9 Meilleures pratiques en matière de mots de passe pour une expérience en ligne sécurisée

“Mais en fait, quel type de mot de passe serait considéré comme sécurisé ?”

Si vous vous posez la question, et que vous voulez aussi apprendre comment créer des mots de passe forts et comment protéger les mots de passe, nous vous avons préparé ce guide détaillé.

À quel point les mots de passe de faible niveau de sécurité sont-ils dangereux ?

En deux mots, extrêmement. Les mots de passe de faible sécurité sont très faciles à pirater, certains outils de piratage étant capables de les casser en quelques secondes, voire quelques millisecondes. Les cybercriminels peuvent avoir accès à des tonnes de vos informations financières et personnelles si vous les cachez derrière un mot de passe faible.

Quel genre de mot de passe serait considéré comme sûr ?

Pour mieux répondre à cette question, voici une liste des types de mots de passe qui seraient normalement considérés comme dangereux :

• Votre date de naissance
• Votre adresse physique
• Le nom de vos parents, amis, frères, sœurs ou animaux de compagnie
• Votre nom
• Mots de passe évidents comme “mot de passe” ou “123456789”

Le genre de mot de passe qui serait considéré comme très sûr est celui qui suit les lignes directrices sur les mots de passe dont nous parlerons dans la prochaine section.

9 Meilleures pratiques en matière de mots de passe pour assurer la sécurité de vos données

Nous allons passer en revue une liste de pratiques exemplaires de mots de passe courts que vous devriez toujours garder à l’esprit si vous voulez créer un mot de passe qui ne sera jamais piraté.

Avant de commencer, mentionnons que pour comparer la robustesse de certains des mots de passe que nous allons offrir à titre d’exemple, nous allons utiliser cet outil en ligne qui estime les temps de craquage des mots de passe.

1. N’utilisez pas un mot du dictionnaire pour votre mot de passe

Le fait d’avoir un mot du dictionnaire comme mot de passe facilite grandement la mémorisation. Cependant, il est aussi très probable qu’il soit la proie d’attaques de dictionnaire. Si vous n’êtes pas sûr de ce qu’est une attaque de dictionnaire, c’est lorsqu’un cybercriminel tente d’utiliser une courte liste de mots (noms d’animaux, noms populaires, personnages de télévision et de cinéma, etc.) pour casser un mot de passe qui contient un mot du dictionnaire, ce dont il est convaincu.

Bien sûr, les pirates peuvent aussi utiliser de vrais dictionnaires pour faire le cracking. Ils n’ont même pas besoin de taper les mots manuellement puisqu’ils peuvent simplement écrire un script pour le faire à leur place.

Nous vous recommandons d’utiliser un mot de passe qui n’est pas un mot de passe réel. Plus c’est complexe et bizarre, mieux c’est.

Et non, la combinaison de mots du dictionnaire n’est pas un gage de sécurité pour votre mot de passe. Par exemple, ” chaise chaise ” peut être un mot de passe de 10 caractères, mais il ne faut que 3 mois à un hacker pour le cracker.

2. Faites un mot de passe long

Les mots de passe courts sont faciles à retenir, certes, mais ils sont aussi très faciles à cracker. Un cybercriminel expérimenté pourrait craquer un simple mot de passe de cinq caractères en une minute. Si vous passez à huit caractères (la recommandation standard du NIST), la durée est portée à une décennie.

Idéalement, vous devriez avoir un mot de passe de plus de huit caractères, cependant – nous vous recommandons d’en avoir plus de 15 si possible.

Si, pour une raison quelconque, vous devez vous en tenir à un mot de passe court, ne le faites que sur un site Web qui autorise les caractères d’espacement. Si vous insérez une lettre/symbole/numéro dans un mot de passe à cinq caractères, vous augmentez le temps de craquage d’une minute à quatre décennies.

3. Mélangez les lettres, les chiffres et les caractères spéciaux/symboles

Mélanger des lettres, des chiffres et des symboles rend votre mot de passe beaucoup plus difficile à déchiffrer. Si vous deviez utiliser un mot de passe composé uniquement de lettres ou de chiffres, par exemple, les outils de craquage auraient beaucoup plus de mal à le casser.

Après tout, un mot de passe comme “3&*Gjk2#” est beaucoup plus difficile à deviner ou à forcer qu’un mot de passe comme “fhujflto”. Si nous utilisons le même outil que celui que nous avons mentionné ci-dessus, nous verrons que le deuxième mot de passe peut être piraté en trois heures environ, tandis que le premier mot de passe peut l’être en une décennie environ.

4. Mélangez les lettres majuscules et minuscules

N’ayez pas peur d’ajouter des lettres minuscules et majuscules à des intervalles aléatoires. Cela peut être plus gênant lorsque vous tapez le mot de passe à l’aide d’un clavier ou sur un appareil mobile, mais cela rend votre mot de passe plus sûr.

Vous ne nous croyez pas ? Prenons les mots de passe suivants : “sdfghjjkl” et “SdFgHjKl”. Un outil de craquage aurait besoin d’environ trois heures pour casser le premier mot de passe, et d’un mois pour casser le second. Évidemment, le deuxième pourrait être amélioré pour être plus puissant, mais l’exemple démontre quand même que mélanger les majuscules et les minuscules est une bonne idée.

5. N’utilisez pas de substitutions évidentes

Non, utiliser “h0u$3” comme mot de passe au lieu de “house” ne le rend pas très fort. En fait, ça ne prendrait qu’une minute pour qu’il soit craqué.

En règle générale, vous devez éviter de remplacer les lettres par des chiffres ressemblants, car il ne faudra pas longtemps pour qu’un outil de craquage comprenne ce que vous faites.

6. Inversez certains mots (ou tous les mots)

Si vous persistez à utiliser des mots du dictionnaire comme mots de passe, vous devez à tout le moins les inverser. Par exemple, au lieu de “dinosaure” qui peut être craqué en moins d’une seconde, vous pouvez essayer “eruasonid”. Bien sûr, ce n’est pas suffisant, car il faudrait encore cinq heures à un outil de piratage pour casser ce mot de passe.

Ainsi, vous devez utiliser plusieurs mots inversés ensemble. Taper le mot de passe entier sera un véritable casse-tête, mais la sécurité compensera cela. Pour de meilleurs résultats, mélangez les symboles, les chiffres, les majuscules et les minuscules.

7. Faites de votre mot de passe l’acronyme d’une expression

Si vous n’avez pas envie d’écraser votre clavier au hasard pour trouver un mot de passe, essayez de penser à une phrase mémorable – de préférence quelque chose que vous avez l’habitude de faire assez souvent. Par exemple, prenons l’expression “Je passais mes étés en Italie quand j’avais 5 ans.”

Pour en faire un mot de passe, il suffit de prendre la première lettre de chaque mot. Il vous resterait “IutsmsiIwIwIw5”.

Pas mal, n’est-ce pas ? Il faudrait six millénaires ou plus pour le briser. Mais vous pouvez le rendre encore plus fort pour combattre les futures techniques de craquage de mots de passe. Ajoutez un ou deux espaces, symboles ou chiffres et vous obtenez un mot de passe encore plus fiable.

8. Utiliser les espaces quand c’est possible

Tous les sites Web ne vous permettent pas d’inclure des espaces dans vos mots de passe. Mais s’ils le proposent, allez-y, ajoutez-en quelques-uns. Cela rallonge votre mot de passe, de sorte que plus vous ajoutez d’espace, plus il sera difficile pour un pirate ou un outil de craquage de mot de passe de le casser.

Vous pouvez ajouter un espace après chaque lettre, chiffre ou symbole si vous le souhaitez, mais il suffit généralement d’ajouter quelques lettres/symboles/numéros.

Ajouter aussi peu que deux espaces dans un mot de passe comme “dinosaure” (pour qu’il soit “din osa ure”) rallonge le temps nécessaire pour le casser de moins d’une seconde à cinq siècles, donc ne sous-estimez pas ce conseil.

9. Envisagez d’utiliser un générateur de mots de passe

Si vous avez plusieurs comptes et que la création d’un mot de passe pour chacun d’entre eux est trop compliquée, vous pouvez toujours essayer d’utiliser un générateur de mots de passe à la place. Cela vous permettra de créer un mot de passe sécurisé sur le site, ce qui vous fera gagner beaucoup de temps.

Assurez-vous simplement d’utiliser des générateurs de mots de passe provenant d’entreprises fiables. La dernière chose que vous voulez est d’utiliser un générateur louche qu’un pirate informatique a mis en place pour accéder à vos comptes.

Voici une liste de générateurs que vous pouvez essayer en toute sécurité :

• 1Password’s Generator
• Norton’s Password Generator
• LastPass Password Generator
• Strong Password Generator
• MSD Services Password Generator
• SafePassword

Comment protéger les mots de passe

Avoir un mot de passe puissant est un bon début, mais ce n’est pas suffisant pour protéger vos données. Vous devez également protéger vos propres mots de passe contre les logiciels malveillants, les erreurs humaines et les pirates informatiques. Voici quelques conseils pour vous aider à le faire :

1. N’utilisez pas le même mot de passe pour tous les comptes

Environ 59 % des utilisateurs en ligne réutilisent le même mot de passe pour plusieurs services et plates-formes. C’est pratique, bien sûr, mais c’est aussi très risqué. Pourquoi ? Imaginez que vos mots de passe soient compromis d’une façon ou d’une autre. Si cela se produit, chacun de vos comptes sera à la merci des pirates.

Par exemple, disons que vous utilisez le même mot de passe pour votre compte Facebook que celui de votre compte PayPal. Si un cybercriminel compromet votre mot de passe Facebook, il aura un accès instantané à l’argent que vous avez sur PayPal.

Aussi peu pratique que cela puisse paraître, essayez d’utiliser un mot de passe distinct pour chacun de vos comptes en ligne. Vous n’avez pas vraiment besoin de trouver des mots de passe complètement différents, mais assurez-vous au moins que tous les mots de passe sont suffisamment différents les uns des autres pour que les pirates ne puissent pas deviner les autres s’ils en trouvent un.

2. Utilisez un logiciel de sécurité et tenez-le à jour

Un programme antivirus/anti logiciels malveillants est indispensable de nos jours si vous voulez surfer sur le Web en toute sécurité – d’autant plus que de tels logiciels peuvent protéger votre appareil des infections malveillantes (comme les logiciels espions et les enregistreurs de frappe) qui peuvent voler vos mots de passe.

Assurez-vous simplement d’exécuter des analyses régulières (surtout après avoir téléchargé de nouveaux fichiers), de toujours activer la protection Web et de maintenir à jour le programme antivirus/Anti-malware. Si vous sautez une seule mise à jour, vous risquez de passer à côté de modifications et de fichiers essentiels qui aident le logiciel à repérer et à lutter contre les nouveaux types de virus/malware.

Il existe de nombreux fournisseurs de logiciels antivirus/anti logiciels malveillants, mais nos recommandations sont Malwarebytes et ESET.

3. Utilisez un VPN lorsque vous accédez à un réseau WiFi public (ou à tout moment)

Le WiFi public peut être pratique, mais c’est aussi très risqué. De nombreux réseaux publics n’utilisent pas de chiffrement, ce qui permet aux cybercriminels (ou à n’importe qui d’autre) d’écouter facilement vos communications en ligne. En gros, cela signifie que si vous entrez votre mot de passe sur un site Web tout en utilisant le WiFi public, il y a une chance que quelqu’un puisse le voir.

Ainsi, vous devriez toujours utiliser un VPN (Réseau Privé Virtuel) lorsque vous utilisez un réseau WiFi public. Le service utilisera le cryptage pour sécuriser tout votre trafic Internet, s’assurant que personne ne peut le surveiller pour voler vos mots de passe.

La seule alternative est d’utiliser votre forfait de données. Bien sûr, vous ne pouvez pas vraiment l’utiliser 24 heures sur 24, 7 jours sur 7 (sauf si vous en avez les moyens), et connecter votre ordinateur portable ou votre ordinateur à votre hotspot mobile à la maison n’est pas trop pratique.

” Pourquoi ferais-je ça alors que je peux simplement utiliser mon propre WiFi qui est sécurisé ? ”

Eh bien, le problème avec les réseaux WiFi actuels est que leur sécurité WPA2 n’est pas suffisante pour protéger entièrement vos données et le trafic en ligne. Pourquoi ? Parce que le WPA2 est en fait vulnérable à l’attaque KRACK – une cyberattaque qui peut le casser. Et il faudra encore un certain temps avant que le WPA3 ne devienne la norme, donc utiliser un VPN chaque fois que vous allez en ligne reste l’un des meilleurs moyens de protéger vos mots de passe.

4. Ne conservez pas votre ou vos mots de passe sur votre appareil

Il peut être tentant d’avoir simplement un fichier Word sur votre ordinateur avec une liste de tous les mots de passe que vous utilisez en raison de sa commodité. Mais si vous faites cela, vous mettrez ces mots de passe (et les données qu’ils protègent) en danger.

Pourquoi ? Eh bien, si un pirate accède à votre appareil (en utilisant un logiciel malveillant, par exemple), il sera en mesure d’accéder rapidement à ce fichier et de voler tous vos mots de passe.

Il est préférable de ne pas conserver vos mots de passe sur votre appareil. Idéalement, vous devriez utiliser un carnet de notes et y noter les mots de passe. Lorsque vous avez terminé, assurez-vous de le ranger dans un endroit sûr dans votre maison (même un coffre-fort ferait l’affaire).

Si cela vous semble trop compliqué, alors vous devriez réfléchir à notre prochain conseil.

5. Utilisez un outil fiable de gestion des mots de passe

Lorsqu’il s’agit des meilleures pratiques en matière de gestion des mots de passe, une plate-forme de gestion des mots de passe est une nécessité. Il s’agit essentiellement d’un service en ligne qui stocke et gère tous vos mots de passe. Ils seront correctement cryptés et vous n’aurez besoin que d’un seul mot de passe principal pour y accéder.

C’est bien plus simple que d’avoir une liste complète de mots de passe sur soi.

Les gestionnaires de mots de passe sont assez simples à utiliser et peuvent prendre la forme de services en ligne ou sur le cloud, d’applications de bureau, et même de formats portables. C’est à peu près le meilleur endroit pour stocker les mots de passe sans avoir à se procurer un coffre-fort coûteux.

Voici une liste des meilleurs services de gestion de mots de passe :

• Bitwarden
• LessPass
• KeePass / KeePassXC
• Master Password
• PSONO
• Password Safe

6. Utilisez l’authentification multifactorielle

De nombreux services en ligne vous permettent aujourd’hui d’utiliser une forme d’authentification multifactorielle (la plus courante est l’authentification à deux facteurs) pour sécuriser vos comptes. En termes simples, il s’agit d’une étape supplémentaire que vous franchissez lorsque vous vous connectez. Après avoir saisi le mot de passe, vous devez également saisir un code qui vous est envoyé par SMS ou qui est généré par une application d’authentification sur votre téléphone.

Nous vous recommandons fortement d’activer l’authentification à deux facteurs (ou tout autre type d’authentification multifactorielle) sur tous vos comptes. Il ne s’agit pas d’un mode de pratiques exemplaires en matière de sécurité des mots de passe puisque ce n’est pas une fonction qui protège directement votre mot de passe, mais c’est un excellent moyen de protéger vos comptes et vos données si votre mot de passe est compromis d’une manière ou d’une autre.

7. Si possible utilisez la biométrie

Si vous n’êtes pas familier avec l’idée de la biométrie, il s’agit essentiellement d’une technologie qui vous permet de vous connecter à votre appareil en numérisant votre empreinte digitale au lieu d’utiliser un mot de passe. Beaucoup d’ordinateurs portables, de tablettes et d’appareils mobiles ont commencé à prendre en charge la biométrie, vous devriez donc envisager de l’utiliser lorsque vous vous connectez.

Idéalement, vous devez vous fier à la biométrie lorsque vous vous trouvez dans des endroits très fréquentés ou lorsque vous voyagez à l’étranger, afin de ne pas exposer accidentellement votre mot de passe dans de telles situations.

8. Ne partagez jamais votre mot de passe

Vous pensez que c’est du bon sens, mais environ 95 % des gens partagent jusqu’à 6 de leurs mots de passe avec d’autres personnes – amis, famille ou collègues de travail.

“ Quel mal y a-t-il là-dedans ? Vous partagez vos mots de passe avec des personnes en qui vous avez confiance. “

C’est vrai, et nous ne disons pas que votre fiancé ou votre meilleur ami va utiliser votre mot de passe pour vider vos comptes bancaires et PayPal. Cependant, ils pourraient être négligents (nous ne sommes que des humains, après tout) et taper accidentellement votre mot de passe sur un site Web d’hameçonnage, un ordinateur public ou un appareil infecté par un logiciel malveillant.

Si quelque chose de ce genre se produit, vos mots de passe et toutes les données de votre compte sont pratiquement effacés.

Ainsi, peu importe à quel point vos amis et votre famille seront dépités lorsque vous refuserez de partager vos mots de passe avec eux, c’est toujours une meilleure alternative que de vous faire voler vos renseignements financiers et personnels à cause d’une simple erreur.

Encouragez les personnes qui vous demandent de partager vos mots de passe à ouvrir un compte (surtout s’il y a un essai gratuit). Ne partagez les mots de passe que pour les comptes qui sont vraiment jetables, ou que vous n’avez pas l’intention d’utiliser (et ne partagez pas un mot de passe que vous pourriez utiliser pour d’autres comptes – même si vous ne devriez pas le faire comme nous l’avons déjà dit).

9. Modifiez régulièrement vos mots de passe

Seulement 35 % des gens ne changent jamais leurs mots de passe actuellement, même si ces chiffres sont meilleurs qu’il y a quelques années. Cela signifie que beaucoup de gens ne sécurisent toujours pas correctement leurs mots de passe.

Oui, nous savons que changer régulièrement vos mots de passe – en plus d’avoir un mot de passe distinct pour chaque compte – peut être vraiment fatigant. Cependant, il s’agit d’une mesure de sécurité supplémentaire qui garantit la sécurité de vos données.

Vous n’avez plus besoin de changer vos mots de passe tous les jours ou toutes les semaines. Une fois par mois devrait suffire, ou au moins une fois tous les deux ou trois mois. Et vous n’avez pas besoin d’inventer de nouveaux mots de passe à chaque fois – il suffit parfois de modifier un peu vos mots de passe existants.

Bien sûr, il y a des moments où vous devez absolument changer vos mots de passe, et en créer de nouveaux à partir de zéro, par exemple :

• Après qu’un service que vous utilisez a signalé une atteinte à la protection des données.
• Après avoir utilisé un ordinateur public.
• Lorsque vous donnez accès à votre compte à quelqu’un d’autre.
• Lorsqu’il existe des preuves d’accès non autorisé à l’un de vos comptes.
• Lorsqu’une infection par un malware/virus est détectée sur votre appareil.

10. Évitez l’hameçonnage des courriels et des messages

L’hameçonnage implique des cybercriminels et des escrocs qui tentent de vous piéger pour vous faire révéler des renseignements personnels, financiers et commerciaux sensibles. Ils vous enverront normalement des courriels ou des messages qui donnent l’impression d’être envoyés par une organisation, une entreprise ou une personne réelle, vous invitant à divulguer des données personnelles ou professionnelles.

Ces courriels et messages peuvent également contenir des liens malveillants qui vous dirigent vers des sites Web d’hameçonnage qui volent vos mots de passe, ou des pièces jointes infectées par des logiciels malveillants qui installent des enregistreurs de frappe sur votre appareil.

Pour protéger vos mots de passe contre l’hameçonnage, la clé est d’ignorer tout message d’hameçonnage et de ne jamais cliquer sur les liens ou télécharger les pièces jointes qui s’y trouvent. Si vous vous retrouvez sur un site d’hameçonnage, ne tapez jamais votre véritable mot de passe – il s’agit tout simplement de balivernes.

Meilleures pratiques en matière de mots de passe – En résumé

Alors, quel type de mot de passe serait considéré comme sécurisé ? Eh bien, certainement un qui suit la plupart de ces directives sur les mots de passe :

• Comprend plus de huit caractères (idéalement plus de 15).
• Contient des lettres, des chiffres, des symboles et des espaces.
• Mélange les lettres minuscules et majuscules.
• Acronyme d’une phrase (“NsaaPBiya10a” pour “Nous sommes allés aux Pays-Bas il y a 10 ans.”
• Ne contient pas de mots du dictionnaire. Si c’est le cas, il contient des mots qui sont inversés.
• Ne contient pas de substitutions évidentes (“0” au lieu de “o”).
• Est généré à l’aide d’un générateur de mots de passe sécurisé et fiable.

En plus de trouver un mot de passe solide, vous devez aussi le conserver en lieu sûr. La meilleure façon d’y parvenir est d’utiliser un VPN lorsque vous êtes en ligne, d’utiliser des programmes antivirus/anti logiciels malveillants, d’utiliser un mot de passe différent pour chaque compte, de changer fréquemment les mots de passe et d’utiliser des plateformes de gestion de mots de passe décentes – pour ne citer que quelques conseils.