Cybersécurité : journée internationale du mot de passe
Ce 6 mai est la journée internationale du mot de passe. L’occasion de rappeler quelques bonnes pratiques en matière d’utilisation des mots de passe et de sécurisation des accès.
Pourquoi mettre en place une politique de mot de passe ?
Alors que ‘Qwerty’, ‘azerty’, ‘123456’ et autre ‘password’ sont encore massivement utilisés, il est utile de rappeler qu’un mot de passe correctement configuré, reste un moyen de sécurisation des données essentiel.
Toutefois, s'il n'est pas géré dans le cadre d'une politique de sécurité rigoureuse, ce mode de protection s'avère relativement simple à contourner. Il est donc nécessaire pour chaque organisation de mettre en place une politique de gestion des mots de passe appliquée par tous, et qui s’intègre à un dispositif de cyberdéfense plus large.
Quelles sont les bonnes pratiques à adopter ?
Contenu de vos mots de passe :
- Créez des mots de passe complexes. Ils comprennent minimum 13 caractères (pour un mot de passe moyen à fort) avec minuscules, majuscules, chiffres et caractères spéciaux. Renforcez encore la sécurité sur les comptes à privilèges.
- N’y intégrez pas d’informations personnelles. Le prénom d’enfants, d’animaux de compagnie, et dates de naissance, peuvent être rapidement trouvés.
- Changez régulièrement vos mots de passe avec un rappel automatique et modifiez automatiquement les mots de passe par défaut.
Gestion de vos mots de passe :
- Utilisez un gestionnaire de mots de passe. Il peut être compliqué de retenir l’ensemble de vos mots de passe complexes : facilitez-vous la vie avec un gestionnaire de mots de passe (coffre-fort comme KeePass). Ne pas sauvegarder ses mots de passe dans un navigateur Internet.
- Evitez d’utiliser les mêmes mots de passe pour différents comptes. Catégorisez vos mots de passe (privé, professionnel, admin, utilisateur, …) : en cas de compromission pour un compte, il devra absolument être modifié.
- Utilisez un canal sécurisé (pas de wifi public) pour vous connecter à vos comptes.
- Révoquez et modifiez rapidement vos mots de passe en cas d’incidents de sécurité (y compris en cas de suspicion). Limitez le nombre de tentatives d’authentification.
- Vérifiez que votre mot de passe n’a pas été piraté en vous rendant sur Have I Been Pwned: Check if your email has been compromised in a data breach
Un dispositif parmi d’autres
L’utilisation de mots de passe forts n’est qu’un premier dispositif de votre arsenal de défense. Il est important de disposer de plusieurs degrés de sécurisation. L’authentification multifacteur (MFA) ajoute une couche de protection supplémentaire au processus de connexion et est aujourd’hui indispensable.
Vers la fin des mots de passe ?
Des organisations telles que FIDO (Fast Identity Online) œuvrent au développement de normes d’authentification forte pour l’accès aux services en ligne. Objectif ? Se passer des mots de passe qui sont souvent considérés comme un point faible dans la sécurité des systèmes, car ils peuvent être facilement devinés, volés ou compromis.
À la place, FIDO propose d’utiliser des méthodes d’authentification alternatives telles que la biométrie ou l'utilisation de clés matérielles.