La saisie d'un mot de passe pour accéder à l'un des dizaines ou centaines de services que nous utilisons est devenue un élément tellement quotidien de notre vie que nous y réfléchissons rarement. Bien souvent, nous essayons de garder nos mots de passe simples et faciles à retenir afin de pouvoir passer rapidement à autre chose qu'une simple connexion et continuer à faire ce qui compte. Ce n'est là qu'une des nombreuses erreurs que nous faisons lorsqu'il s'agit d'un élément sur lequel nous comptons pour sécuriser une partie de notre identité numérique.
Comme c'est aujourd'hui la Journée mondiale des mots de passe, il n'y a pas de meilleure occasion que celle-ci pour examiner les cinq erreurs les plus courantes que vous pouvez commettre en matière de mots de passe.
Recycler vos mots de passe
L'une des erreurs les plus courantes et les plus fréquentes est le recyclage des mots de passe. Le problème commence souvent par la création du mot de passe lui-même. Le plus souvent, les gens créent des mots de passe faciles à retenir, ce qui signifie généralement qu'ils sont courts et simples, bien que la plupart des services exigent désormais une longueur minimale et les types de caractères qui doivent être inclus.
Une fois que nous avons mémorisé le mot de passe et que nous nous inscrivons à un autre service, puis à un autre, puis à un autre, nous ne voulons pas avoir à en mémoriser un autre, puis un autre, puis un autre, alors nous réutilisons le mot de passe que nous avons déjà mémorisé. Selon une enquête réalisée par Google, 52 % des répondants réutilisent le même mot de passe pour plusieurs comptes, tandis qu'un pourcentage surprenant de 13 % utilisent le même mot de passe pour tous leurs comptes. Le fait de remplacer les chiffres par des lettres ou les majuscules par des minuscules et inversement est également considéré comme un recyclage de mots de passe, bien que certains puissent considérer qu'il s'agit d'une légère amélioration.
Le problème le plus grave du recyclage des mots de passe est qu'il vous ouvre la voie aux attaques de bourrage d’identifiants. Il s'agit d'une attaque de prise de contrôle de compte qui utilise des robots pour marteler des sites avec des tentatives de connexion à l'aide d'identifiants d'accès volés lors de violations de données sur d'autres sites jusqu'à ce qu'ils tombent sur la bonne combinaison de nouveaux sites et d'identifiants précédemment utilisés. Comme vous pouvez le constater, la diversification de vos mots de passe est dans votre intérêt.
Créer des phrases de passe trop simples
Comme nous l'avons déjà mentionné, une grande partie des problèmes commencent lorsque les mots de passe sont créés. Les plus simples ont tendance à mener le peloton. Vous avez peut-être vu le film Wrongfully Accused, dans lequel Leslie Nielsen tente de pirater un ordinateur en devinant les identifiants de connexion, qui se révèlent être simplement login et password (ou mot de passe).
Si vous pensez que dans la vie réelle les gens sont plus prudents dans le choix de leurs phrases de passe, vous vous trompez malheureusement. Une liste compilée chaque année montre qu'en matière de mots de passe, les gens font des choix douteux, avec 12345 et un classement des mots de passe dans les cinq premiers rangs des mots de passe les plus populaires.
Outre les modèles simples et les mots évidents, une erreur fréquente que vous pouvez commettre lorsque vous créez des mots de passe consiste à incorporer dans le mot de passe des détails de notre vie personnelle qui peuvent être facilement devinés ou trouvés. Six adultes américains sur dix ont incorporé un nom (le leur, celui de leur conjoint, de leurs enfants ou de leur animal de compagnie) ou une date de naissance dans leur mot de passe.
Dans l'idéal, il est préférable de privilégier l'usage de phrases de passe forte plutôt que d'utiliser un mot de passe. L'authentification à deux facteurs (2FA) devrait également être activée lorsque cela est possible, car elle ajoute une couche de sécurité supplémentaire contre divers types d'attaques visant à révéler vos identifiants de connexion.
Stocker vos mots de passe en texte clair
Une autre erreur fréquente consiste à écrire nos mots de passe. Cela peut prendre deux formes : les noter sur du papier ou des notes autocollantes, ou les enregistrer dans des tableurs ou des documents texte sur nos ordinateurs ou nos smartphones. Dans le premier cas, à moins que l’acteur malveillant ne désire ajouter l'effraction à ses crimes, il n'y a aucun moyen d'y accéder.
LECTURE COMPLÉMENTAIRE : Comment vérifier si votre mot de passe a été volé lors d’une brèche de sécurité?
Cela ne veut évidemment pas dire que vous devriez les écrire ou les laisser trainer. Si vous le faites (mais ne le faites pas !), contentez-vous d’écrire des indices pour vous aider à les retenir, et conservez-les dans un endroit à l'abri des regards indiscrets. Si vous les stockez sur vos appareils, vous devez faire face à une série de défis. Si des pirates informatiques piratent votre appareil et le fouillent, ils auront accès, avec peu ou pas d'effort, à toute une série de données sensibles, y compris vos mots de passe que vous avez stockés en texte clair.
En outre, si votre appareil est compromis par un logiciel malveillant qui copie vos données et les envoie à un serveur distant, un mauvais acteur peut accéder à tous vos comptes avant que vous n'ayez la possibilité de le remarquer. Ou, dans certains cas, il peut simplement passer votre appareil au peigne fin pour voir s'il peut y trouver des données exploitables, y compris le fichier contenant les mots de passe. Il suffit de dire que le stockage des mots de passe en texte clair sur tout appareil connecté est une mauvaise idée.
Partager vos mots de passe
On apprend aux enfants dès leur plus jeune âge l’importance du partage, mais les mots de passe sont l’exception, et ne devraient jamais être partagés. Malheureusement, certains ne sont pas d'accord, comme les 43 % de personnes interrogées aux États-Unis qui ont admis avoir partagé leur mot de passe avec quelqu'un d'autre dans le passé. Il s'agit notamment des mots de passe des services de streaming, des comptes de messagerie électronique, des comptes de médias sociaux et même des comptes d'achat en ligne. Plus de la moitié d'entre eux ont déclaré qu'ils partageaient leur mot de passe avec leurs proches. Si le partage d'un mot de passe pour un compte de service de streaming est un phénomène répandu, c’est aussi le choix le moins dangereux de la liste.
Une fois que vous partagez votre mot de passe avec quelqu'un d'autre, la sécurité de votre compte s'effondre dangereusement, puisque vous avez perdu la maîtrise de votre compte. Vous ne pouvez pas savoir avec certitude comment il sera traité et si la personne à qui vous avez fait confiance ne le partagera pas avec quelqu'un d'autre. La façon dont vous avez partagé le mot de passe est déterminante : l'avez-vous saisi pour elle dans votre compte et l'avez-vous enregistré? Ou l'avez-vous peut-être envoyé par courrier électronique ou par une application de messagerie instantanée en texte clair? Dans ce dernier cas, vous êtes à la merci de leur discrétion et vous n’avez plus qu’à espérer que leurs dispositifs sont sécurisés, puisque nous avons discuté des implications de la sauvegarde d'un mot de passe en texte clair dans la section précédente.
Une autre chose importante à retenir est que si vous partagez votre mot de passe avec les plateformes de communication que vous utilisez, les personnes avec qui vous l'avez partagé peuvent faire des ravages dans vos relations, qu'elles soient professionnelles ou personnelles, puisqu'elles peuvent désormais se connecter sous votre identité. Si vous avez partagé vos identifiants avec l'une de vos plateformes d'achat en ligne et que vos méthodes de paiement sont enregistrées, la personne avec qui vous avez partagé peut facilement accumuler une facture sur votre carte de crédit, ce que vous risquez de regretter. Même si la personne avec laquelle vous partagez vos données d'identification est votre conjoint, il est déconseillé de mettre tous vos œufs dans le même panier.
Changer régulièrement de mot de passe (sans se poser de questions)
Certaines organisations obligent leurs utilisateurs à changer leurs mots de passe tous les deux ou trois mois « pour des raisons de sécurité ». Pourtant, et contrairement à la croyance populaire, changer son mot de passe régulièrement - à moins d'avoir la preuve d'une brèche de sécurité- ne rend pas automatiquement son compte plus sûr ou plus difficile à pirater.
Selon Lorrie Cranor, professeur d'informatique à Carnegie Mellon, les recherches montrent que lorsque les gens sont obligés de changer fréquemment leur mot de passe, ils n'y réfléchissent pas beaucoup. En outre, des chercheurs de l'Université de Caroline du Nord (UNC) ont découvert que les utilisateurs penchaient pour la création de mots de passe suivant des schémas prévisibles qu'ils appellent « transformations ». Le professeur Cranor en donne quelques exemples : « comme l'incrémentation d'un nombre, le changement d'une lettre en un symbole d'apparence similaire (par exemple, changer un S en un $), l'ajout ou la suppression d'un caractère spécial (par exemple, passer de trois points d'exclamation à la fin d'un mot de passe à deux), ou le changement de l'ordre des chiffres ou des caractères spéciaux (par exemple, déplacer les chiffres au début plutôt qu'à la fin) ». Elle a ensuite ajouté qu'elle avait entendu parler d'exemples où les utilisateurs incluaient le mois et, parfois, l'année du changement de mot de passe, ce qui permettait de se souvenir facilement de ces changements fréquents.
Cela permet aux pirates informatiques de faire leur travail assez facilement puisque, comme l'ont montré les chercheurs de l'UNC, une fois que les pirates informatiques connaissent un mot de passe, ils peuvent deviner le prochain sans trop d’efforts. Il faut également noter qu'une fois que les cybercriminels ont accès à votre appareil, ils peuvent installer un keylogger, ou enregistreur de frappe, qui leur permettra de garder une trace de vos mots de passe chaque fois que vous les changez. Bien entendu, si vous avez une solution de sécurité de haut niveau installée sur votre appareil, il y a de fortes chances que le keylogger soit détecté et modifié.
En résumé
Créer un mot de passe qui vous convient peut sembler une tâche ardue, mais il existe de multiples façons de vous faciliter la tâche. Comme nous l'avons déjà mentionné, la création d'une phrase de passe est préférable à un simple mot de passe, et l'ajout d'une couche de sécurité supplémentaire en activant la fonction 2FA lorsqu'elle est disponible devrait être une seconde nature. Si vous trouvez fastidieux de vous souvenir de tous les mots de passe uniques que vous avez inventés, un gestionnaire de mots de passe pourrait être la réponse à vos besoins. Il vous suffit dès lors de mémoriser un seul mot de passe. Assurez-vous bien sûr que celui-ci suit les bons conseils que nous vous avons donnés ci-dessus.
Nous avons préparé les graphiques suivants en guise d'aide-mémoire pour vous et vos équipes: