Même s’il existe de nouvelles technologies pouvant jouer le rôle de serrure électronique, les mots de passe restent encore très utilisés par les entreprises, les e-commerçants, mais aussi les services publics en ligne. Aussi, dans nos activités professionnelles et personnelles, sommes-nous contraints d’en créer régulièrement, de les changer de temps en temps et surtout de les retenir. Un exercice loin d’être simple.
Doit-on utiliser un même mot de passe pour plusieurs comptes ?
Bien sûr la tentation de le faire est forte, mais ce n’est pas conseillé. Pourquoi ? Tout simplement parce que s’il est un jour découvert par un hacker, ce dernier s’empressera de l’utiliser sur d’autres comptes. Il pourra ainsi prendre la main sur ces derniers (réseaux sociaux, messageries électroniques, sites de e-commerçants, opérateurs téléphoniques, administrations, extranet de l’entreprise, banques…).
Doit-on choisir une suite de lettres ou de chiffres sans aucun sens ?
Il est communément admis qu’un mot de passe compliqué, c’est-à-dire n’ayant aucun sens et composé de différents types de signes (lettres minuscules, lettres majuscules, chiffres, ponctuations, caractères spéciaux…) résiste plus longtemps à l’attaque d’un hacker qu’un simple mot ou qu’une suite logique de chiffres ou de lettres. Malheureusement, se souvenir de tels mots de passe est très difficile. C’est la raison pour laquelle il est préférable de choisir des mots de passe plus longs, mais ayant du sens comme une suite de mots ou une phase complète. « À-10h,-chaque-jour,-je-fais-ma-pause-café-! » est un mot de passe facile à retenir et très robuste car à la fois long, mais aussi comprenant des caractères spéciaux. Il est tout aussi difficile à craquer qu’un mot de passe complexe (et impossible à mémoriser) du type « Z5§T3 !lm7) ».
Doit-on régulièrement changer de mot de passe ?
Beaucoup de responsables informatiques le préconisent (tous les 3 ou 6 mois, compte tenu de la sensibilité des données abritées par le compte). Toutefois, plusieurs études menées sur le sujet mettent en avant le fait que cela complique la vie des utilisateurs. Utilisateurs qui pour répondre à cette contrainte ont souvent tendance à simplifier leurs mots de passe (pour s’en souvenir) ou à ne modifier que faiblement le mot de passe devant être remplacé (par l’ajout d’un simple chiffre, par exemple) afin, là encore, de plus facilement le garder en mémoire. Il faut ici comprendre que c’est la robustesse du mot de passe qui doit être privilégiée et non son rythme de changement.
Que penser des gestionnaires de mots de passe ?
Un gestionnaire de mot de passe est un logiciel administrant une base de données très sécurisée. Il a pour principale mission de stocker vos identifiants et tous les mots de passe associés et de vous permettre de vous connecter automatiquement sur chacun des sites sécurisés auxquels vous êtes abonnés. La plupart de ces outils sont accessibles en ligne (cloud), ce qui présente l’avantage d’en permettre l’accès à partir de n’importe quelle machine (ordinateur, tablette, smartphone). Le plus souvent, ils sont équipés d’un générateur de mot de passe offrant un haut niveau de sécurité (longs, complexes et n’ayant aucun sens).
Il faut ici savoir que la plupart des navigateurs (Chrome, Firefox, Edge…) intègrent des systèmes de mémorisation des mots de passe (paramétrables via les menus de configuration). Toutefois, ces outils, même s’ils offrent un certain niveau de sécurité, restent très rudimentaires. Aussi convient-il de leur préférer des logiciels spécifiques. Il en existe des dizaines (Lastpass, Keepass, Dashlane…) proposés gratuitement ou contre quelques euros sur les plates-formes en ligne (App Store, Play…).
À noter : les utilisateurs de ce type d’outils n’ont plus qu’un seul mot de passe à retenir : celui qui permet de l’utiliser. Un mot de passe unique qu’il conviendra, bien sûr, de choisir avec soin.
Les Echos Publishing 2017