Comme tous les ans, le premier jeudi du mois de mai marque la Journée Mondiale du Mot de Passe. Le jeudi 5 mai 2022 sera donc l’occasion d’évaluer la robustesse des identifiants que nous utilisons et de prendre connaissance des conseils d’experts afin de mieux se protéger en ligne contre les menaces de plus en plus sophistiquées.
Les moyens d’authentification sont aujourd’hui nombreux et il en existe un pour chaque cas d’usage
On entend souvent parler des mots de passe dits "forts" et de la difficulté pour les cybercriminels de les découvrir ou de passer outre par force brute, en fonction de leur longueur et complexité. Le sentiment dominant dans l'espace de la cybersécurité est que les mots de passe appartiennent désormais au passé, ou devraient tout du moins le devenir dans un avenir proche.
L'authentification multifacteur et celles qui nécessitent une méthode de vérification secondaire via un canal de communication distinct, telle que le mot de passe à usage unique par SMS, sont des améliorations de sécurité significatives pour les données importantes. Toutefois, elles introduisent également un niveau de complexité que l'utilisateur lambda évite pour les comptes non sensibles. De plus, les administrateurs de sécurité ne doivent pas négliger la fatigue liée à la cybersécurité en tant que vecteur de menace ; autrement dit, les employés pourraient ne pas avoir une cyber-hygiène optimale si les procédures de cybersécurité en place sont trop contraignantes.
Les mots de passe ne disparaîtront donc pas à cause de ce facteur humain, il est alors essentiel que l'utilisateur accorde la même précaution aux mots de passe qu’aux clés de son domicile : ne pas les partager, garder un oeil sur elles, ou encore changer la serrure en cas de perte.
Selon l’ANSSI, un mot de passe fort contient des lettres minuscules et majuscules, des chiffres et des caractères spéciaux, et doit avoir au moins 16 caractères. L’Agence propose par ailleurs sur son site de tester la robustesse d’un mot de passe, ainsi que des conseils pour le renforcer s’il est jugé trop faible. Cependant, créer un identifiant à la fois fort et facile à mémoriser est un exercice complexe. Un bon moyen mnémotechnique consiste à se baser sur une habitude ou une action du quotidien. Ainsi, la phrase "Je prends 5 verres du placard rouge, et autant d'assiettes et de couverts !" pourrait devenir le mot de passe fort "Jp5vdpr,eadaedc!", capable de résister à plusieurs techniques récurrentes d’attaque.
Idéalement, il est préférable de recourir à des managers de mots de passe, tant pour les systèmes et comptes critiques d'une entreprise, que pour les comptes personnels contenant des données précieuses, telles que les informations bancaires et les services de paiement. En effet, ces managers de mots de passe créent et mémorisent de manière autonome pour chaque compte des identifiants robustes et uniques, et peuvent aussi effectuer une rotation de ces derniers périodiquement. Ce service simplifie par conséquent grandement le quotidien des utilisateurs et limite le risque de vulnérabilités liées aux mots de passe.