Privilégiés par la plupart des utilisateurs, les mots de passe sont pourtant considérés comme le moyen le plus rudimentaire pour s’authentifier par le monde de la cybersécurité. Dirk Schrader, vice-président de la recherche en sécurité chez Netwrix, dévoile ses conseils pour une utilisation responsable.
Les mots de passe ont la peau dure : s’ils sont considérés comme démodés pour les spécialistes de la cybersécurité, la majorité des utilisateurs lambda le privilégient toujours du fait de sa simplicité pour se connecter. À l’occasion de la Journée mondiale du mot de passe qui se déroule le 5 mai 2022, Dirk Schrader, vice-président de la recherche en sécurité chez l’éditeur de logiciels de sécurité privée Netwrix fait le point sur ce moyen d’authentification.
Un usage précautionneux
Pour ce dernier, « il est essentiel que l’utilisateur accorde la même précaution aux mots de passe qu’aux clés de son domicile : ne pas les partager, garder un œil sur eux, ou encore en changer en cas de perte », indique-t-il dans une récente tribune.
Vers une disparition du mot de passe ?
Il faut dire que ce mode d’authentification fait l’objet de nombreuses critiques au sujet de son manque de robustesse. D’ailleurs, pour de nombreux spécialistes, le mot de passe pourrait même bien disparaître : « Le sentiment dominant dans l’espace de la cybersécurité est que les mots de passe appartiennent désormais au passé, ou devraient tout du moins le devenir dans un avenir proche » constate l’expert.
Des améliorations technologiques
Or ce moyen reste plébiscité par la plupart des utilisateurs lambda. D’autant que le mot de passe fait l’objet depuis quelques années de nombreuses améliorations au niveau de sécurité. « On entend souvent parler des mots de passe dits « forts » et de la difficulté pour les cybercriminels à les découvrir ou à passer outre par force brute, en fonction de leur longueur et complexité » indique Dirk Schrader.
Authentification multifactorielle
Il s’agit par exemple de l’authentification multifacteur qui consiste en une méthode de vérification secondaire via un canal de communication spécial, comme le mot de passe à usage unique par SMS. « Toutefois, ces méthodes introduisent également un niveau de complexité que l’utilisateur lambda évite pour les comptes non sensibles », rappelle le spécialiste. Au risque de décourager les utilisateurs qui pourraient alors de faire preuve de négligence…
Tester son mot de passe grâce à l’ANSSI
Autre solution, il est possible de tester la robustesse de son mot de passe en se rendant sur le site de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Selon l’autorité, un mot de passe fort contient des lettres minuscules et majuscules, des chiffres et des caractères spéciaux, et doit avoir au moins 16 caractères. Pour y parvenir, le site propose des conseils pour le renforcer.
Transformer une phrase en mot de passe
« Cependant, créer un identifiant à la fois fort et facile à mémoriser est un exercice complexe. Un bon moyen mnémotechnique consiste à se baser sur une habitude ou une action du quotidien », conseille Dirk Schrader qui cite ainsi la phrase « Je prends 5 verres du placard rouge et autant d’assiettes et de couverts ! ». Transformée en mot de passe, elle pourrait ainsi devenir «Jp5vdpr,eadaedc! », un mot de passe fort capable de résister à plusieurs formes d’attaque.
Des managers de mots de passe
Enfin dans l’idéal, l’expert estime qu’il vaut mieux employer directement des managers de mots de passe. Lesquels permettent de produire et de mémoriser pour chaque compte des identifiants robustes et uniques, et peuvent aussi effectuer une rotation de ces derniers périodiquement. De quoi simplifier les process d’authentification, d’autant que cette méthode fonctionne tant pour les entreprises, que pour les comptes personnels contenant des données précieuses, telles que les informations bancaires et les services de paiement.
Ségolène Kahn
Commentez