#1 Utiliser des mots de passe solides
Ils sont la clé de la porte d'entrée de votre vie numérique. Aujourd'hui, qu'on le veuille ou non, les mots de passe permettent d'accéder aux messageries, réseaux sociaux, banques, services administratifs, ... Devant la multiplication de ces connexions, grande est la tentation d'utiliser le nom de son chien ou de choisir le même mot de passe pour chaque compte. Pourquoi est-ce si risqué ?
Un mot de passe différent pour chaque service
_71x118.png)
Tous les mots de passe n'ont pas la même importance : de votre session locale MS Windows à votre messagerie, en passant par vos réseaux sociaux et les sites de commerce en ligne, le vol ou la perte de votre mot de passe n'aura pas le même impact sur votre vie numérique.
Mais utiliser le même mot de passe pour chaque service laisse l'opportunité de pirater tous vos comptes si un seul est compromis.
Longueur & Complexité
Top 10 des pires mots de passe de messagerie
En étudiant les fuites de sécurité en 2020 NordPass a fait le classement des 200 mots de passe les plus utlisés. Si le votre est dans la liste pensez à en changer ;-)
- 123456
- 123456789
- picture1
- password
- 12345678
- 111111
- 123123
- 12345
- 1234567890
- senha
Les attaquants utilisent le plus souvent la "Force Brute" ou l'ingenieurie sociale pour deviner un mot de passe.
Dans le premier cas l'attaque consiste à essayer toutes les combinaisons et permutations possibles. Un mot de passe long (à partir de 12 caractères, lettres majuscules, minuscules, chiffres et caractères spéciaux mélangés) compliquera la tâche de prédiction par ces algorithmes.
Dans le second cas, il suffira de collecter des données sur vous pour tenter de prédire votre mot de passe. Cela relève plus du mentalisme que de l'informatique mais c'est malheureusement la première cause de compromission de ses identifiants. Il n'est donc pas judicieux d'utiliser les initiales de ses enfants ou sa commune de résidence suivi du numéro de département pour sécuriser sa boîte mail. Les suites du type "azerty", "123456" ou les mots "password", "dieu", ... ne le sont pas plus.
Vérifiez si vos adresses ont été victimes de failles de sécurité.
Have I Been Pwned ? (site en anglais) a été créé en 2013 par Troy HUNT, expert en sécurité. Il permettait aux utilisateurs de vérifier si leurs comptes Adobe, Sony, Yahoo ... avaient été compromis. Aujourd'hui encore, le site collecte des informations sur de nombreuses brèches de sécurité.
Utilisant la base de données de HaveIBeenPwned?, la foundation Mozilla à mis en service en 2018 Firefox Monitor (en français). Il informe ses utilisateurs des différentes failles qui pourraient les toucher et donne des conseils pour s'en prémunir.
Comment créer un mot de passe long et complexe ?
ATTENTION, n'utilisez pas les mots de passe ci-dessous. Ils peuvent être compromis. Inspirez-vous simplement de la méthode.
Les méthodes sont nombreuses. l'ANSII préconise à titre d'exemple d'utiliser la méthode de la première lettre
Un "tient" vaut mieux que deux "tu l'auras" donne 1TvmQ2tl'A
ou une méthode phonétique
J'ai acheté 3 CD pour 100 euros cet été donne Ght3CD%€7TT
Mozilla propose un guide pour créer un mot de passe sécurisé et la CNIL, un générateur de mot de passe à partir d'une phrase.
Utiliser un générateur de mot de passe aléatoire.
C'est une solution très efficace pour le rendre imprédictible. Le programme créé à votre place un mot de passe sécurisé. La plupart des navigateurs intègrent désormais un tel outil. Soit sous forme d'une extension comme Google Chrome, soit intégré comme Mozilla Firefox ou Microsoft Edge.
Comment mémoriser tous ces mots de passe ?
Evidemment une multitude de mots de passe tous différents et tous longs & complexes est difficile à retenir. Poser un carnet rempli de mots de passe à côté de son ordi n'est . C'est pour cela qu'a été inventé le trousseau. Sur Mac, le Trousseau iCloud remplit cette fonction. Sur Windows, le gestionnaire d'identification permet de stocker les mots de passe du système. Vos mots de passe sont alors "sécurisés" par votre mot de passe de session.
Pour vos mots de passe Web vous pouvez enregistrer vos identiants dans votre navigateur. Attention cependant ceux-ci sont stockés en clair (lisible par un tiers) sur votre machine, à moins de les protéger par un mot de passe principal comme Mozilla Firefox .
Les éditeurs d'antivirus ne sont pas en reste : Trend Micro Password Manager, Kaspersky password manager, Eset password manager, F-secure KEY pour ne citer qu'eux sauvegardent vos mot de passe et les synchronisent entre vos périphériques... Là encore, c'est un mot de passe qui protège vos mots de passe.
Double authentification ou 2FA
Quels services proposent la 2FA ?
- Ecosystèmes (Mail, agenda, cloud, ...) : Google, Microsoft, Apple, Mailo, ...
- Réseaux sociaux : Facebook, Instagram, Snapchat, Linkedin, Twitter ...
- Commerce en ligne : Amazon, Ebay,
- Paiement : Paypal, ...
La double authentification, ou authentification multi-facteur permet d'ajouter un couche de protection à votre compte. C'est comme utiliser 2 serrures sur ue porte. Votre compte est alors lié à un mot de passe, un appareil(téléphone, tablettes, clé USB, ordinateur ...) et une application.
Comment ça marche ?
Lorsque vous vous connectez à votre compte depuis un nouveau périphérique, le service vous envoie un mot de passe à usage unique (One-Time-Password) par SMS
Les application OTP génère un code valable 30s à 60s. L'algorithme est basé sur un calcul de temps. Disponible sur Google play store : Google authenticator, andOTP, FreeOTP, ... ou sur l'AppStore d'Apple : FreeOTP, ... )
A retenir
Contre le piratage, vol de données personnelles, extorsion de fond, ... :
- Un mot passe long et complexe, différent pour chaque compte, c'est bien.
- Utiliser un gestionnaire de mots de passe sécurisé facilite la tâche pour les retenir.
- La "Double authentification" , c'est mieux !
Les mots de passe en fiche mémo : 
Apprenez rapidement à gérer vos mots de passe grâce à la fiche mémo de cybermalveillance.gouv.fr
Document PDF 214Ko
Pour en savoir plus
- Pourquoi et comment bien gérer ses mots de passe ? - Cybermalveillance.gouv.fr
- 2FA (Two-factor authentication) : quelles options ? - Sophos.com
- Les conseils de la CNIL pour un bon mot de passe - CNIL.fr
