Cela fait désormais plus de 10 ans que le World Password Day nous rappelle chaque année l'importance des bonnes pratiques en matière de mots de passe. Mots de passe forts et uniques, utilisation d'un gestionnaire de mots de passe, ajout de la double authentification sur ses comptes… Autant d'actions à entreprendre pour protéger ses comptes des attaques, notamment brute force. Mais si nous devons insister cette année sur un point, c'est sur l'utilisation d'un gestionnaire de mots de passe : en plus de permettre de créer et gérer facilement des mots de passe complexes, une partie d'entre eux commencent à prendre en charge l'authentification passwordless, à l'aide de clés plutôt qu'un mot de passe. Si cette méthode de connexion n'est pas encore très répandue, son adoption augmente et il est intéressant de commencer à se préparer.
Mot de passe : le calvaire des internautes
Que ce soit en France ou dans le monde, chaque année les mots de passe les plus utilisés restent bien trop faibles et courants : « azerty » (ou « qwerty » pour les anglophones), « 123456 », avec bien sûr sa variante « 123456789 » qui permet de répondre aux exigences de taille souvent imposées par les sites web modernes. Tous ces codes sont faciles à cracker, en plus d’être sensibles aux attaques par dictionnaire.
De plus, plusieurs études ont déterminé que les internautes continuent d’avoir l’habitude d’utiliser des éléments de leur vie privée comme code secret pour protéger leurs comptes : le nom de leur enfant, l’année, leur équipe de football préférée… De mauvais choix, car quelques recherches rapides sur Internet, par exemple sur vos réseaux sociaux, pourraient permettre à un hacker de récupérer vos identifiants en se basant sur les informations que vous dévoilez dans votre vie quotidienne.
Même si les sites essaient d’encourager l’utilisation de mots de passe sécurisés de leur côté, il semblerait que la majorité des utilisateurs soient encore hermétiques à la pratique.
Et le mot de passe le plus populaire en France est...
Malheureusement sans surprise, on constate que les mots de passe les plus populaires en France et dans le monde offrent une très faible protection.
Définissez un bon mot de passe
Il faut dire que trouver un bon mot de passe n’est pas forcément un exercice évident pour tout le monde. Pourtant, des règles existent pour choisir un code secret efficace de manière simple, sans avoir besoin d’utiliser un logiciel externe. Vous pouvez avoir recours à une phrase de passe, plus longue donc plus dure à brute force pour un hacker, mais aussi facile à retenir pour vous. À partir de cette phrase, vous pouvez créer une expression forte en enlevant les espaces entre les mots, en ne gardant que la première lettre de chaque, en retirant certaines lettres, en en remplaçant d'autres par des chiffres… À vous de faire marcher votre imagination !
Si cette façon de faire ne vous convient pas, fort heureusement, d’autres astuces existent comme les jeux de clavier, la phonétique, l’imbrication… Nous les avons détaillées pour vous dans ces articles.
Qu'est-ce qu'une attaque par brute force ?
Comment les hackers réussissent-ils à trouver les mots de passe simples ? Qu'est-ce qu'une attaque par force brute ?
Retrouvez tous les détail dans cet article.
5 règles pour créer un mot de passe sûr et introuvable… ou presque !
Découvrez ces quelques règles simples qui permettent d'avoir un mot de passe fort dont vous vous souviendrez facilement !
Facilitez-vous la vie avec les gestionnaires de mots de passe
La solution la plus simple reste tout de même l’utilisation d’un gestionnaire dédié. Il s'agit d'un logiciel qui vous permet de générer et enregistrer vos identifiants dans un seul endroit. Grâce à lui, votre mémoire ne sera plus mise à rude épreuve (on vous rappelle que la règle d’or est d’en utiliser un différent par site), vous n’aurez qu’à vous souvenir de celui qui sécurise le gestionnaire, pendant que les autres seront au chaud, à l’abri des yeux indiscrets. Une partie d’entre eux proposent en plus une fonctionnalité qui vous avertit lorsque l’un de vos comptes a été compromis. Si vous souhaitez prendre de nouvelles bonnes habitudes en ce Password Day et choisir un nouveau gestionnaire de mot de passe, direction notre comparatif qui saura vous guider.
Les meilleurs gestionnaires de mots de passe
Clubic compare de manière indépendante et objective les meilleurs gestionnaires de mots de passe.
NordPass
- mood Version gratuite limitée
- database Stockage illimité
- browse_activity Notification de fuite
- lock Chiffrement XChaCha20
- Web
NordPass est un très bon gestionnaire de mots de passe sans fioritures. Il assure le service qu’on lui demande : gérer ses mots de passe et quelques données sensibles. Ce service est simple, efficace et il bénéficie d’une politique de cybersécurité plus que correcte. Cependant, il manque peut-être d’ambition en ne proposant pas de fonctionnalités innovantes pour se démarquer de la concurrence. Par exemple, LastPass permet de gérer les codes d’accès et mot de passe de vos applications installées sur Windows tandis que la version Premium de Dashlane intègre un VPN.
- Interface claire et efficace
- Niveaux de sécurité
- Authentification biométrique
- Importation des données
- Version Premium un peu chiche
- Pas de fonctionnalités qui sortent du lot
Dashlane
- mood Version gratuite limitée
- database Stockage illimité
- browse_activity Notification de fuite
- lock Chiffrement AES-256
- Web
Dashlane est un gestionnaire de mots de passe réputé pour ses performances et l'ergonomie de sa solution. Compatible avec les différents systèmes d'exploitation d'ordinateur et de smartphone, il propose une extension pour la majorité des navigateurs. La confidentialité de vos comptes est renforcée par différentes solutions d'authentification à multiples facteurs. Très complète, son offre premium intègre aussi un VPN afin de limiter les risques de piratage lorsque vous vous connectez à vos sites depuis une borne Wi-Fi. On regrette cependant que Dashlane ait décidé de limiter à nouveau son offre gratuite, qui devient inutilisable au quotidien.
- Offre complète
- VPN intégré (premium)
- Support technique en français
- Offre Famille un peu chère
- Surveillance du dark web réservée à la version premium
- Version gratuite très limitée
1Password
- mood Version d'essai limitée
- database Stockage illimité
- browse_activity Notification de fuite
- lock Chiffrement AES-GCM-256
- Web
1Password propose des applications faciles à utiliser et perfectionnées qui fonctionnent sur PC, Mac, Chromebook et smartphones (iOS et Android). Sa fonction Watchtower vous aide à identifier et à modifier les mots de passe faibles, réutilisés ou compromis. Son « mode itinérant » reste original et pratique si vous allez dans des pays un peu trop curieux avec vos données personnelles. En cas de difficultés, vous pouvez contacter le support technique (par email, Twitter ou chat) qui est assez réactif et précis. Pour finir, 1Password est un bon gestionnaire pour une famille ou un groupe d’utilisateurs professionnel. Pour un usage personnel et grand public, d'autres gestionnaires sont gratuits et plus adaptés.
- Mode itinérant
- Gestion de la sécurité
- Authentification à deux facteurs
- Offre « famille » très flexible
- Pas d’offre gratuite
- Peu d’options d’authentification multiple
- Traduction de la documentation partielle
Bonne nouvelle ! Le mot de passe sera bientôt enterré
Au fil des années, de nouvelles fonctionnalités ont été mises en place pour renforcer la sécurité des comptes des utilisateurs. Comprenant que faire reposer la sécurité d’un compte sur un code secret n’était pas la meilleure des idées, les entreprises se sont tournées vers l’authentification multifacteurs pour ajouter une couche de protection supplémentaire. Une fois que l’utilisateur est correctement identifié, avant de pouvoir accéder à son compte, il lui est demandé de prouver son identité une deuxième fois. Cela peut passer par une application dédiée, un SMS, ou encore un mail.
Malgré tout, cette façon de faire ne résout pas vraiment le problème principal. Si les utilisateurs n’utilisent pas d'expressions fortes, ce n’est pas tant parce qu’ils ne font pas à attention à leur sécurité que pour des questions de praticité : il est plus pratique de réutiliser le même code secret partout. Et ajouter une étape supplémentaire à chaque connexion à un service ne rend pas franchement l’expérience plus simple.
Bientôt la fin des mots de passe
Et si la solution au final était de tout simplement supprimer l'authentification classique, source de tous ces ennuis ? C’est en tout cas la piste suivie par plusieurs entreprises, qui multiplient les manières de se connecter en se passant du sésame : dispositifs biométriques, applications d’authentification utilisées non plus en complément d’un mot de passe, mais à la place de celui-ci… Si ce n’est pas encore la fin de l'authentification classique, cela semble bien parti, comme souligné dans nos articles.
Microsoft souhaite en finir avec les mots de passe
Ces dernières années, Microsoft a investi dans diverses technologies de sécurité et souhaite désormais supprimer complètement le mot de passe, pour tout le monde.
Si vous souhaitez en savoir davantage sur la thématique des mots de passe :
Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.
Lire d'autres articles
