Faut-il préférer un mot de passe très long ? Demander à Google d’enregistrer nos différents mots de passe ? On fait le point avec Boris Sharov, PDG de l’antivirus Dr Web, sur 6 idées reçues sur les mots de passe.
Si je choisis un mot de passe très long, je suis tranquille.
Boris Sharov : La longueur doit être raisonnable pour que le mot de passe puisse être mémorisé. 8 caractères c’est déjà assez sûr s’il ne s’agit pas d’un nom ou d’une succession de mots qui appartient au vocabulaire commun. Mais la complexité n’est qu’une partie de la sécurité du mot de passe. Si vous ne comptez que là-dessus, vous ne serez jamais à l’abri. La seconde partie c’est d’éviter que des personnes malveillantes fassent une intrusion dans votre ordinateur, via un cheval de Troie (un logiciel en apparence classique qui cache une fonctionnalité malveillante) par exemple, et vous volent votre mot de passe. Dans ce cas la complexité ne compte plus.
Garder le même mot de passe pour plusieurs sites en changeant un ou deux caractères c’est suffisant.
B.V. : Tout dépend de votre mot de passe de départ. S’il s’agit de quelque chose de simple à deviner comme votre prénom et votre date de naissance – et c’est assez courant – cela ne changera pas grand chose. Si c’est au contraire une combinaison assez complexe à deviner, ajouter des caractères ne peut pas faire de mal. Mais encore une fois, la complexité du mot de passe ne fait pas tout.
Demander à un navigateur d’enregistrer nos mots de passe est un bon moyen d’utiliser différents codes sans avoir à tout retenir.
B.V. : Cela facilite la vie mais c’est très risqué. Les navigateurs sont les premières proies des chevaux de Troie conçus pour voler les mots de passe. Leur sécurité n’est pas assez fiable. Ce qu’il faut faire de manière générale, c’est faire le tri entre les données qui sont très importantes pour vous et qui doivent être bien protégées par un mot de passe que vous ne confiez jamais au navigateur, et celles qui le sont moins et qui peuvent être éventuellement gérées par le navigateur.
Utiliser un site comme Have I been Pwned permet de s’assurer qu'un mot de passe est sécurisé.
B.V. : En utilisant ce type de site qui s’appuie sur des bases de données des sociétés de cybersécurité et d’antivirus, vous vous assurez que le mot de passe que vous avez choisi est clean, c’est-à-dire que personne ne l’a jamais utilisé, et/ou que cette personne ou vous-même n’a jamais été piratée avec ce mot de passe. Mais en même temps vous confiez votre mot de passe aux personnes qui opèrent sur ce site, que vous ne connaissez pas, et ça c’est un risque.
Changer de mot de passe tous les trois mois, comme cela est suggéré dans certaines entreprises, c’est idéal.
B.V. : Idéalement, il faudrait en changer tous les mois. Ce qu’il faut comprendre c’est que les mots de passe sont des marchandises qui peuvent être vendues dans les sous-sols d’Internet. Et il n’y a aucun moyen de savoir si votre mot de passe est marchandisé ou non, car ces bases d’échanges ne sont pas bien connues des forces de l’ordre. Et de toute manière, il ne vaut mieux pas se poser cette question. La règle pour éviter que votre mot de passe soit utilisé par un pirate qui l’aurait acheté, c’est de le changer constamment. Mais évidemment ce conseil est difficile à suivre. Nous utilisons des dizaines d’applications et services en ligne qui nous demandent un mot de passe. Si vous changez chacun d’eux tous les mois, vous passez votre temps à faire ça.
Protéger ses comptes avec un gestionnaire de mots de passe est une bonne solution.
B.V. : Oui, le gestionnaire de mots de passe est plutôt sécurisé parce qu’il stocke et chiffre tous vos mots de passe dans une base. Pour y avoir accès, vous n'avez à retenir qu'un seul mot de passe master. Si un cheval de Troie infiltre votre ordinateur, il pourra très difficilement déchiffrer vos mots de passe s’ils sont protégés par un gestionnaire. Mais il est quand même recommandé de renouveler le mot de passe master tous les mois.
Participer à la conversation