Skip to main content
Surveillance
Self-Defense

< Les bases

Créer des mots de passe forts

Dernière révision : August 18, 2023

This page was translated from English. The English version may be more up-to-date.

La réutilisation des mots de passe est une pratique de sécurité dangereuse. Si quelqu'un obtient votre mot de passe , que ce soit à la suite d'une violation de données ou ailleurs, il peut souvent accéder à n'importe quel autre compte pour lequel vous avez utilisé le même mot de passe. La solution consiste à utiliser des mots de passe uniques partout et à prendre des mesures supplémentaires pour sécuriser vos comptes lorsque cela est possible.

Création de mots de passe forts à l'aide de gestionnaires de mots de passe

Un gestionnaire de mots de passe est un outil qui crée et stocke des mots de passe uniques pour vous, afin que vous puissiez utiliser de nombreux mots de passe différents sur différents sites et services sans avoir à les mémoriser. Gestionnaires de mots de passe:

  • Générez des mots de passe forts qu'il est peu probable qu'un être humain puisse deviner.
  • Stockez plusieurs mots de passe (et réponses aux questions de sécurité) en toute sécurité.
  • Protégez vos mots de passe avec un seul mot de passe principal (ou phrase secrète).
  • Synchronisez les mots de passe entre vos appareils afin de pouvoir accéder à ces mots de passe complexes depuis n'importe où.

Choisir le bon gestionnaire de mots de passe peut nécessiter quelques recherches, mais vous pouvez suivre notre guide pour faciliter le processus.

Les gestionnaires de mots de passe ne conviennent peut-être pas à tout le monde, mais un bon gestionnaire de mots de passe fait de son mieux pour atténuer les problèmes de sécurité potentiels. Il est quand même important de rappeler:

  • L'utilisation d'un gestionnaire de mots de passe crée un point de défaillance unique.
  • Les gestionnaires de mots de passe sont une cible évidente pour les adversaires.

C'est pourquoi vous devez disposer d'un mot de passe principal fort et activer l'authentification à deux facteurs lorsque cela est possible. Mais si un adversaire puissant comme un gouvernement vous cible, il est important de choisir soigneusement le bon gestionnaire de mots de passe et de le configurer pour une sécurité maximale.

Pour certaines personnes, une solution low-tech pourrait être meilleure qu’un gestionnaire de mots de passe. Cela dépend de votre modèle de menace , mais il est préférable d'avoir des mots de passe différents pour chaque site, écrits sur une feuille de papier et conservés dans un endroit sécurisé, plutôt que de réutiliser un seul mot de passe sur chaque site.

Créer des mots de passe forts à l'aide de dés

Vous devez mémoriser quelques mots de passe qui doivent être particulièrement forts. Ceux-ci inclus:

  • Mots de passe pour votre appareil
  • Mots de passe pour le chiffrement (comme le chiffrement complet du disque)
  • Le mot de passe principal, ou « phrase secrète », de votre gestionnaire de mots de passe
  • Votre mot de passe de messagerie

L’une des nombreuses difficultés rencontrées lorsque les gens choisissent eux-mêmes leurs mots de passe est qu’ils ne sont pas très doués pour faire des choix aléatoires et imprévisibles. Un moyen efficace de créer un mot de passe fort et mémorable consiste à utiliser des dés et une liste de mots pour choisir des mots au hasard. Ensemble, ces mots forment votre « phrase secrète ». Une « phrase secrète » est un type de mot de passe plus long pour plus de sécurité. Pour le chiffrement du disque et votre gestionnaire de mots de passe, nous vous recommandons de sélectionner un minimum de six mots.

Pourquoi utiliser un minimum de six mots ? Pourquoi utiliser des dés pour choisir au hasard des mots dans une phrase ? Plus le mot de passe est long et aléatoire, plus il est difficile à deviner, tant pour les ordinateurs que pour les humains. Pour découvrir pourquoi vous avez besoin d’un mot de passe aussi long et difficile à deviner, voici une vidéo explicative.

Les gestionnaires de mots de passe créent des phrases secrètes solides pour vous, mais si vous souhaitez essayer une version analogique pour savoir comment cela fonctionne, vous pouvez utiliser l'une des listes de mots standard d'EFF ou une liste de mots inspirée du fandom.

Si votre ordinateur ou appareil est compromis et qu'un logiciel espion est installé, celui-ci peut vous surveiller en train de saisir votre mot de passe principal et voler le contenu du gestionnaire de mots de passe. Il est donc toujours très important de garder votre ordinateur et vos autres appareils exempts de logiciels malveillants lorsque vous utilisez un gestionnaire de mots de passe.

Un mot sur les « questions de sécurité »

Soyez prudent avec les « questions de sécurité » que certains sites Web utilisent pour confirmer votre identité. Les réponses honnêtes à ces questions sont souvent des faits accessibles au public qu'un adversaire déterminé peut facilement trouver et utiliser pour contourner complètement votre mot de passe.

Donnez plutôt des réponses fictives que personne d’autre que vous ne connaît. Par exemple, si la question de sécurité demande :

« Quel était le nom de votre premier animal de compagnie ? »

Votre réponse pourrait être un mot de passe aléatoire généré par votre gestionnaire de mots de passe. Vous pouvez stocker ces réponses fictives dans votre gestionnaire de mots de passe.

Pensez aux sites sur lesquels vous avez utilisé des questions de sécurité et envisagez de modifier vos réponses. N'utilisez pas les mêmes mots de passe ou réponses aux questions de sécurité pour plusieurs comptes sur différents sites Web ou services.

Authentification multifacteur et mots de passe à usage unique

Des mots de passe forts et uniques renforcent considérablement la sécurité de votre compte. Pour protéger davantage vos comptes, activez l'authentification à deux facteurs lorsque vous le pouvez.

Certains services proposent une authentification à deux facteurs (également appelée 2FA, authentification multifacteur ou vérification en deux étapes), qui nécessite que vous possédiez deux éléments (un mot de passe et un deuxième facteur) pour accéder à votre compte. Le deuxième facteur pourrait être un code secret unique ou un numéro généré par une application exécutée sur un appareil mobile.

L'authentification à deux facteurs à l'aide d'un téléphone mobile peut être effectuée de deux manières :

  • Votre téléphone peut exécuter une application d'authentification qui génère des codes de sécurité (la plupart des gestionnaires de mots de passe peuvent le faire, ou vous pouvez utiliser une application autonome telle qu'Authy), ou vous pouvez utiliser un périphérique matériel autonome (tel qu'une YubiKey).
  • Le service peut vous envoyer un SMS ou un e-mail avec un code de sécurité supplémentaire que vous devez saisir à chaque fois que vous vous connectez.

Si vous avez le choix, choisissez l'application d'authentification ou le périphérique matériel autonome au lieu de recevoir les codes par SMS. Il est plus facile pour un attaquant de rediriger ces codes vers son propre téléphone que de contourner l’authentificateur.

Certains services, comme Google, génèrent également une liste de mots de passe à usage unique, parfois appelés mots de passe à usage unique. Ceux-ci sont destinés à être imprimés ou écrits sur papier et à emporter avec vous. Chacun de ces mots de passe ne fonctionne qu'une seule fois, donc si un logiciel espion vous vole un mot de passe lorsque vous le saisissez, le voleur ne pourra plus l'utiliser à l'avenir.

Les sauvegardes des codes de sécurité sont plus utiles que les mots de passe à usage unique. De nombreuses applications d'authentification proposent des sauvegardes facultatives, où vos codes de sécurité sont stockés sur un serveur tiers. Cela fait que si vous perdez votre téléphone, vous pouvez restaurer la sauvegarde et accéder facilement à vos comptes sans trouver ces mots de passe à usage unique.

Si vous n'avez pas de sauvegarde et que vous n'avez pas enregistré les mots de passe à usage unique, vous risquez de perdre définitivement l'accès à vos comptes. Comme pour les gestionnaires de mots de passe, cela implique un compromis en matière de sécurité et certaines personnes peuvent ne pas vouloir sauvegarder les jetons. Consultez la documentation de l'application pour vous assurer que les sauvegardes sont cryptées de bout en bout. Si on ne vous demande jamais de créer un mot de passe pour la sauvegarde, il y a de fortes chances que ce ne soit pas le cas.

Parfois, vous devrez peut-être divulguer votre mot de passe

Les lois concernant la révélation des mots de passe diffèrent d'un endroit à l'autre. Dans certaines juridictions, vous pourrez peut-être contester légalement une demande de mot de passe, tandis que dans d'autres, les lois locales autorisent le gouvernement à exiger la divulgation, et même à vous emprisonner si vous soupçonnez que vous connaissez un mot de passe ou une clé . Les menaces de violence physique peuvent être utilisées pour forcer quelqu'un à divulguer son mot de passe. Ou vous pourriez vous retrouver dans une situation, par exemple en traversant une frontière, où les autorités peuvent vous retarder ou saisir vos appareils si vous refusez de donner un mot de passe ou de déverrouiller votre appareil.

Nous avons un guide distinct sur le franchissement de la frontière américaine qui donne des conseils sur la façon de traiter les demandes d'accès aux appareils lors d'un voyage à destination ou en provenance des États-Unis. Dans d’autres situations, vous devriez réfléchir à la manière dont quelqu’un pourrait vous forcer, vous ou d’autres personnes, à renoncer à vos mots de passe, et quelles en seraient les conséquences