoriser.

• Vous devez absolument opter pour un gestionnaire de mots de passe, car cet outil vous permet de stocker beaucoup de mots de passe complexes et d’ajouter un niveau de sécurité supplémentaire. Le mot de passe principal que vous utilisez peut être incroyablement long et complexe, mais cela ne doit pas vous procurer un faux sentiment de sécurité. Vous devez toujours vous référer aux bonnes pratiques mentionnées ci-dessus. Consultez ce guide pour choisir le meilleur gestionnaire de mots de passe si vous avez besoin d’un peu d’aide pour choisir le produit adapté à vos usages.

• Arrêtez de réutiliser des mots de passe. C’est également un point important, car si des pirates ont récupéré l’un de vos vieux mots de passe, je peux vous assurer qu’ils vont l’essayer, ainsi que toutes ses variantes.

• Si le service ou le site web que vous utilisez dispose d’une authentification à deux facteurs, activez cette solution. C’est un niveau de sécurité fort, que vous pouvez ajouter relativement facilement.