Mots de passe: comment les changer et éviter les piratages

C’est l'une des corvées de notre monde connecté. Taper, retenir, changer de mot de passe… Du coup, beaucoup choisissent la facilité, au risque de se faire pirater. Les Français sont très mauvais élèves en la matière, en témoigne une étude qui vient d’être publiée sur les 20 mots de passe les plus utilisés par les Français en 2024. C’est le spécialiste de la sécurité informatique NordPass qui a récupéré des masses de données, notamment sur le dark web. Et franchement, ça fait peur. Les mots de passe les plus populaires: les incontournables 123456, azerty, password... Quelques prénoms aussi, Nicolas et Camille, et la ville de Marseille ou encore des mots comme doudou, loulou, soleil... Soyons clairs: c’est nul! On ne le dira jamais assez: plus le mot de passe est court, moins ça prend de temps à pirater.

Les pirates utilisent des logiciels de "crackage", qui vont tester automatiquement tous les mots du dictionnaire et toutes les combinaisons de chiffres jusqu’à ce qu’ils trouvent le bon… Il faut à peu près une demi-seconde pour trouver un mot du dictionnaire. Et ajouter un $ à la place du s ne sert à rien… Alors, comment faire? Le seul vrai conseil d’hygiène numérique que donnent tous les experts en sécurité, et il n’est pas très compliqué à mettre en place: ne plus utiliser de mot de passe mais des phrases de passe, relativement longues mais faciles à mémoriser pour vous et seulement pour vous.

"Jaimelafonduemaisjepréfèrelaraclette": saupoudrez de quelques majuscules, de caractères spéciaux, vous êtes sûr qu’une machine ne le trouvera pas… Et évitez de le recopier sur un post-it collé sur votre écran. Ou alors, plus simple, utilisez les générateurs de mots de passe automatiques proposés par exemple par Google ou encore Dashlane qui va les stocker pour vous dans une sorte de coffre-fort numérique. Il faut juste avoir un très bon mot de passe pour protéger son compte Google, car tout le reste en dépend. Mais normalement avec la double authentification, on va vous demander mot de passe plus validation sur le téléphone.

On n'arrête pas le progrès : Quels sont les mots de passe à éviter absolument ? - 18/11

4:57

Changer de mot de passe régulièrement, inefficace

Un truc bon à savoir: il existe des sites pour tester la résistance de son mot de passe, Nordpass par exemple, qui testent la résistance de votre mot de passe. On ne vous demande pas de le taper, mais combien de caractères il fait, le nombre de caractères spéciaux, de majuscules… et on vous dit combien de temps il faudrait à un logiciel pour le craquer. Vous allez voir qu’ajouter un ou deux caractères fait toute la différence.

Les empreintes digitales ou encore la reconnaissance faciale sont déjà utilisées dans les smartphones par exemple. Mais il y en a bien d’autres: la voix, les battements de votre cœur ou encore la biométrie comportementale: demain, nos ordinateurs ou nos téléphones sauront que c’est nous qui les utilisons rien qu’à travers la façon dont on tape au clavier ou qu’on bouge le curseur de la souris.

Le truc pénible aussi, c’est de devoir changer son mot de passe régulièrement. Ce qui ne sert en fait pas à grand-chose, car ça fait partie des idées reçues. Même si beaucoup d’entreprises l’imposent, en fait, c’est contreproductif. C’est ce que montrent toutes les études… Avoir un mot de passe différent pour chaque site, oui, mais une fois trouvé, s’il est suffisamment solide, pas besoin d’en changer. D’ailleurs, Microsoft a supprimé sa politique d’expiration des mots de passe dans Windows 10, après avoir donné ce conseil pendant des années. La logique est la suivante: d’abord, si votre mot de passe est bien choisi à la base, il n’y a pas de raison qu’un hacker le découvre. Et s’il est volé, disons un mois après que vous ayez changé de mot de passe, et qu’on vous demande de changer tous les trois mois, ça laisse de toute manière deux mois complets pendant lesquels le hacker a accès à vos données.

Et puis, les études montrent que plus on vous demande de changer de mot de passe, plus vous allez sélectionner des mots de passe faciles à retenir et plus vous avez de chance de vous faire pirater. Un autre site: haveibeenpwned, une base de données qui recense tous les piratages et fuites de données, permet de voir si votre mot de passe a déjà été retrouvé dans une faille de sécurité, ce qui n’est pas bon signe… Si c’est le cas, changez-le.