La sécurité des mots de passe a fait couleur beaucoup d'encre ces derniers temps, en particulier avec la pandémie, qui nous a obligés à travailler en ligne depuis notre domicile. Naturellement, une des questions que beaucoup se posent concerne la fréquence à laquelle nous devrions changer nos mots de passe.
Contenu
Vous serez sûrement surpris d'apprendre que le fait de changer fréquemment de mot de passe n'est pas vraiment une bonne chose. En fait, cela peut produire l'effet contraire à celui recherché. Au lieu de renforcer la sécurité, les changements fréquents peuvent nous conduire à choisir des mots de passe similaires par frustration. Voici d'emblée un conseil que vous devriez appliquer.
Le problème découlant des changements fréquents
Pendant très longtemps, la fréquence de changement des mots de passe était généralement tous les 30, 60 ou 90 jours, soit tous les 3 mois environ. Malheureusement, cela a causé un problème absolument massif, en particulier dans le cas d'entreprises qui imposent ces changements fréquents. Même Wired a évoqué le problème des changements de mots de passe peu fréquents.
Maintenant, les employés et les gens en général ont besoin de mémoriser de plus en plus de mots de passe. Cela les rend encore moins enclins à créer des mots de passe longs et sécurisés, et nous ne pouvons pas les blâmer.
Bien sûr, une certaine logique se trouve derrière ces changements recommandés, du moins c'était le cas à l'époque. Plus vous changez de mot de passe, moins il est probable que le mot de passe soit découvert, n'est-ce pas ? En fait, non. Cela aggrave même la situation.
Lorsque les internautes sont obligés de créer de nouveaux mots de passe si fréquemment, ils finissent par ajouter quelques variations mineures aux mots de passe précédents.
Ce n'est pas le seul problème. Imaginez que vous venez de commencer à travailler ou que vous êtes en train de faire quelque chose et que vous êtes soudainement invité à changer de mot de passe. Ayant été interrompu dans vos activités, vous pourriez avoir tendance à choisir quelque chose de facile à mémoriser, mais également à deviner.
Recommandations du NIST
Récemment, le NIST (National Institute of Standards and Technology) a mis au point des conseils pour savoir quand changer de mot de passe. Selon le NIST lui-même, les changements fréquents de mot de passe posent un gros problème. Parmi leurs recommandations, nous trouvons la réduction de la fréquence des changements de mot de passe et la diminution de la complexité des mots de passe.
Le NIST préconise également d'utiliser des mots de passe plus longs mais plus faciles à retenir, comme ceux qui se composent de plusieurs mots. De même, les entreprises et les sites Web ne devraient pas imposer de changements de mot de passe au hasard ou arbitrairement, mais devraient avoir une bonne raison de le faire afin de motiver les employés à l'appliquer.
Le NIST parle également des entreprises qui essaient d'autres moyens de sécuriser les mots de passe, comme l'authentification à deux facteurs. Il existe en fait de nombreuses façons de protéger les informations, autres que simplement se concentrer sur les mots de passe texte.
Le meilleur moment pour changer votre mot de passe
Si changer de mot de passe tous les 30, 60 ou 90 jours n'est pas la solution idéale, alors quelle est la solution idéale ?
Tout d'abord, si le service que vous utilisez a fait l'objet d'une violation, vous devez immédiatement changer de mot de passe. De même, si vous recevez une notification indiquant que votre compte a été consulté et qu'il ne s'agissait pas de vous, vous devez aussi changer immédiatement votre mot de passe. Par ailleurs, si vous recevez une demande d'authentification à deux facteurs sans en avoir initié une, c'est probablement également le moment de changer votre mot de passe.
En ce qui concerne les problèmes locaux, si vous trouvez un virus ou logiciel malveillant sur votre ordinateur qui sévit peut-être depuis un certain temps, vous devez modifier vos mots de passe, car ils seront probablement compromis. Ceci étant, il faut préciser que si vous disposez d'un bon antivirus et qu'il bloque les virus ou logiciels malveillants avant qu'il ne s'exécutent, vous n'avez pas à vous inquiéter. Par ailleurs, si vous vous êtes récemment connecté à un ordinateur public ou partagé, il peut être judicieux de changer votre mot de passe, car vous ne savez pas ce qui était en cours d'exécution sur cet ordinateur et il a pu être équipé d'un enregistreur de frappe.
Si vous avez partagé un mot de passe avec une autre personne, envisagez également de le modifier. Si cette personne utilise un compte partagé, assurez-vous de ne pas utiliser ce mot de passe ailleurs. Par contre, si elle ne l'utilise plus, il n'y a aucun mal à changer le mot de passe par souci de sécurité.
Pour finir, il existe en fait une bonne fréquence à laquelle il faudrait changer votre mot de passe : tous les ans ou tous les deux ans. C'est une période qui se situe à mi-chemin entre une période suffisamment courte pour que vous ne vous sentiez pas obligé de créer un nouveau mot de passe (et donc un mauvais mot de passe) et une période suffisamment longue pour que vous commenciez à considérer qu'il y a un risque pour la sécurité de votre compte, notamment en cas de ransomware ou d{link2}.
Conseils pour changer votre mot de passe
Alors maintenant que vous savez quand changer votre mot de passe, quelle est la meilleure façon de procéder ?
Voici quelques conseils :
Utilisez un générateur de mot de passe si vous ne parvenez pas à trouver une bonne combinaison de mots de passe à 12 ou 16 caractères (ce qui en effet est assez difficile).
Puisque nous n'avons pas une excellente mémoire, pensez plutôt à utiliser une phrase. Il s'agit d'un enchaînement de mots qui a du sens. Par exemple, « Dix enfants dans le train » qui contient 25 caractères et est facile à mémoriser.
Vous devriez absolument opter pour un gestionnaire de mots de passe, car cet outil vous permet de stocker beaucoup de mots de passe complexes et d'ajouter un niveau de sécurité supplémentaire. Le mot de passe principal que vous utilisez peut être incroyablement long et complexe, mais cela ne doit pas vous procurer un faux sentiment de sécurité. Vous devez toujours vous référer aux meilleures pratiques mentionnées ci-dessus. Consultez ce guide pour choisir le meilleur gestionnaire de mots de passe si vous avez besoin d'aide pour choisir le produit qui vous convient.
Arrêtez de réutiliser des mots de passe. C'est également un point important, car si des pirates ont récupéré un de vos vieux mot de passe, je peux vous assurer qu'ils vont l'essayer, ainsi que toutes ses variantes.
Si le service ou le site Web que vous utilisez dispose d'une authentification à deux facteurs, utilisez cette solution. C'est un niveau de sécurité fort, que vous pouvez ajouter relativement facilement.