Créer et maintenir des mots de passe forts
Mis à jour28 March 2024
Table des matières
...Chargement de la table des matières...Les mots de passe sont des outils importants pour protéger vos données et votre identité. Malheureusement, les attaquants le savent, et ils peuvent utiliser beaucoup d'astuces pour comprendre vos mots de passe.
Mais vous pouvez vous en prémunir en appliquant quelques outils et tactiques importants.
Protéger vos mots de passe
- Utilisez toujours un appareil sécurisé, mis à jour, protégé et fiable pour accéder à vos comptes et gérer vos informations sensibles, y compris vos mots de passe. Lisez le guide sur les Téléphones et ordinateurs pour savoir comment sécuriser votre appareil.
- Utilisez un gestionnaire de mots de passe. Aucun cerveau humain n'est assez puissant pour élaborer et mémoriser des mots de passe suffisamment longs, aléatoires et uniques pour assurer la sécurité de tous ses appareils et comptes. Un gestionnaire de mots de passe génère et stocke ces mots de passe pour vous, en les protégeant par chiffrement. Pour en savoir plus sur les gestionnaires de mots de passe que vous pouvez utiliser et sur la manière de les utiliser, consultez notre guide sur les gestionnaires de mots de passe.
- Utilisez l'authentification à deux facteurs (2FA ou MFA). L'authentification à deux facteurs (2FA), également appelée authentification multifacteur (MFA), ajoute un deuxième facteur d'authentification à votre système de connexion. En utilisant l'authentification à deux facteurs, vous pouvez vous assurer que même si quelqu'un parvient à deviner votre mot de passe, il ne peut pas se connecter, car il a toujours besoin d'un deuxième facteur qui est plus difficile à obtenir. Pour apprendre à utiliser le 2FA de la manière la plus sûre, lisez notre guide sur l'authentification à deux facteurs.
Lisez les sections suivantes pour en savoir plus sur la manière de protéger vos mots de passe et vos comptes contre les attaques les plus courantes.
Créez un mot de passe plus fort
En résumé, nous vous suggérons de créer tous les mots de passe dont vous avez besoin avec un gestionnaire de mots de passe hors ligne et de n'avoir que quelques phrases de passe plus longues dont vous pouvez vous souvenir pour déverrouiller l'appareil sur lequel vous avez installé votre gestionnaire de mots de passe et la base de données du gestionnaire de mots de passe.
Si vous préférez créer tous vos mots de passe manuellement, voici le minimum que vous devez faire pour vous assurer que votre mot de passe est suffisamment fort :
- Créez un mot de passe long - il devrait avoir 12 caractères au minimum. 14 est encore mieux.
- Utilisez des lettres, des chiffres et des symboles.
- Veuillez noter que les stratégies suivantes NE PERMETTENT PAS à elles
seules de sécuriser vos mots de passe. Toutefois, vous pouvez les ajouter
à un mot de passe fort pour le rendre plus complexe.
- Remplacer les lettres par des symboles ou des chiffres similaires (par exemple, «a» par «@» ou «e» par «3»). Il s'agit d'une vieille stratégie très connue des personnes qui savent comment craquer un mot de passe.
- Ajouter des points d'exclamation, des chiffres ou d'autres signes de ponctuation à la fin du mot de passe - il s'agit également d'une stratégie connue qui peut être devinée par quelqu'un qui essaierait de déchiffrer votre mot de passe.
- Commencer chaque mot par des lettres majuscules - il s'agit également d'une stratégie connue qui sera utilisée lors des tentatives de piratage de vos mots de passe.
N'oubliez pas non plus les recommandations suivantes :
- N'utilisez pas un seul mot figurant dans un dictionnaire.
- N'utilisez pas d'expressions courantes, telles que des citations célèbres ou des phrases tirées de paroles de chansons ou de poèmes.
- N'utilisez pas de mots ou de chiffres liés à vous ou aux personnes et
organisations qui vous entourent, par exemple :
- les noms de personnes, d'animaux domestiques ou d'organisations,
- les dates de naissance, les anniversaires importants ou les jours fériés,
- Les numéros de téléphone ou les adresses,
- ou toute autre chose qu'une personne pourrait découvrir en faisant des recherches sur vous et les personnes qui vous entourent.
- N'oubliez pas qu'il n'est pas nécessaire de changer vos mots de passe fréquemment. Pour savoir quand changer de mot de passe, lisez Quand changer de mot de passe.
Retenez quelques mots de passe sécurisés
Même en utilisant un gestionnaire de mots de passe, vous devrez mémoriser quelques mots de passe sûrs pour déverrouiller l'appareil sur lequel vous avez installé votre gestionnaire de mots de passe et pour déverrouiller la base de données du gestionnaire de mots de passe dans laquelle vous conservez vos mots de passe forts et uniques.
- Utilisez la méthode diceware (méthode du
lancer de dés) pour générer des mots de passe forts dont vous vous
souviendrez :
- Procurez-vous une liste de mots numérotés ainsi que cinq dés à jouer.
- Lancez les cinq dés pour obtenir un nombre à cinq chiffres (par exemple, 6,2,5,1,1).
- Utilisez le mot dans la liste avec le numéro correspondant.
- Répétez cette opération six fois. Utilisez les six mots obtenus comme
«phrase de passe».
- Ne réutilisez pas ce mot de passe ailleurs.
- Ensuite, créez une image mentale en utilisant les mots de votre phrase de passe, dans l'ordre. Cela vous aidera à vous souvenir de la phrase.
- Exercez-vous à saisir ces mots de passe régulièrement, quotidiennement au début, puis au moins une fois par semaine. La répétition vous aidera à les mémoriser.
- Si vous n'avez pas de dés et que vous devez générer un mot de passe dont vous vous souviendrez, vous pouvez le générer avec KeePassXC.
- Sinon, vous pouvez aussi utiliser la «méthode du livre» :
- Prenez un livre au hasard, de préférence sans rapport avec votre activité principale.
- Ouvrez le livre à une page au hasard.
- En gardant les yeux fermés, posez votre doigt sur la page ouverte pour choisir un mot au hasard.
- Répétez ce processus 6 fois pour obtenir une phrase de passe composée
de 6 mots aléatoires.
- Veuillez noter que cette méthode est moins sûre, surtout si vous utilisez un livre qui se trouve dans votre bureau, car elle crée des phrases de passe moins aléatoires. Mais si vous ne voulez pas installer de logiciel et que vous utilisez un livre ou un magazine au hasard, cette méthode peut être une bonne alternative pour générer une phrase de passe longue dont vous pouvez vous souvenir.
Découvrez pourquoi nous recommandons ceci
Vous devrez mémoriser quelques mots de passe, notamment le mot de passe pour vous connecter à l'appareil sur lequel vous avez installé votre gestionnaire de mots de passe et le mot de passe principal de votre gestionnaire de mots de passe. La méthode diceware peut vous aider à créer des phrases de passe faciles à mémoriser mais extrêmement difficiles à deviner, même pour un attaquant qui dispose de beaucoup de temps et de compétences et qui sait comment utiliser un logiciel de «craquage de mots de passe».
Si vous devez partager des mots de passe
- Évitez autant que possible de partager des mots de passe :
- Si vous devez partager un mot de passe avec un ami, un membre de votre famille ou un collègue, changez-le pour quelque chose de temporaire avant de partager ce mot de passe. Changez-le pour quelque chose de sécurisé à nouveau quand ils ont fini de l’utiliser.
- Envisagez de créer des comptes distincts pour chaque personne qui a besoin d'accéder à un service ; de nombreux services le permettent. Vous pouvez limiter les actions que ces comptes sont autorisés à entreprendre et ce qu'ils peuvent voir.
- Si vous devez partager l'accès à votre appareil, envisagez de créer un
compte distinct pour cet appareil. Consultez les guides de sécurité de
base pour
Android,
Linux,
macOS,
et
Windows
pour savoir comment procéder.
- Sur les appareils iOS, cette option n'est pas disponible, sauf si vous utilisez un iPad. Voir Aperçu du partage d'iPad pour savoir comment cela fonctionne.
- Si vous devez vraiment partager vos mots de passe avec d'autres personnes, vous pouvez configurer votre KeePassXC de manière à ce que vous puissiez l'utiliser de manière collaborative. Consultez la documentation de KeePassXC pour savoir comment procéder.
Découvrez pourquoi nous recommandons ceci
Chaque fois que vous partagez un mot de passe, c'est un peu comme si vous faisiez une copie supplémentaire de la clé de votre maison et que vous la donniez : il y a un risque supplémentaire que quelqu'un perde cette clé. En fait, c'est encore plus risqué, car votre «maison» peut alors être facilement accessible par des appareils éloignés sans que vous vous en rendiez compte. Réduisez cette «surface d'attaque» en évitant autant que possible de partager vos mots de passe.
Vérifiez si vos mots de passe ont été compromis
- Effectuez une recherche sur le site web ';--have i been
pwned? pour voir si vos comptes sont
signalés comme étant compromis.
- Modifiez immédiatement les mots de passe de vos comptes qui y figurent, en suivant les instructions relatives à l'utilisation d'un gestionnaire de mots de passe.
- Même si aucun de vos comptes n'apparaît ici, vous devriez quand même suivre les instructions de ce guide, car de nombreuses fuites de données de comptes ne sont pas signalées.
Découvrez pourquoi nous recommandons ceci
Les attaquants recherchent des mots de passe qui ont déjà fait l'objet d'une fuite et qui sont disponibles en ligne. Ils essaient les mots de passe de vos comptes jusqu'à ce qu'ils trouvent celui qui leur permet d'entrer. La réutilisation d'un même mot de passe est donc particulièrement risquée. Jetez un coup d'œil à ';--have i been pwned ? pour voir si vos mots de passe figurent sur l'une des listes utilisées par les pirates.
Soyez attentifs à la manière dont les pirates peuvent deviner vos mots de passe
Voici les moyens les plus courants utilisés par les pirates pour trouver vos mots de passe :
- Ils peuvent deviner vos mots de passe :
- En utilisant vos informations personnelles telles que des dates ou des noms importants, ou encore des citations célèbres, des chansons ou des auteurs que vous aimez,
- En utilisant un dictionnaire,
- En modifiant légèrement les mots de passe que vous avez déjà utilisés,
- En utilisant un logiciel pour essayer toutes les combinaisons possibles afin de déverrouiller votre compte.
- Ils peuvent chercher :
- Où vos mots de passe sont notés (comme des notes autour de votre bureau),
- Ce que vous saisissez lorsque vous entrez votre mot de passe,
- Les mots de passe déjà découverts et disponibles en ligne.
- Ils peuvent vous piéger pour vous pousser à :
- Installer un logiciel malveillant pour enregistrer vos mots de passe,
- Vous obliger à saisir votre mot de passe dans une fausse page de connexion par le biais de hameçonnage (phishing),
- Fournir vos mots de passe ou d’autres renseignements se faisant passer pour un soutien ou quelqu’un que vous connaissez (aussi appelé ingénierie sociale).
- Pour en savoir plus sur la manière de reconnaître les tentatives de pression visant à vous faire agir précipitamment ou à faire appel à vos émotions, consultez la rubrique dans notre guide sur les logiciels malveillants.
- Ils peuvent exploiter vos vulnérabilités :
- En piratant le site Web où ils veulent se connecter avec votre mot de passe,
- En volant votre mot de passe s'il est stocké dans votre navigateur,
- En volant votre mot de passe dans les applications que vous utilisez sur votre téléphone.
Ne donnez pas votre mot de passe lorsque quelqu’un vous envoie des courriels, des messages ou vous appelle
- Rendez-vous sur l’application ou le site du service qui vous aurait envoyé
le message pour vérifier la demande.
- Consultez nos guides Protégez-vous et protégez vos données lorsque vous utilisez les réseaux sociaux pour trouver les récapitulatifs des alertes que différents services vous ont peut-être envoyés.
- S’il s'avère que c’est une personne ou un bureau que vous connaissez qui
vous a envoyé le message, contactez là par un autre canal pour vérifier si
elle a fait la demande.
- Par exemple, si le message était un courriel, appelez-les.
- Ne cliquez pas sur les liens dans le courriel et n’envoyez pas de réponse.
- Soyez vigilent quand un message essaie de vous effrayer, d'attirer votre curiosité, de vous faire sentir que vous allez manquer une occasion, ou autrement dit, vous faire agir précipitamment et sans réfléchir. Faites une pause, restez calme et trouvez d’autres moyens de vérifier la véracité de tels messages.
Découvrez pourquoi nous recommandons ceci
Les agresseurs se font souvent passer pour quelqu’un qu’ils ne sont pas, comme le représentant d'une banque ou d'une assistance technique, afin de nous convaincre de leur donner des renseignements sensibles. Les attaquants jouent aussi souvent sur nos émotions et la nature humaine pour nous faire leur donner des mots de passe alors que nous ne le devons pas.
Si vous recevez un appel, un courriel ou un message vous demandant votre mot de passe ou d'autres informations sensibles, ou si un courriel ou un SMS contient un lien et vous demande de cliquer dessus pour fournir ces informations, il est très probable que quelqu'un essaie de vous piéger.
Pour en savoir plus sur la manière de reconnaître les tentatives de pression visant à vous faire agir précipitamment ou à faire appel à vos émotions, consultez la rubrique dans notre guide sur les logiciels malveillants.
Pour en savoir plus sur le hameçonnage, consultez le Guide pratique : éviter les attaques par hameçonnage.
Quand changer votre mot de passe
Modifiez votre mot de passe immédiatement lorsque :
- Il semble que votre compte, vos appareils ou vos collègues et les personnes qui vous entourent aient été victimes d'une atteinte à la protection des données.
- Les services que vous utilisez vous avertissent de manière crédible qu'il
y a eu une tentative de connexion à partir d'un appareil ou d'un lieu non
autorisé.
- Recherchez les bulletins d'informations au sujet des fuites de données/piratages.
- Si vous recevez un courriel ou une alerte, vérifiez sur le propre site web du fournisseur de services que celui-ci a bien envoyé l'alerte.
- Vous avez saisi votre mot de passe sur un appareil non fiable, partagé ou public (un code malveillant peut y être installé).
- Vous craignez que quelqu'un vous ait vu saisir votre mot de passe.
Minimiser les dommages en avertissant les autres personnes qui peuvent également avoir été touchées.
Consultez notre guide sur les réseaux sociaux et les guides sur la sécurité de base pour Android, iOS, Linux, macOS, et Windows pour obtenir des instructions sur la façon de modifier les mots de passe de votre appareil.
Découvrez pourquoi nous recommandons ceci
Des recherches montrent que changer votre mot de passe à maintes reprises n’améliore pas nécessairement la sécurité. Lorsque les gens doivent souvent changer de mot de passe, ils ont tendance à ne faire que de petites modifications au mot de passe, au lieu de proposer un tout nouveau mot de passe. Pour en savoir plus sur ces recherches lire la publication de Bruce Schneier sur pourquoi changer fréquemment de mot de passe est une mauvaise idée en matière de sécurité.
Il est plus important de changer vos mots de passe en cas d’atteinte à la protection des données. Parce que nous ne savons pas toujours quand les données ont été divulguées, nous recommandons de changer les mots de passe tous les quelques mois ou chaque année, ou immédiatement quand il y a une raison de croire qu’il peut être compromis.
Faites attention à l'endroit où vous vous trouvez et à qui peut vous voir lorsque vous saisissez un mot de passe
- Si vous êtes dans un lieu public et que vous saisissez votre mot de passe, n'oubliez pas que vous pouvez être vu ou enregistré dans votre dos.
- Vérifiez si quelqu’un regarde votre clavier ou votre téléphone pendant que vous saisissez vos mots de passe.
- Utilisez un écran de protection de la confidentialité afin qu’il soit plus difficile de voir ce que vous saississez.
Découvrez pourquoi nous recommandons ceci
Les adversaires peuvent vous surveiller et vous enregistrer lorsque vous saisissez votre mot de passe. Le téléphone portable d’une activiste a été confisqué en vertu de fausse accusation de sédition. Son appareil mobile était verrouillé par un mot de passe qu’elle refusait de fournir, mais l'accusation a réussi à déverrouiller son téléphone et à accéder à ses données en étudiant ses routines quotidiennes. Ils ont remarqué une caméra de vidéosurveillance dans l’ascenseur de sa résidence et ont pu obtenir une vidéo d'elle en train de saisir ses mots de passe.
Évitez le déverrouillage par empreintes digitales ou reconnaissance faciale (biométrie)
- Si votre appareil est configuré pour se déverrouiller à l’aide de votre visage ou de votre empreinte digitale, modifiez vos paramètres pour utiliser plutôt le déverrouillage par mot de passe.
- Voir les guides de sécurité de base pour Android, iOS, Linux, macOS, et Windows pour savoir comment procéder.
Découvrez pourquoi nous recommandons ceci
La biométrie peut vous permettre d'accéder plus rapidement à vos appareils, en utilisant vos caractéristiques personnelles comme les empreintes digitales ou le visage. Cependant, c'est généralement un moyen moins sûr de verrouiller votre appareil et votre compte. Contrairement à un mot de passe, vous ne pouvez pas changer vos empreintes digitales quand vous le souhaitez. De nombreuses personnes doivent laisser des renseignements biométriques dans les aéroports ou les bureaux du gouvernement, etc. Cela crée un risque potentiel que quelqu’un puisse accéder à vos comptes sans votre consentement. Si vos adversaires vous retiennent ou vous forcent physiquement, cela peut être encore plus facile pour eux de déverrouiller vos appareils que si vous le verrouillez avec un mot de passe.
Réfléchir à comment et quand utiliser un passkey (clé d'accès)
Certaines plateformes en ligne peuvent vous suggérer d'utiliser un passkey au lieu de votre nom d'utilisateur et de votre mot de passe.
Les passkeys offrent une meilleure protection contre le hameçonnage, mais reposent en grande partie sur la biométrie et le partage de données dans le cloud ; nous ne recommandons pas de les utiliser pour tout ce qui est sensible, et encore moins pour les informations d'identification permettant de se connecter à vos comptes. Si vous pensez que vous pourriez être exposés à des attaques de hameçonnage avancées, vous pouvez toutefois choisir de vous protéger contre cette menace avec des passkeys en les utilisant sans biométrie ni partage dans le cloud.
Pour activer un passkeys, vous aurez besoin soit d'un gestionnaire de mots de passe prenant en charge les passkeys, soit d'une clé de sécurité ou d'une puce de haute sécurité intégrée à votre ordinateur ou à votre téléphone. Dans la plupart des cas, les utilisateurs déverrouillent leur passkey en utilisant un gestionnaire de mots de passe basé dans le cloud ou la méthode de verrouillage de leur appareil, qui peut être basée sur des données biométriques telles que l'empreinte digitale ou la reconnaissance faciale.
Mais ce n'est pas vraiment nécessaire : dans la plupart des cas, vous pouvez stocker vos codes d'accès de manière plus sûre, soit dans une clé de sécurité physique, soit dans la puce de haute sécurité intégrée à votre ordinateur ou à votre téléphone, que nous recommandons de verrouiller à l'aide d'une phrase de passe plutôt qu'au moyen de la biométrie.
Vous pouvez également stocker des passkeys avec KeePassXC en activant l'intégration du navigateur KeePassXC, mais comme cette solution repose sur votre navigateur, elle peut être exposée à des attaques basées sur le navigateur et doit être considérée comme moins sûre que les autres solutions reposant sur des dispositifs matériels et des puces de haute sécurité.
Préparez des questions de récupération plus sécurisées
De nombreux services web demandent des «questions de sécurité» ou des «questions de récupération» lorsque vous créez un compte. Pour faire en sorte qu'elles soient plus difficile à deviner vous pouvez employer les stratégies suivantes :
- Fournissez des réponses fausses, sans rapport avec ces questions.
- Vous pouvez même utiliser un autre code aléatoire et unique généré par votre gestionnaire de mot de passe.
- Veillez à enregistrer vos réponses dans votre gestionnaire de mots de passe afin de ne pas risquer d'oublier vos questions de récupération et de vous retrouver bloqué.
Découvrez pourquoi nous recommandons ceci
Les questions de récupération sont importantes pour aider les services à vérifier votre identité s’ils soupçonnent que quelqu’un d’autre tente d’accéder à votre compte. Vous utilisez ces réponses pour modifier votre mot de passe au cas où vous perdriez l’accès à votre compte. Malheureusement, vos réponses à des questions comme «Dans quelle ville êtes-vous né ?» ou «Quel est le nom de votre animal de compagnie ?» peuvent être faciles à trouver en ligne. En donnant de fausses réponses, vous pouvez compliquer la tâche à un attaquant qui essaie de pirater votre compte.
Lectures complémentaires
Surveillance Self-Defense, «Créer des mots de passes robustes»
Tech Radar, «Les dangers du partage de mots de passe au travail»
Le chercheur en sécurité Daniel Miessler a dressé une liste des 10000 mots de passe les plus courants. Évitez d’utiliser l'un des mots de passe figurant sur cette liste.
Wikipedia a des articles informatifs sur les mots de passe, un guide sur la robustesse des mots de passe, et sur comment les attaquants accèdent à vos comptes.