Créer des mots de passe robustes

Créer des mots de passe robustes en utilisant des gestionnaires de mots de passe anchor link

La réutilisation de mots de passe est une pratique de sécurité particulièrement mauvaise. Si une personne malveillante met la main sur un mot de passe que vous avez réutilisé pour plusieurs services, elle peut accéder à bon nombre de vos comptes. C’est pourquoi il est si important d’avoir plusieurs mots de passe uniques et robustes.

Heureusement, un gestionnaire de mots de passe peut vous aider. Un gestionnaire de mots de passe est un outil qui crée et enregistre des mots de passe pour vous, afin que vous puissiez utiliser de nombreux mots de passe différents sur des sites et des services différents sans avoir à les mémoriser. Les gestionnaires de mot de passe :

• génèrent des mots de passe robustes qu’un être humain ne pourra probablement pas deviner.
• enregistrent plusieurs mots de passe (et les réponses à des questions de sécurité) en toute sécurité.
• protègent tous vos mots de passe avec un mot de passe maître unique (ou une phrase de passe).

KeePassXC est un exemple de gestionnaire de mots de passe à code source ouvert et gratuit. Vous pouvez conserver cet outil sur votre bureau ou l’intégrer à votre navigateur Web. KeePassXC n’enregistre pas automatiquement les changements que vous effectuez lors de son utilisation, et s’il plantait après que vous ayez ajouté des mots de passe, vous pourriez les perdre pour toujours. Vous pouvez changer ce comportement dans les paramètres.

Vous demandez-vous si un gestionnaire de mots de passe est le bon outil pour vous ? Si un adversaire puissant comme un gouvernement vous cible, il pourrait ne pas l’être.

Rappelez-vous que :

• utiliser un gestionnaire de mot de passe crée un point de défaillance unique.
• les gestionnaires de mots de passe sont une cible évidente pour les adversaires.
• les recherches suggèrent que de nombreux gestionnaires de mots de passe comportent des vulnérabilités.

Si les attaques numériques coûteuses vous inquiètent, envisagez une solution plus rudimentaire. Vous pouvez créer des mots de passe robustes manuellement (voir « Créer des mots de passe robustes en utilisant des dés » ci-dessous), les prendre par écrit et les conserver sur vous en sécurité.

Attendez un peu. Ne sommes-nous pas censés garder les mots de passe dans notre tête et ne jamais les prendre par écrit ? En fait, les prendre par écrit et les conserver quelque part comme dans votre portefeuille est pratique, car vous saurez au moins si vos mots de passe écrits disparaissent ou sont volés.

Créer des mots de passe robustes en utilisant des dés anchor link

Vous devriez mémoriser quelques mots de passe et ils devraient être particulièrement robustes. Cela inclut :

• les mots de passe de votre appareil
• les mots de passe pour le chiffrement (comme le chiffrement du disque entier)
• le mot de passe maître ou la phrase de passe de votre gestionnaire de mots de passe 
• le mot de passe de votre courriel.

Une des nombreuses difficultés qui survient quand les gens choisissent eux-mêmes des mots de passe est que les gens ne sont pas très doués pour faire des choix aléatoires imprévisibles (site en anglais). Une manière efficace de créer un mot de passe robuste et mémorisable est d’utiliser des dés et une liste de mots (pages en anglais) pour choisir des mots au hasard. Ensemble, ces mots forment votre « phrase de passe ». Une « phrase de passe » est un genre de mot de passe, mais plus long, pour une sécurité accrue. Pour le chiffrement de disques et pour votre gestionnaire de mots de passe, nous recommandons de choisir un minimum de six mots.

Pourquoi utiliser un minimum de six mots ? Pourquoi utiliser des dés pour choisir les mots d’une phrase au hasard ? Plus long et plus aléatoire sera le mot de passe, plus difficile il sera de le deviner, pour les ordinateurs et pour les êtres humains. Pour découvrir pourquoi il vous faut un tel long mot de passe difficile à deviner, voici une vidéo explicative (en anglais).

Tentez de créer une phrase de passe en utilisant une des listes de mots de la FFÉ (liste en anglais).

Si votre ordinateur ou votre appareil se trouve compromis et si un programme malveillant est installé, le programme malveillant peut vous regarder taper votre mot de passe maître et pourrait voler le contenu du gestionnaire de mots de passe. Il est donc encore très important de garder votre ordinateur et vos autres appareils exempts de programmes malveillants si vous utilisez un gestionnaire de mots de passe. 

Un mot sur les « questions de sécurité » anchor link

Faites attention aux « questions de sécurité » que les sites Web utilisent pour confirmer votre identité. Des réponses honnêtes à ces questions sont souvent des faits qui peuvent être découverts et qu’un adversaire peut facilement trouver et utiliser pour complètement passer outre votre mot de passe.

Donnez plutôt des réponses fictives que personne d’autre que vous ne connaît. Par exemple, si la question de sécurité demande :

« Quel est le nom de votre premier animal de compagnie ? »

Votre réponse pourrait être un mot de passe aléatoire généré par votre gestionnaire de mots de passe. Vous pouvez enregistrer ces réponses fictives dans votre gestionnaire de mots de passe.

Pensez aux sites où vous avez utilisé des questions de sécurité et envisagez de changer vos réponses. N’utilisez pas les mêmes mots de passe ou les mêmes réponses à des questions de sécurité pour plusieurs comptes sur différents sites Web ou services. 

Synchroniser vos mots de passe sur plusieurs appareils anchor link

De nombreux gestionnaires de mots de passe vous permettent d’accéder à vos mots de passe sur plusieurs appareils grâce à une fonction de synchronisation des mots de passe. Cela signifie que lorsque vous synchronisez votre fichier de mots de passe sur un appareil, il est mis à jour sur tous vos autres appareils.

Les gestionnaires de mots de passe peuvent enregistrer vos mots de passe « dans le nuage », c’est-à-dire chiffrés sur un serveur distant. Quand vous avez besoin de vos mots de passe, ces gestionnaires récupèrent et déchiffrent les mots de passe pour vous automatiquement. Les gestionnaires de mots de passe qui utilisent leurs propres serveurs pour enregistrer vos mots de passe ou pour aider à les synchroniser sont plus pratiques, mais ils sont un peu plus vulnérables aux attaques. Si vos mots de passe sont enregistrés à la fois sur votre ordinateur et dans le nuage, un assaillant n’a pas à prendre le contrôle de votre ordinateur pour trouver vos mots de passe. (Il devra toutefois craquer la phrase de passe de votre gestionnaire de mots de passe.)

Si cela est inquiétant, ne synchronisez pas vos mots de passe dans le nuage et préférez plutôt les enregistrer seulement sur vos appareils.

Conservez une sauvegarde de votre base de données de mots de passe au cas où. Il est utile d’avoir une sauvegarde si vous perdez votre base de données de mots de passe lors d’un plantage ou si votre appareil vous est enlevé. Les gestionnaires de mots de passe offrent habituellement une façon de créer un fichier de sauvegarde, ou vous pouvez utiliser votre programme de sauvegarde habituel.

L’authentification multifacteur et les mots de passe à usage unique anchor link

Des mots de passe robustes et uniques rendent l’accès à vos comptes par des personnes malveillantes beaucoup plus difficile. Pour mieux protéger vos comptes, activez l’authentification à deux facteurs.

Certains services offrent l’authentification à deux facteurs (aussi appelée A2F , authentification multifacteur ou vérification en deux étapes) qui exige que les utilisateurs possèdent deux composantes (un mot de passe et un second facteur) pour accéder à leur compte. Le second facteur peut être un code secret à usage unique ou un nombre généré par un programme exécuté par un appareil mobile.

L’authentification à deux facteurs en utilisant un téléphone mobile peut être effectuée de deux façons :

• votre téléphone peut exécuter une application d’authentification qui génère des codes de sécurité (comme Google Authenticator ou Authy) ou vous pouvez utiliser un dispositif matériel autonome (comme une YubiKey) ; ou
• le service peut vous envoyer un texto contenant un code supplémentaire de sécurité que vous devez taper lorsque vous vous connectez.

Si vous le pouvez, choisissez l’application d’authentification ou le dispositif matériel autonome plutôt que de recevoir des codes par texto. Il est plus facile pour l’assaillant de rediriger ces codes vers son propre téléphone que de passer outre l’application d’authentification.

Certains services, comme Google, vous permettent aussi de générer une liste de mots de passe à usage unique. Ils doivent être imprimés ou pris par écrit et portés sur vous. Chacun de ces mots de passe ne fonctionne qu’une fois, et si l’un d’eux est volé par un programme malveillant alors que vous le saisissez, le voleur ne pourra pas l’utiliser pour quoi que ce soit à l’avenir.

Vous devrez parfois divulguer votre mot de passe anchor link

Les lois sur la divulgation des mots de passe diffèrent d’un endroit à l’autre. Dans certains pays, vous pourrez légalement contester une demande de divulgation de votre mot de passe, alors que dans d’autres, les lois locales permettent au gouvernement d’en demander la divulgation et même de vous emprisonner sur la base du soupçon que vous pourriez connaître un mot de passe ou une clé. Des menaces de dommage corporel peuvent être utilisées pour forcer quelqu’un à donner son mot de passe. Ou vous pourriez vous trouver dans une situation, par exemple en traversant une frontière, où les autorités pourraient vous retarder ou saisir vos appareils si vous refusez de donner un mot de passe ou de déverrouiller votre appareil.

Nous offrons séparément un guide pour traverser la frontière des É.-U. qui donne des conseils sur la façon de gérer les demandes d’accès à vos appareils alors que vous voyagez vers les États-Unis ou en sortez. Dans d’autres situations, vous devriez penser à la façon dont quelqu’un pourrait vous forcer, ou forcer autrui, à divulguer vos mots de passe et quelles pourraient en être les conséquences.