TOOLinux

Le journal du Libre

Journée internationale du mot de passe : les bonnes pratiques

jeudi 5 mai 2022

Ce jeudi 5 mai se déroule la "Journée Internationale du Mot de Passe". Entreprises et particuliers sont encouragés à repenser la sécurisation de leurs mots de passe. Oui mais, comment trouver le meilleur rapport entre sécurité et efficacité ?

C’est quoi un bon mot de passe ?

L’idéal est de trouver le meilleur rapport entre sécurité et efficacité. «  Un mot de passe de plus de 24 caractères incluant des minuscules, majuscules, chiffres et caractères spéciaux, qui est changé fréquemment, mais sans régularité, peut être considéré comme sûr. Évidemment, de telles caractéristiques rendent les mots de passe impossibles à mémoriser et inaccessibles à de nombreux utilisateurs qui ne veulent pas passer des heures à gérer cette complexité  », estime Regis Alix, Senior Principal Solutions Architect de Quest Software.

Une autre erreur est fréquemment commise : la réutilisation. « Pensant bien faire, un utilisateur peut être tenté de créer un mot de passe moyennement complexe et de l’utiliser sur un grand nombre de ressources, sites, applications, etc. Bien entendu, si une fuite intervient sur une des ressources, un attaquant pourrait obtenir le mot de passe correspondant et tenter de l’utiliser ailleurs (password spraying : tentative de connexion en utilisant des mots de passe simples, contextuels (Printemps2022 !) ou encore issus listes d’identifiants piratés au préalable en vente sur le dark web). Plus le mot de passe est réutilisé, plus les chances qu’à un attaquant de parvenir à accéder à une nouvelle ressource sont grandes », poursuit Regis Alix.

Une authentification multifacteurs (MFA)

« Des mots de passe moins sécurisés, mais plus faciles à retenir associés à une authentification multifacteurs (MFA) sont acceptables pour certains environnements. La mise en place d’une architecture Zero Trust peut venir compléter ce principe de façon à compartimenter au maximum les autorisations au cas où un compte serait corrompu », conclut l’expert de Quest Software.

Un gestionnaire de mot de passe

L’éditeur Sophos abonde dans le même sens et estime qu’il est aujourd’hui « chaudement recommandé d’utiliser un gestionnaire de mots de passe ». Ces gestionnaires - dont l’un des plus connus est l’open source Bitwarden, utilisé notamment par Cozy Cloud - vont créer automatiquement des mots de passe complexes et d’apparence très saugrenue, avec la possibilité de conserver ces mots de passe d’un appareil à l’autre via la synchronisation sécurisée.

« Les mots de passe demeureront sans doute un élément clé de notre activité numérique au cours des prochaines années. Apprendre à choisir un bon mot de passe et éviter de se faire piéger par des messages d’hameçonnage et de faux site web vaut donc certainement la peine », nous rappelle le porte-parole de Sophos.