Le recyclage est un must, mais pourquoi réutiliser votre mot de passe ?

World Password Day, célébré le premier jeudi de chaque mois de mai, est un rappel opportun du fait que nos mots de passe sont la clé d’une mine de renseignements personnels à notre sujet.

« 123456 »: Aujourd’hui, c’est « Change Your Password Day ». Il serait bon d’imaginer que si les différents prétendants à « l’inventeur du mot de passe » savaient à quel point sa variété informatique finirait par se poser des siècles plus tard, ils ne s’en seraient jamais souciés. Ou peut-être que l’inventeur, peut-être un Gileadite ou un soldat romain, ne se souciait pas du compromis entre la sécurité et la commodité qui nous affligerait à l’ère d’Internet. De toute façon, l’héritage du mot d’ordre militaire est là pour rester.

À l’écart, la routine fonctionne comme ceci : vous vous inscrivez avec votre nom d’utilisateur et mot de passe que vous seul connaissez. Pour vous reconnecter, il vous suffit de rappeler et d’entrer vos identifiants de connexion. Bien sûr, vous saviez que la sécurité est importante, alors vous avez pris quelques précautions : vous avez configuré le compte avec un mot de passe facile à mémoriser.

Et c’est là que réside le problème. « Facile à retenir » correspond le plus souvent à court et simple, ainsi que facile à deviner. Cela est particulièrement vrai pour un logiciel de cracking de mot de passe faisant le business des personnes qui a l’intention de se faufiler brutalement dans votre compte. Un tel logiciel peut ouvrir la mine de trésors tout aussi magiquement que l’expression « Sésame ouvre toi ! ».

D’un autre côté, un mot de passe qui est long, complexe et aléatoire est plus difficile à déchiffrer, mais aussi plus difficile à retenir. Et là réside le problème. Devoir se rappeler de nombreux mots de passe impossibles à deviner et se souvenir du service en ligne auquel chacun appartient est trop difficile, sauf si vous avez la mémoire d’un éléphant.

En effet, les mots de passe peuvent aider à la fois en termes de sécurité et de commodité (ce dernier étant simplement un proxy pour la mémorabilité). Cependant, est-il raisonnable de s’attendre à ce que chaque utilisateur se souvienne d’une phrase secrète ou d’un mot de passe distinct pour chaque compte en ligne ?

La plus part des utilisateurs lésinent sur leur sécurité en utilisant un mot de passe simple jusqu’à ce que leurs comptes soient piratés et que leurs identités en ligne soient volées ou pire, leur identité et leur argent soient volés. Après tout, c’est la nature humaine de ne pas tenir compte du risque avant que la catastrophe ne se produise.

En effet, il semble que vous ne pouvez pas tout avoir, c’est-à-dire de nombreux comptes en ligne, chacun d’entre eux ayant un mot de passe simple ou un mot de passe extrêmement fort, unique et mémorable. Il n’est pas étonnant que notre patience s’use et que nous prenions des raccourcis mentaux. Entrez une autre stratégie d’adaptation qui graisse les roues de piratage, la réutilisation du mot de passe.

Tout en étant antithétique à la sécurité de l’utilisateur, vous pouvez parier votre dernier euro que le recyclage de mot de passe est invariablement là-haut avec toutes les autres infractions les plus fréquentes et malavisées commises par les utilisateurs dans le domaine de l’authentification. Les mots de passe créés avec une autre stratégie souvent utilisée, qui consiste à modifier légèrement le mot de passe pour chaque compte (« réutilisation partielle »), ont tendance à être prévisibles et donc tout aussi faciles à déchiffrer.

Pourquoi la réutilisation de mot de passe est-elle si risquée ?

Le voisinage qu’est Internet peut être plutôt moins que le voisin à bien des égards, doublement quand les piratages de données sont une réalité de notre âge. Les piratages exposent souvent des informations de connexion qui, si vous les utilisez pour accéder à plusieurs comptes, peuvent être exploitées avec succès pour des attaques connues sous le nom de bourrage des informations d’identification. Cela devient particulièrement troublant lorsqu’un attaquant utilise des informations d’identification volées ou divulguées qui appartiennent à un compte pour entrer dans un autre compte, souvent de valeur plus élevée. Grâce aux vidages fréquents des mots de passe, les combinaisons utilisateur / mot de passe sont faciles à trouver et souvent à peu de frais.

Si un piratage survient et que les informations d’identification ne sont pas stockées avec des fonctions avancées de hachage salé (pensez par exemple à un piratage contre Adobe en 2013), un mot de passe résistant ou même une phrase secrète peut ne pas suffire à contrecarrer une prise de contrôle attaque si vous utilisez ce mot de passe pour accéder à plusieurs services en ligne.
Prise en compte d’un autre facteur

De nombreuses tentatives de reprise de compte peuvent être annulées avec l’authentification à deux facteurs (2FA). Un facteur d’authentification supplémentaire fournit une couche supplémentaire de défense au-delà du simple mot de passe / mot de passe / phrase secrète et, en quelque sorte, corrige certaines des faiblesses humaines inhérentes qui sont couramment exposées par nos mauvais choix de mot de passe.

Bien entendu, il existe d’autres formes d’authentification qui peuvent alléger le poids de nos épaules (et de notre cerveau), que ce soit la biométrie (reconnaissance d’empreintes digitales ou d’iris) ou des algorithmes pour mesurer les caractéristiques comportementales (par exemple, rythme de frappe). Leur disponibilité et par extension, leur adoption sont loin d’être très répandues.

Y a-t-il un autre moyen, alors ?

Eh bien, oui, même si cela va à l’encontre des nombreux conseils dispensés par les agents de sécurité. En 2014, Microsoft Research a publié un article qui suggérait une approche différente. En considérant les différents comptes en ligne comme un continuum, le document affirme qu’un certain degré de réutilisation des mots de passe est inévitable, mais qu’il devrait être réservé aux services à faible risque et à faible valeur. Autrement dit, le raisonnement est que tous les comptes ne sont pas nés égaux et devraient, par conséquent, être divisés en groupes selon la valeur. David Harley, Senior Research Fellow d’ESET, a insisté sur cette approche, tout en faisant allusion à ses pièges potentiels, dans cet article perspicace.

Sur une note différente, les chances sont que vous n’éliminerez pas vos comptes en ligne jusqu’au nombre que vous pouvez facilement gérer avec des mots de passe uniques ou forts ou des mots de passe. Vous ne serez probablement pas prêt à vous engager sérieusement dans la mnémotechnique ou à prétendre à un concours de mémoire.

Dans cet esprit, la meilleure chose à faire est, sans doute, de mettre tous vos mots de passe (forts et uniques, bien sûr) dans une sorte de coffre-fort numérique. Ce coffre-fort est un logiciel de gestion de mot de passe dédié qui, idéalement, crypte et stocke tous vos mots de passe localement et hors ligne.

En effet, les gestionnaires de mots de passe sont à la mode dans la sécurité des mots de passe et, intuitivement, il est difficile de nier leurs mérites. En outre, des recherches récentes ont montré que les gestionnaires de mots de passe bénéficient à la fois de la force du mot de passe et de l’unicité, bien que cette stratégie ne fonctionne apparemment que si les mots de passe sont générés par le logiciel.

De toute façon, en supposant que vous faites confiance à la mise en œuvre de votre gestionnaire de mot de passe et vous ne l’utiliseriez pas si vous n’avez pas, non ? Alors sa sécurité est largement déterminée par la robustesse de votre mot de passe principal. C’est doublement pertinent si vous considérez que vous mettez effectivement tous vos oeufs, y compris certains faits d’or, dans un seul panier. Ce panier pourrait, en fait, devenir un point d’échec unique.

Pour être sûr, les mots de passe sont défectueux. Sauf que, dans notre ère Internet, il n’y a pas d’autre méthode omniprésente d’authentification des utilisateurs. Ayant prévu leur disparition imminente en 2004, les mots de passe pourraient bien avoir retardé leur accueil. Cependant, il semble qu’il faudra encore un certain temps avant qu’ils ne suivent le chemin des dinosaures.

Tout compte fait, certaines choses dans la sécurité informatique sont hors du contrôle d’un utilisateur régulier, mais pourquoi ne pas aller et réparer ceux qui sont ? D’une certaine manière, les pratiques de mot de passe persistant de nombreuses autres personnes vous donnent une chance d’être en avance sur le peloton.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage