Pourquoi devriez-vous utiliser des mots de passe sécurisés
Veiller à ce que seules les personnes autorisées aient accès aux informations ou à la propriété physique est l’un des meilleurs moyens de les sécuriser. L’étape suivante consiste à confirmer que les personnes qui demandent l’accès sont bien celles qu’elles prétendent être. À l’ère numérique, ce processus d’identification est à la fois plus crucial et plus difficile. La forme d’authentification la plus populaire est le mot de passe, mais ils ne sont efficaces que s’ils sont sécurisés et compliqués. En raison de mots de passe faibles, plusieurs systèmes et services ont été infiltrés avec succès. Une fois qu’un système a été infiltré, il peut être utilisé par d’autres parties malveillantes.
Vous utilisez probablement quotidiennement des numéros d’identification personnels (NIP), des mots de passe ou des phrases secrètes pour accéder à votre courrier électronique ou faire des achats en ligne, ainsi que pour retirer de l’argent à un guichet automatique ou utiliser votre carte de débit dans un magasin. Même s’il peut être difficile de garder une trace de toutes les combinaisons possibles de mots, de chiffres et de combinaisons, ces mesures de sécurité sont cruciales car les pirates constituent une menace sérieuse pour vos informations. Souvent, une attaque consiste à accéder à vos informations afin de lancer une attaque plus importante plutôt que de simplement cibler votre compte.
Comment créer des mots de passe forts
La plupart des gens utilisent des mots de passe courts et faciles à retenir, basés sur des informations personnelles. Mais cela permet également à un agresseur de les briser plus facilement. Pensez à un code PIN à quatre chiffres. Le vôtre est-il un mashup du mois, du jour ou de l’année de votre anniversaire ? Inclut-il votre numéro de téléphone résidentiel ou cellulaire ? Considérez à quel point il est simple de trouver l’anniversaire de quelqu’un ou d’autres détails personnels. Le mot de passe de votre e-mail est-il un terme que l’on peut trouver dans un dictionnaire ? Si tel est le cas, il peut être vulnérable aux attaques par dictionnaire, qui tentent de deviner les mots de passe à l’aide de mots ou de phrases largement utilisés.
Des recommandations spécifiques pour la création de mots de passe forts ont été élaborées par le National Institute of Standards and Technology (NIST). Les conseils du NIST conseillent d’utiliser le mot de passe ou la phrase de passe le plus long possible (8 à 64 caractères), dans la mesure du possible. Un mot de passe puissant serait « 1Basketball#4mYteam! » car il comporte 20 caractères et utilise des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Vous devrez peut-être expérimenter d’autres phrases secrètes car, par exemple, certains programmes ont des restrictions de longueur sur les mots de passe et d’autres n’acceptent pas les caractères spéciaux comme les espaces. Évitez d’utiliser des idiomes, des citations bien connues et des paroles de chansons.
Bien que l’orthographe délibérée d’un mot puisse fournir une certaine défense contre les attaques par dictionnaire, s’appuyer sur une chaîne de mots et utiliser des astuces de mémoire, ou des mnémoniques, pour vous aider à vous rappeler comment le décoder, est une stratégie plus solide. Par exemple, utilisez « IlTpbb » pour « [I] [l]comme [T]o [p]allonger [b]ase[b]all » au lieu du mot de passe « hoops ». L’utilisation simultanée de lettres majuscules et minuscules crée encore plus d’obscurité. L’exemple identique donné ci-dessus peut être remplacé par « Il!2pBb. » pour produire un mot de passe sensiblement différent de tout mot du dictionnaire.
Gardez les mots de passe uniques
Il peut être tentant de réutiliser un mot de passe fort et mémorable après en avoir créé un, mais résistez à l’envie ! Vos comptes sont tout aussi menacés si vous réutilisez un mot de passe que si vous en utilisez un faible. Vos autres comptes avec le même mot de passe seraient également accessibles aux attaquants qui réussiraient à deviner votre mot de passe. Utilisez les stratégies répertoriées ci-dessous pour créer des mots de passe spéciaux pour chacun de vos comptes :
- Pour gérer vos mots de passe, pensez à utiliser un gestionnaire de mots de passe.
- Les mots de passe inutiles basés sur des informations personnelles largement accessibles ou déchiffrables ne doivent pas être utilisés.
- N’utilisez que des termes propres à votre langue et qui ne peuvent être trouvés dans aucun dictionnaire.
- Utilisez des mots de passe distincts pour différents comptes et systèmes.
- Utilisez le mot de passe ou la phrase secrète le plus long que les différents systèmes de mot de passe vous permettront d’utiliser.
- Créez des mnémoniques pour faciliter la mémorisation des mots de passe difficiles.
Authentification multifacteur
Bien que les mots de passe constituent une bonne première ligne de défense, ils peuvent être devinés ou interceptés par des pirates. Même si un attaquant parvient à obtenir votre mot de passe, vous pouvez toujours être protégé par d’autres mesures de sécurité. En évitant les mots de passe basés sur des informations personnelles, en choisissant le mot de passe ou la phrase secrète le plus long possible (8 à 64 caractères) et en ne partageant vos mots de passe avec personne d’autre, vous pouvez augmenter cette couche de sécurité initiale.
L’authentification multifacteur (MFA), qui vérifie simultanément votre identité à l’aide de diverses informations, devient de plus en plus populaire. (MFA est parfois appelé authentification à deux facteurs ou 2FA.) Si votre compte est sécurisé par MFA, un attaquant pourrait ne pas être en mesure d’y accéder même après avoir appris votre mot de passe. Cette stratégie est basée sur la même logique que les coffres-forts qui nécessitent deux ou plusieurs pièces d’identité ou deux clés pour s’ouvrir. MFA doit être activé chaque fois qu’il est accessible. Il existe trois types d’authentification :
- Quelque chose que vous savez : les mots de passe et les questions et réponses prédéterminées entrent dans cette catégorie.
- Quelque chose que vous avez : il peut s’agir d’un petit jeton physique, tel qu’une clé USB, une carte à puce ou un porte-clés unique. Ce jeton peut être utilisé pour se connecter à un compte avec un mot de passe. Cependant, les jetons logiciels sont également largement utilisés. Ces jetons informatiques peuvent produire un numéro d’identification personnel unique pour la connexion (PIN). D’autres variantes incluent l’envoi au client d’un SMS, d’un appel ou d’un e-mail contenant un code PIN de vérification. Ces codes PIN de jeton ont souvent un usage unique et expirent immédiatement. Par conséquent, même si un pirate intercepte la conversation, il ne pourra pas utiliser les informations pour entrer à nouveau dans votre compte.
- Quelque chose que vous êtes : l’utilisation de l’identification biométrique peut impliquer la numérisation des empreintes digitales, des yeux (rétines ou iris), d’autres traits du visage, des voix ou des mouvements de frappe pour l’authentification. Le scanner d’empreintes digitales présent sur de nombreux smartphones contemporains qui permettent aux utilisateurs de se connecter est une forme typique d’identification biométrique.
Certificats Web personnels
L’utilisation de « certificats Web personnels » est une autre méthode de vérification. Les certificats Web personnels, par opposition aux certificats utilisés pour identifier les domaines Web, sont utilisés pour identifier des utilisateurs spécifiques. Un site Web qui utilise des certificats Web personnels dépend de ces certificats et du processus d’authentification par clé publique/privée associé pour confirmer que vous êtes bien celui que vous prétendez être. Un mot de passe supplémentaire n’est pas nécessaire car le certificat contient des informations vous identifiant. Pour empêcher les attaquants d’accéder à votre clé privée et d’usurper votre identité, votre clé privée doit être protégée par un mot de passe. Cette procédure est comparable à MFA, mais elle diffère en ce que le mot de passe de votre clé privée n’est jamais communiqué sur le réseau ; au lieu de cela, il est utilisé pour décrypter les données sur votre ordinateur.
Protégez vos mots de passe et vos certificats
N’écrivez jamais ou ne laissez jamais un mot de passe quelque part où il peut être trouvé après en avoir sélectionné un qui est simple à retenir mais difficile à deviner pour les autres. Si vous l’écrivez et le laissez sur votre bureau, à côté de votre ordinateur, ou pire encore, enregistré sur votre ordinateur, toute personne ayant un accès physique à votre bureau peut facilement y accéder. Ne partagez jamais vos informations d’identification avec qui que ce soit et soyez à l’affût des criminels qui tentent de vous escroquer en vous appelant ou en vous envoyant un e-mail et en vous demandant vos mots de passe. Pour tous vos comptes, vous pouvez choisir de créer des mots de passe générés aléatoirement à l’aide de programmes appelés gestionnaires de mots de passe. Ensuite, en utilisant un mot de passe principal, vous pouvez accéder à ces mots de passe sécurisés. Utilisez un mot de passe principal fort si vous utilisez un gestionnaire de mots de passe.
La capacité de vos navigateurs Web à mémoriser les mots de passe et les sessions en ligne peut entraîner des problèmes de mot de passe. Selon les paramètres de vos navigateurs Web, toute personne ayant accès à votre ordinateur pourrait être en mesure de comprendre tous vos mots de passe et d’accéder à vos données. Lorsque vous utilisez un ordinateur public à la bibliothèque, un cybercafé ou même un ordinateur partagé sur votre lieu de travail, n’oubliez pas de vous déconnecter. Évitez d’utiliser le Wi-Fi public et les PC pour accéder à des comptes privés tels que les e-mails et les opérations bancaires. Rappelez-vous les fondamentaux de la sécurité :
- Mettez à jour votre navigateur, votre système d’exploitation et d’autres logiciels.
- Utiliser et maintenir des pare-feux et des logiciels antivirus.
- Vérifiez fréquemment votre ordinateur pour les logiciels malveillants et les virus.
- Les pièces jointes aux e-mails et les URL non vérifiées doivent être évitées.
- Gardez un œil sur les comportements inhabituels sur vos comptes.
Pour sécuriser davantage les mots de passe, les administrateurs et les experts en sécurité des technologies de l’information (TI) doivent mettre en place les procédures de sécurité suivantes :
- Mots de passe « salés et hachés » : avant que le mot de passe ne soit haché, il est « salé » ou complété par des caractères spéciaux aléatoires. La longueur de la valeur salt doit être d’au moins 32 bits. Utilisant un algorithme prédéterminé, le hachage est le processus de marmonner un mot de passe.
- Utiliser des mécanismes de récupération fiables pour l’authentification : l’accès non autorisé à un système compromis peut être rendu possible par un attaquant utilisant des procédures de récupération d’authentification faible. L’accès non autorisé à un compte ou la possibilité de changer le mot de passe d’un utilisateur est empêché par des mesures robustes.
- Implémentez une politique de verrouillage de compte : le verrouillage de compte doit commencer après un nombre spécifique d’essais infructueux.
- Configurer les comptes pour qu’ils se ferment automatiquement : après une période d’inactivité spécifiée, les comptes doivent être désactivés.
Que faire si vous égarez vos certificats ou votre mot de passe ?
Peut-être avez-vous perdu votre certificat Web personnel lorsque vous avez formaté votre ordinateur ou avez-vous oublié votre mot de passe. La plupart des entreprises ont mis en place des protocoles pour vous permettre d’accéder à vos informations dans ces circonstances. Gardez les informations sur votre compte à jour pour la meilleure sécurité. Celui-ci contient des adresses e-mail ou des numéros de téléphone de secours qui, en cas de perte de votre mot de passe, peuvent être utilisés pour confirmer votre identité. En ce qui concerne les certifications, vous devrez peut-être demander à l’entreprise de vous en proposer une nouvelle. Pour les mots de passe, vous n’aurez peut-être besoin que d’un rappel. Quoi qu’il arrive, l’entreprise a besoin d’un mécanisme pour confirmer votre identification. De nombreuses entreprises s’appuient sur des questions cachées pour ce faire.
Certaines entreprises vous demanderont la réponse à une question lorsque vous ouvrirez un nouveau compte (comme un e-mail ou une carte de crédit). Si vous appelez pour vous renseigner sur votre compte ou si vous oubliez votre mot de passe, ils pourraient vous poser cette question. Ils supposeront qu’ils vous parlent vraiment si votre réponse concorde avec la réponse qu’ils ont déjà enregistrée. Théoriquement, les informations peuvent être protégées à l’aide de questions et réponses secrètes. Cependant, les enquêtes cachées typiques demandent des informations telles que le nom de jeune fille de la mère, le numéro de sécurité sociale, la date de naissance ou le nom d’un animal de compagnie. Les attaquants pourraient être en mesure de trouver les réponses à ces questions, car de nombreuses informations personnelles sont désormais accessibles en ligne ou via d’autres sources publiques.
Considérez la question secrète comme un second mot de passe ; ne donnez aucune information authentique lors de la détermination de la réponse. Sélectionnez votre réponse comme vous le feriez pour tout autre mot de passe fort, enregistrez-la dans un endroit sûr, comme un gestionnaire de mots de passe, et gardez-la pour vous. Même si elles vous offrent une plus grande sécurité qu’un mot de passe en soi, les mesures de sécurité supplémentaires ne doivent pas être considérées comme efficaces à 100 %. Cela ne fait que rendre plus difficile pour les criminels d’accéder à vos informations lorsque la sécurité est renforcée. Lors de la sélection d’une banque, d’un fournisseur de carte de crédit ou de toute institution qui aura accès à vos informations personnelles, tenez compte de l’AMF et des autres pratiques de sécurité. N’ayez pas peur de vous renseigner sur les procédures de sécurité de l’organisation.
Ce contenu est exact et fidèle au meilleur de la connaissance de l’auteur et ne vise pas à remplacer les conseils formels et individualisés d’un professionnel qualifié.
© 2023 Arthur Dellea