Les mots de passe, en particulier ceux qui ne sont pas pris en charge par la vérification en deux étapes, constituent votre dernière ligne de défense contre les regards indiscrets. Ce guide vous aidera à comprendre comment ces mots de passe sont exposés et ce que vous pouvez faire pour les garder verrouillés.

Comment les mots de passe sont-ils exposés?

Avant de nous lancer dans la création de mots de passe sécurisés, il est important de comprendre pourquoi vous avez besoin d'un mot de passe super sécurisé. Après tout, vous pourriez penser, "Qui voudrait pirater mes comptes?"

Les mots de passe de votre compte peuvent être compromis de plusieurs manières.

1. Quelqu'un veut vous chercher. Il y a beaucoup de gens qui pourraient vouloir jeter un coup d'oeil dans votre vie personnelle. Si ces personnes vous connaissent bien, elles pourront peut-être deviner votre mot de passe de messagerie et utiliser les options de récupération de mot de passe pour accéder à vos autres comptes.
2. Vous êtes victime d'une attaque par force brute. Qu'un pirate informatique tente d'accéder à un groupe de comptes d'utilisateurs ou simplement au vôtre, les attaques par force brute sont la stratégie à privilégier pour déchiffrer les mots de passe. Ces attaques fonctionnent en vérifiant systématiquement toutes les phrases secrètes possibles jusqu'à trouver la bonne. Si le pirate informatique a déjà une idée des directives utilisées pour créer le mot de passe, ce processus devient plus facile à exécuter.
3. Il y a une violation de données. Tous les quelques mois, il semble qu'une autre grande entreprise signale un piratage informatique mettant en péril les informations des comptes de millions de personnes. Et avec le récent bogue Heartbleed, de nombreux sites Web populaires ont été directement affectés.

Qu'est-ce qui fait un bon mot de passe?

Bien que les atteintes à la sécurité des données échappent à votre contrôle, il est toujours impératif de créer des mots de passe capables de résister aux attaques par force brute et aux ennemis sans merci. Éviter les deux types d’attaques dépend de la complexité de votre mot de passe.

Idéalement, chacun de vos mots de passe doit comporter au moins 16 caractères et contenir une combinaison de chiffres, de symboles, de lettres majuscules, de lettres minuscules et d'espaces. Le mot de passe serait exempt de répétition, de mots du dictionnaire, de noms d'utilisateur, de pronoms, d'identifiants et de tout autre nombre ou séquence de lettres prédéfini.

Tutoriels connexes

• Maîtriser l'art des mots de passe
• Les 10 commandements de mot de passe
• Comment vérifier la force du mot de passe

La communauté, qui connaît bien la sécurité, évalue la force du mot de passe en termes de «bits», où plus les bits sont hauts, plus le mot de passe est puissant. Un mot de passe de 80 bits est plus sécurisé qu'un mot de passe de 30 bits et comporte une combinaison complexe des caractères susmentionnés. En conséquence, un mot de passe 80 bits prendrait des années plus longtemps à résoudre qu'un mot de passe 30 bits.

Les mots de passe idéaux constituent toutefois un inconvénient majeur. Comment pouvons-nous espérer nous souvenir des mots de passe 80 bits (12 caractères) de chacun de nos différents comptes Web? C’est là que beaucoup de gens se tournent vers des gestionnaires de mots de passe comme LastPass, Dashlane et 1Password.

Création de mots de passe sécurisés

Dans son guide pour maîtriser l'art des mots de passe, Dennis O'Reilly suggère de créer un système permettant à la fois de créer des mots de passe complexes et de les mémoriser.

Par exemple, créez une phrase du type "J'espère que les Giants remporteront les World Series en 2016!" Ensuite, prenez les initiales de chaque mot et tous les chiffres et symboles pour créer votre mot de passe. Donc, cette phrase aurait pour résultat: IhtGwwtWSi2016!

L'option suivante consiste à utiliser un générateur de mot de passe, qui se présente sous la forme de programmes hors connexion et de sites Web. De nombreux gestionnaires de mots de passe, comme LastPass ou Dashlane, possèdent également des outils générateurs de mots de passe.

Microsoft propose son propre vérificateur de force en ligne et promet que le formulaire est complètement sécurisé. Les utilisateurs Mac peuvent utiliser l'assistant de mots de passe intégré pour vérifier la sécurité de leurs mots de passe.

Activer la vérification en deux étapes

Chaque fois qu'un service comme Facebook ou Gmail propose une "vérification en deux étapes", utilisez-le. Une fois activé, vous devrez également entrer un code envoyé sous forme de message texte à votre téléphone pour vous connecter. Cela signifie qu'un pirate informatique qui n'est pas en possession de votre téléphone ne pourra pas se connecter, même s'il connaît votre mot de passe.

Vous ne devez le faire qu'une fois pour les ordinateurs et les périphériques "reconnus". Voici comment configurer la vérification en deux étapes pour de nombreux sites Web populaires.

Garder une trace des mots de passe sécurisés

Si vous suivez l'un des commandements les plus importants en matière de mots de passe, vous savez que vous devez absolument disposer d'un mot de passe unique pour chaque service que vous utilisez. La logique est simple: si vous recyclez le même mot de passe (ou une variante de celui-ci), et si un pirate informatique casse un compte, il pourra accéder au reste de vos comptes.

De toute évidence, vous ne pouvez pas vous attendre à mémoriser des dizaines de mots de passe compliqués, d'une longueur de 16 caractères.

Ce guide explore de manière approfondie les différentes options de gestion de vos mots de passe, notamment leur stockage sur un lecteur USB et même leur écriture. Bien que cela dépende de vous en définitive, il présente un argument de poids en faveur de l’utilisation de la méthode des vieilles notes autocollantes.

Utiliser un gestionnaire de mot de passe

Les gestionnaires de mots de passe stockent tous vos mots de passe pour vous et remplissent vos formulaires de connexion afin que vous n'ayez pas à mémoriser. Si vous voulez des mots de passe ultra sécurisés pour vos comptes en ligne (ce qui est recommandé), mais que vous ne voulez pas les mémoriser tous (également recommandé), c'est la voie à suivre.

De nombreuses options sont disponibles, mais LastPass, Dashlane et 1Password sont quelques-uns des favoris de la foule. Les trois gestionnaires de mots de passe fonctionnent essentiellement de la même manière. Il existe un programme de bureau (ou une application mobile) que vous utiliserez pour gérer vos mots de passe. Ensuite, une extension de navigateur vous connecte automatiquement à des comptes lorsque vous naviguez sur le Web.

Si vous n'avez pas encore commencé à en utiliser un, permettez-moi de dire de manière préventive: je vous en prie. Les gestionnaires de mots de passe vous épargnent énormément de maux de tête, et vous vous demanderez comment vous avez pu commander le Web sans vous.

La petite mise en garde est que vous devrez toujours mémoriser une chose: votre mot de passe principal. Cela déverrouille tous vos autres mots de passe. Rendez votre mot de passe principal extrêmement sécurisé en le composant d'au moins 12 caractères pour éviter toute attaque par la force brutale.LastPass et d'autres gestionnaires de mots de passe comme Dashlane et 1Password disposent également d'applications mobiles. Vous pouvez ainsi accéder facilement à vos mots de passe lorsque vous vous connectez à des comptes sur votre téléphone ou votre tablette.

Il convient toutefois de noter que, comme tout logiciel, les gestionnaires de mots de passe sont vulnérables aux violations de la sécurité. En 2011, LastPass a connu une faille de sécurité, mais les utilisateurs dotés d'un mot de passe principal fort n'ont pas été affectés.