Mots de passe : Les bonnes habitudes à prendre

Publié le 11 décembre 2017

Télécom SudParis

Il faut repenser nos mots de passe d'après Hervé Debar.

"Le mot de passe est un secret", rappelle Hervé Debar, directeur du département Réseaux & Services des Télécommunications de Télécom SudParis et responsable de la plateforme de recherche Cybersécurité de cette grande école d'ingénieur du numérique. Expert en protection numérique, il vient de publier un article sur The Conversation (dont voici un extrait ci-dessous) conseillant les bonnes habitudes à prendre et détaillant les enjeux en matière de mots de passe.

Peut-on se protéger, et comment ?

  • Pour l’usage personnel

Un autre danger des mots de passe est la réutilisation de ceux-ci pour plusieurs sites. Les attaques contre les sites web sont très fréquentes, et les niveaux de protection très hétérogènes. Réutiliser un mot de passe sur plusieurs sites accroît donc les risques de compromission de manière très importante. La bonne pratique à l’heure actuelle consiste donc à utiliser un gestionnaire (ou coffre-fort numérique) de mots de passe (comme KeePass ou Password Safe, logiciels libres et gratuits), pour conserver un mot de passe différent pour chaque site.

La fonction de génération automatique de mot de passe de ces gestionnaires permet également d’obtenir des mots de passe plus difficiles à casser. Cela simplifie fortement l’effort de mémoire et améliore significativement la sécurité.

Le mieux est également de conserver la base de données sur une clé USB, et d’en faire des sauvegardes fréquentes. Il existe également des solutions de gestion des mots de passe dans le cloud. À titre personnel je ne les utilise pas car je souhaite conserver la maîtrise de la technologie. Cela peut m’empêcher de l’utiliser dans certains environnements, par exemple un smartphone.

  • Pour les professionnels

Le changement fréquent de mots de passe est souvent une obligation du monde professionnel. Cela est vécu souvent comme une contrainte, amplifiée par d’autres comme la longueur, la variété des caractères utilisés, l’absence de réutilisation d’anciens mots de passe, etc. L’expérience montre que trop de contraintes amènent les utilisateurs à choisir des mots de passe moins sûrs.

Il est recommandé d’utiliser un jeton d’authentification (carte à puce, token USB, OTP…). Cela fournit, pour un coût modique, à la fois un niveau de sécurité important et des services supplémentaires comme l’accès distant, la signature de la messagerie et des documents, ou la protection de l’Intranet.

Lire l’intégralité de l’article d'origine sur le site The Conversation France.