La création d’un mot de passe fort est souvent difficile pour de nombreux utilisateurs d’ordinateurs et d’appareils mobiles. La plupart des gens peuvent à peine se souvenir sans problème du code PIN à quatre chiffres de leur carte EC. Dans le même ordre d’idées, il semble presque impossible pour la plupart des utilisateurs de mémoriser un mot de passe long et cryptique, par exemple pour se connecter à leur compte bancaire en ligne, à leur compte eBay ou à des réseaux sociaux. En fin de compte, on possède rapidement cinq à dix comptes différents, auxquels on accède toujours avec le même mot de passe pour des raisons de simplicité. Dans l’article suivant, nous fournissons une aide, des conseils et des astuces concernant les mots de passe forts.

Le risque de sécurité le plus fréquent et le plus important dans l’utilisation des technologies de l’information reste les mots de passe faibles, que les cybercriminels peuvent facilement deviner ou craquer à l’aide d’attaques dites de force brute. Il en résulte une utilisation abusive des données et une usurpation d’identité. Selon une enquête de Microsoft, ce dernier, associé au phishing, pourrait causer un préjudice annuel d’environ cinq milliards de dollars américains. La perte financière s’accompagne souvent d’une perte d’image. Il est donc d’autant plus décisif d’utiliser un mot de passe fort, qui peut être créé sans trop d’efforts comme suit.

Aide pour les mots de passe forts

• Le mot de passe doit comporter au moins 12 caractères. En comparaison, une connexion WLAN sécurisée ne nécessite pas moins de 20 caractères.
• La chaîne de caractères doit contenir des lettres majuscules et minuscules, des chiffres (0-9) et des caractères spéciaux (!?%&).
• Les mots issus de dictionnaires, les noms de membres de la famille, d’animaux domestiques ou d’amis et de connaissances devraient être évités.
• L’utilisation de suites de lettres sur les claviers (asdfghjkl) n’est pas recommandée.
• Les trémas posent problème à l’étranger, c’est pourquoi il convient d’y renoncer.

Comment se souvenir d’un mot de passe fort ?

Souvent, le confort d’utilisation prime sur la sécurité. C’est ainsi que l’on obtient généralement des mots de passe faciles à mémoriser, mais aussi à craquer. Pourtant, la création d’un mot de passe fort et sûr ne relève pas de la magie. Un mot de passe principal constitue la base, par exemple à partir des premières lettres des mots d’une phrase telle que : « En été, il y a beaucoup de jours chauds« . Le mot de passe ISgevhT qui en découle contient certes déjà des majuscules et des minuscules, mais pas de chiffres ni de caractères spéciaux, et il est en outre toujours trop court. L’ajout d’un complément spécifique, lié par exemple à une caractéristique du site web sur lequel on veut se connecter, augmente le niveau de sécurité. Si l’on prend Twitter comme exemple et la couleur du logo comme complément spécifique, on obtient du bleu clair. Si l’on ajoute à la couleur le chiffre correspondant à la longueur des caractères (Twitter = 7 caractères), on obtient bleu clair07. Si l’on enchaîne ensuite la couleur et le chiffre avec le caractère spécial dièse, on obtient : bleu clair#07. Pour finir, le mot de passe principal et le complément sont séparés et encadrés par des astérisques. Le mot de passe fort final est le suivant : *ISgevhT*bleu clair#07*.

Conseils sur l’utilisation des mots de passe

Une transmission cryptée des données est essentielle, en particulier pour les opérations bancaires en ligne. L’utilisateur reconnaît une connexion « à l’abri des écoutes » avec un cryptage moderne SSL/TLS au HTTPS ou au cadenas au début d’une URL. Les données saisies – tout comme le mot de passe – ne peuvent ainsi pas être interceptées ou utilisées abusivement par des tiers.

En règle générale, il est déconseillé de noter les mots de passe, de les envoyer par e-mail ou par messagerie instantanée ou de les enregistrer sur l’ordinateur sans un logiciel spécial et sécurisé. La saisie du mot de passe devrait être aussi secrète que la saisie du code PIN au distributeur automatique de billets.

Changer régulièrement les mots de passe

Il est recommandé aux utilisateurs de changer leurs mots de passe tous les trois à six mois, en particulier pour les comptes en ligne tels que les services bancaires sur Internet, Amazon ou Pay Pal. Comme pour le compte de messagerie, il convient de sécuriser les accès et donc les accès aux données confidentielles. Les e-mails permettent de communiquer avec différents services qui nécessitent un compte d’utilisateur. Si un utilisateur oublie son mot de passe, il peut le réinitialiser à l’aide de son compte de messagerie personnel. Et là encore, le danger guette : si un pirate a accès à un compte de messagerie, il lui est facile de demander un nouveau mot de passe et de détourner le compte.

Après s’être connecté via un réseau WLAN public, le mot de passe doit être immédiatement modifié. L’usurpation permet d’intercepter les données transmises de l’ordinateur portable au point d’accès et de les utiliser ultérieurement à des fins criminelles.

Alternatives au mot de passe

Une authentification à deux facteurs basée sur le mobile permet de limiter au maximum les risques de sécurité lors de la connexion, car en plus du mot de passe, l’utilisateur doit saisir un mot de passe supplémentaire à usage unique. Ce code est envoyé sur son smartphone et garantit que seuls les utilisateurs autorisés peuvent se connecter.

Les clés USB personnalisées sont une autre alternative, mais elles sont encore à l’état de développement. Tous les mots de passe utilisés y sont enregistrés. Une fois cette « clé maîtresse » insérée, la connexion se fait automatiquement. L’utilisateur aurait toujours ses différents mots de passe à portée de main, mais il court aussi le risque de perdre le support de données et donc tous les mots de passe.

Le bracelet dit Nymi, qui n’est pas encore commercialisé, pourrait à l’avenir remplacer le mot de passe grâce à la communication NFC et aux battements de cœur, qui sont uniques à chaque personne. Les procédures d’authentification biométriques au moyen de scanners d’empreintes digitales ou d’iris sont également très prisées. S’y ajoutent des applications qui « palpent » la forme de l’oreille par caméra frontale avant l’utilisation et ne déverrouillent l’appareil qu’après confirmation. D’autres réflexions vont dans le sens de la mesure de la démarche, de la vitesse de frappe ou de la reconnaissance complète du visage.

La vérification par jeton virtuel pour les utilisateurs d’ordinateurs portables en combinaison avec le smartphone est également une possibilité. Lors de la connexion, un jeton, par exemple sous la forme d’un code QR, apparaît à l’écran et est ensuite scanné par le smartphone.

Pour l’instant, les alternatives au mot de passe sont rares. Il reste à voir quelles méthodes d’authentification s’imposeront à l’avenir sans devoir prendre de risques en matière de sécurité. Un mot de passe fort combiné à une authentification à deux facteurs offre actuellement le niveau de protection le plus élevé et devrait donc faire partie de la norme, en particulier dans les entreprises.

Graphique d’introduction : © wrangler – Fotolia.com