Les mots de passe doivent contenir des lettres majuscules et minuscules, des chiffres et des caractères spéciaux pour être sécurisés
FAUX ! Prenez par exemple le mot de passe « Passw0rd! ». C’est une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux, et pourtant c’est un mauvais mot de passe. Il suffirait de quelques tentatives à un pirate informatique pour le trouver. « Abc123 » et « vuln3rabl3 » ne sont pas meilleurs. Le remplacement de certaines lettres par des chiffres ou des symboles est une astuce connue des cybercriminels. C’est toujours une mauvaise idée de créer des mots de passe basés sur un mot du dictionnaire. L’utilisation de suites logiques alphabétiques (« abcdefgh ») ou numériques (« 1234567 »), de touches adjacentes (« azerty » ou « poiuyt ») ou de combinaisons de touches fréquentes (« 1aqwxsz2 » ou « 1aqw2zsx » ou « 1a2z3e4r ») sont également à proscrire. Tous ces modèles communs sont pris en compte par les programmes spécialisés des pirates pour craquer votre mot de passe.
Mélanger des lettres, des chiffres et des caractères spéciaux n’est donc d’aucune utilité à moins que la combinaison ne soit une chaîne aléatoire.
La complexité d’un mot de passe est plus importante que sa longueur
FAUX ! La complexité et la longueur sont deux éléments essentiels à la création d’un mot de passe fort. Cependant, le critère le plus important est la longueur du mot de passe. Un mot de passe de 20 caractères avec zéro caractère spécial et zéro chiffres est plus fort qu’un mot de passe de huit caractères avec des caractères spéciaux et des chiffres. Pourquoi ? Parce que chaque caractère augmente exponentiellement le nombre de combinaisons possibles. C’est donc la longueur du mot de passe qui déterminera la durée nécessaire aux programmes spécialisés utilisés par les cybercriminels pour craquer le mot de passe, plutôt que le type de caractère utilisé.
Ainsi, le mot de passe Em2@K5=d (8 caractères) est un mot de passe plus faible que renardbaignoireavocatportable (29 caractères) car il est plus court et peut être craqué en peu de temps.
La complexité est par ailleurs plus difficile pour les humains à mémoriser. La longueur ne l’est pas. Il est donc plus efficace d’allonger un mot de passe que de chercher à le rendre plus complexe.
Un mot de passe fort offre une protection infaillible
FAUX ! Un mot de passe fort vous protège des attaques par force brute ou par dictionnaire. Cependant, la longueur et la complexité d’un mot de passe ne le protège pas des keyloggers, des violations de données d’entreprises, des attaques de phishing et autres techniques d’ingénierie sociale.
D’où l’importance d’ajouter une couche de sécurité supplémentaire telle que l’authentification à deux facteurs.
Changer régulièrement votre mot de passe améliore la sécurité
FAUX ! Depuis longtemps, la plupart des informaticiens et des professionnels de la sécurité recommandent de changer régulièrement vos mots de passe (une fois tous les 3 mois). Il est vrai que changer fréquemment vos mots de passe peut sembler une bonne idée dans la mesure où cela garantit que quelqu’un ne peut pas acquérir vos mots de passe et les utiliser pour fouiner sur vos comptes en ligne sur une période de temps prolongée. Étonnamment, cette pratique n’est pas aussi efficace qu’on pourrait le penser. Rendant plus difficile la mémorisation de vos mots de passe, elle pousse les gens à prêter moins attention à la qualité des mots de passe qu’ils utilisent et donc à choisir (créer) des mots de passe faibles. Ainsi, la plupart des utilisateurs réutilisent leurs anciens mots de passe en ne les modifiant que légèrement. Ils peuvent, par exemple, utiliser le même mot de passe « de base » et ajouter un 1 pour le premier changement de mot de passe, un 2 pour le second, et ainsi de suite.
Le National Institute of Standards and Technology (ou NIST) des États-Unis, ainsi que le National Cyber Security Center (NCSC) du Royaume-Uni recommandent de choisir des mots de passe longs et complexes et de ne modifier un mot de passe que si celui-ci semble compromis.
L’authentification à deux facteurs est une méthode de sécurisation infaillible
FAUX ! L’authentification à deux facteurs est une mesure de sécurité importante qui vient ajouter une couche de sécurité supplémentaire à votre compte (autrement dit une autre étape avant la connexion) pour éviter que toute autre personne que vous ne puisse se connecter, même si cette personne dispose du mot de passe.
Bien que l’authentification à deux facteurs offre un bien meilleur niveau de sécurité qu’un mot de passe seul, elle n’est pas infaillible, comme malheureusement tous les systèmes de sécurité en ligne.
Divers moyens permettent aux cybercriminels de contourner l’authentification à deux facteurs et accéder à votre compte telles que les techniques d’ingénierie sociale et les e-mails de phishing.
Néanmoins, l’authentification à deux facteurs constitue un élément essentiel de la sécurité de vos comptes en ligne.
Vous ne devez jamais écrire vos mots de passe sur une feuille de papier
FAUX ! Cela dépend du contexte. Dans un environnement professionnel, il ne faut jamais écrire ses mots de passe sur un post-it ou une feuille de papier que vous conserveriez à un endroit où quelqu’un pourrait la trouver à proximité de votre ordinateur sous le clavier, le tapis de souris, le bureau ou dans un tiroir. En revanche, à votre domicile, il est tout à fait acceptable de noter tous vos mots de passe dans un carnet à condition de le garder dans un endroit sûr et de coder la façon dont vous les noter. A contrario du bureau, les personnes ayant accès à votre domicile sont connues et à priori de confiance. Ce n’est à priori pas le cas dans un contexte professionnel.