Mot de passe

Introduction #

Les mots de passes permettent de vous authentifier à vos services. C’est un des aspects les plus importants de la sécurité informatique. La politique de mots de passe peut d’une certaine façon être imposée par les administrateurs de réseau tels que ZennIT, mais de nombreux aspects restent dans les mains des utilisateurs. Avoir de bonnes pratiques en matière de mots de passes et d’authentification est crucial pour rester en sécurité. Cet article vous guide à travers ces bonnes pratiques.

Principes de base #

Vos mots de passes sont vos clefs d’accès. Il va de soi qu’il ne fait pas écrire son mot de passe sur sa machine ou le partager avec n’importe qui. Cela ne vous viendrait pas à l’idée de laisser votre voiture ouverte avec les clefs sur le contact, il faut adoptez la même logique pour les mots de passe.

Source : Password Strength Meter (passwordmonster.com)

Qualité du mot de passe #

Un mot de passe doit être de qualité, c’est-à-dire pas facilement devinable par une personne ou un robot. Il existe de nombreux outils pour tester la force de votre mot de passe. Ci-dessous une capture d’écran du site https://www.passwordmonster.com/.

Mots de passes différents #

De nombreux utilisateurs sont tentés de créer un mot de passe très fort et d’utiliser le même mot de passe sur de nombreux sites et services. C’est une très mauvaise idée. En effet, sur chaque site où vous créez un compte et renseignez un mot de passe, vous figurez dans la base de données du site. Si ce site ce fait hacker, votre email et mot de passe sera compromis. Le premier réflexe du hacker sera dès lors d’utiliser votre email et mot d epasse pour tenter de se connecter à d’autres services que celui hacké.

Vous pouvez vous rendre sur le site web https://haveibeenpwned.com/ pour vérifier si votre email fait partie d’une liste compromise. Ci-dessous un exemple de quelques brèches (breaches) sur une adresse testée. Dans cet exemple, les bases de données des services Gravatar et 123RF ont été exploitées pour collecter des informations sur l’utilisateur alors que pour Bitly et BTC-E le mot de passe à été compromis. Heureusement, l’utilisateur en question applique de bonnes pratiques de sécurité et son mot de passe Bitly et BTC-E n’était utilisé que pour ces services, aucune contagion n’était donc possible.

Stocker ses mots de passe #

Si vous commencez à créer un mot de passe différends et fort pour chaque service, ou les stocker en toute sécurité? Chaque navigateur internet dispose d’une fonction de stockage de mots de passes. Cependant, cette solution est pratique mais non sécurisée. Si quelqu’un accède à votre ordinateur ou appareil mobile, il peut facilement accéder à tous vos mots de passe enregistrés dans le navigateur. Pire encore, si votre navigateur est corrompu (via une extension malveillante par exemple), les cybercriminels peuvent accéder à distance à vos mots de passe, compromettant ainsi tous vos comptes.

Vous pouvez également tenir à jour une liste de mots de passe sur un petit carnet, dans une note sécurisée ou un fichier Excel verrouillé par un mot de passe. Cette approche est plus sécurisée mais n’est pas très pratique. Premièrement, vous devez copier/coller vos mots de passes manuellement. Ensuite, vous risquez de perdre des mots de passes ou de corrompre votre fichier. Pour finir, le fichier Excel et le carnet de mots de passes présentent également un risque non négligeable en matière de sécurité.

L’idéal est d’utiliser un gestionnaire de mots de passes, une application dédiée qui stocke de façon sécurisée vos différents logins. Il existe de nombreux concurrents dans le secteur. Nous avons choisi 1Password comme gestionnaire de mots de passe pour les raisons suivantes :

  • Tarifs abordables
  • Coffre privé et partagé
  • Stockage cloud sécurisé
  • Compatible avec tous les appareils et navigateurs
  • Configuration 2FA facile