Aujourd'hui avec la démocratisation de l'outil informatique, nous voyons la multiplication des mots de passe : banque, e-commerce, messagerie électronique, administration, … L'authentification par mot de passe est devenue monnaie courante et si l'on n'y prête pas attention, des informations confidentielles pourraient être dévoilé.

Voyons un peu les bonnes pratiques :

1. La taille :

Un bon mot de passe doit contenir au moins 12 caractères. Plus le mot de passe sera long et plus il sera difficile pour un pirate de le hacker (pas impossible mais beaucoup plus long). De même, il est important de varier les caractères : des minuscules, des majuscules, des chiffres et des caractères spéciaux. La CNIL propose un outil pour générer un mot de passe solide à partir d'une phrase : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide. Nous verrons un peu plus loin qu'il sera possible de générer facilement des mots de passe complexes avec l'outil Keepass.

2. L'anonymat :

Dans la construction du mot de passe, il est important de ne rien faire figurer de votre vie : date de naissance, nom de votre animal, prénom de votre enfant, ...

3. La multiplicité :

Il est fortement conseillé d'utiliser un mot de passe différent par compte. C'est jouable pour ceux qui n'ont pas plus de 10 comptes mais au-delà, cela devient compliquer et il faudra faire appel à un gestionnaire de mots de passe comme Keepass.

4. Le stockage :

Il est important de stocker vos mots de passe dans un lieu sûr. On évite les post-it, les fichiers excel (même avec un mot de passe de protection). Il est important de ne pas garder vos mots de passe dans vos e-mails ou dans votre smartphone. Là encore il faut privilégier un outil qui crypte les données et les mets en sécurité.

5. Renouvellement :

Il serait préférable de renouveler vos mots de passe tous les 3 à 4 mois. En revanche, lorsqu'une faille de sécurité ou une divulgation de bases de données (comme actuellement avec Facebook, Whatsapp, Google, …) a lieu, il est vivement conseillé de changer celui-ci le plus tôt possible.

6. La double authentification :

Si le service le propose, il est judicieux d'activer la double authentification (souvent via votre smartphone avec en parallèle des codes de sécurité).

Toutes ces recommandations ont été validées par la CNIL.

Celle-ci propose l'utilisation d'un gestionnaire de mot de passe Keepass, dont la sécurité a été évaluée par l'ANSSI. Alors il y a plusieurs avis sur la question, certains spécialistes en sécurité n'apprécient pas l'idée de regrouper tous les mots de passe au même endroit : un pirate ayant hacké votre base de mots de passe aurait accès à tout. Il existe effectivement un outil permettant une attaque en brute force : keepass2john. Pour ma part, j'ai actuellement plus d'une cinquantaine de mots de passe (facilement) et la non-utilisation d'un gestionnaire comme Keepass me semble impossible. Par contre, l'utilisation d'un gestionnaire nécessite l'utilisation d'un mot de passe unique, fort et disponible uniquement dans votre mémoire, c'est vital !

Voici un tutoriel de la CNIL concernant l'utilisation de Keepass :

Keepass est disponible sur Windows, Linux, Mac OS, Android, iPhone, Windows Phone, BlackBerry : https://keepass.info/download.html