Quand avez-vous modifié vos principaux mots de passe pour la dernière fois?
Quel que soit votre âge, si vous avez un pouls et faites partie de la société moderne, vous avez probablement l’impression qu’une (trop) large portion de votre mémoire sert à retenir vos nombreux NIP et mots de passe. Que ce soit pour accéder à vos courriels ou à vos comptes bancaires, pour mettre à jour votre statut LinkedIn, Facebook ou Twitter, pour armer le système d’alarme, déverrouiller votre téléphone intelligent ou payer l’épicerie, tout semble dorénavant exiger un code d’accès.
Doit-on alors être surpris que la plupart des gens adoptent des mots de passe qu’ils auront de la facilité à retenir? Évidemment pas. Le problème, c’est que ces mots de passe faciles à retenir sont généralement aussi faciles à deviner pour un pirate informatique doté des bons outils.
Respirez profondément, ce n’est que le début. Les codes d’accès seront de plus en plus présents et leur utilisation deviendra de plus en plus compliquée et exigeante.
D’une mauvaise habitude à l’autre…
Tout comme dans la vie, notre réflexe est de mettre plus de soin à choisir un mot de passe compliqué pour les situation où nous avons le plus à perdre : les NIP bancaire ou de carte de crédit. Malheureusement, ils font partie de notre schème de pensée, notre « pattern » personnel et, en général, tous nos mots de passe ou nos NIP finissent par se ressembler. Suffit alors à un hacker de connaître un tant soit peu nos habitudes pour se régaler à nos frais. Puisque nous possédons presque tous un compte Gmail ou Hotmail, suffit de craquer l’accès de ceux-là et le reste devient du bonbon…
La validation en deux étapes, ou authentification multi-facteurs
Le problème de vol de mots de passe est devenu si important que nombre d’organisations, dont Google, offrent maintenant à leurs membres la possibilité d’utiliser l’authentification multi-facteurs (plus d’infos ici). Quand vous désirez accéder à votre compte, vous entrez votre nom d’usager et mot de passe qui, une fois accepté, enjoint Google de vous envoyer illico par texto ou par voix à un numéro déterminé d’avance dans votre profil personnel, un second code unique que vous devrez entrer pour compléter votre processus d’accès. Sécuritaire? Oui. Compliqué? Extrêmement!
Un mot de passe sécuritaire et une histoire bien à vous…
Alors comment choisir un mot de passe qui soit à la fois sécuritaire ET facile à retenir? Voici un truc que nous aimons suggérer à nos clients. Votre mot de passe devra respecter une règle : il devra contenir au moins 12 caractères dont 1 lettre majuscule, 1 minuscule, 1 symbole et 1 chiffre. Par la suite, vous devez faire preuve d’imagination en inventant une historiette qui soit bien à vous et que vous seul connaissez. Par exemple, prenons le mot de passe de 14 caractères suivant :
c$7Jr#2dlv…?
En utilisant la première lettre ou un équivalent sonore de chaque mot, et en alternant majuscules et minuscules, je peux créer l’historiette suivante :
combien (c) coûte ($) cette (7) jolie (J) robe (r) numéro (#) 2 (2) dans (d) la (l) vitrine (v) …?
Testez-le ! Oui et non…
Comment vous assurer que votre mot de passe est sécuritaire? Mettez-le à l’épreuve et testez-le. Voici un site digne de confiance pour tester vos mots de passe : https://www.grc.com/haystack.htm. MAIS rappelez-vous toujours qu’aucun site n’est totalement à l’abri de pirates. Ne testez-donc JAMAIS votre mot de passe réel. Utilisez plutôt une variante en changeant une lettre et un chiffre pour d’autres. C’est le principe de votre mot de passe que vous voulez tester et non le VRAI mot de passe lui-même.
Malgré tout…
Tout comme une chaîne n’est aussi solide que le plus faible de ses maillons, votre mot de passe ne demeurera sécuritaire que si vous savez le garder secret. Voici donc d’autres conseils pour boucler la boucle :
1) Évitez d’utiliser le même mot de passe pour tous vos accès. Chacun de vos comptes devrait avoir SON mot de passe unique, surtout lorsqu’il s’agit de vos comptes bancaires en ligne ou les NIP de cartes de crédit ou guichet.
Je vous concède qu’un compte sur votre magasin de musique en ligne préféré n’est pas aussi vital que celui où vous gérez vos placements; mais le temps et l’énergie que vous perdrez à rétablir votre réputation et prouver votre identité pour faire réactiver un compte qui aura été abusé par un usurpateur d’identité est à prendre très au sérieux.
2) Il est préférable d’oublier son mot de passe et de devoir demander qu’il soit réinitialisé plutôt que de le garder avec d’autres sur une liste qui pourrait tomber entre les mains d’autrui.
Si vous devez ABSOLUMENT garder une liste (et je sais que je ne pourrai pas vous en empêcher), assurez-vous de la conserver ailleurs que sur un Post-It, dans votre tiroir de bureau, votre portefeuille, votre agenda ou autre endroit facile à voler ou épier. Préférablement, faites-le également sous forme d’historiette ou même d’indice, pour éviter de donner la formule tout cuit dans le bec. Généralement, un simple indice devrait suffire à vous raviver la mémoire.
3) Désactivez et fermez les comptes que vous n’utilisez plus! Nous avons tous fait l’essai ici et là de services gratuits que nous avons par la suite abandonnés. Prenez le temps d’aller fermer ces vieux comptes, car ils contiennent malgré tout des traces de votre identité numérique (nom, peuso, courriel, historique, etc.).
4) Maintenant que vous possédez un bon truc, changez vos mots de passe régulièrement. On suggère de le faire une fois par mois où dès que l’on croit que notre mot de passe actuel aurait pu être compromis. Mettez-vous un rappel à l’agenda.
À vos claviers et racontez-vous de bonnes histoires!
Depuis 1997, je conseille et j’assiste les PME et les Solopreneurs dans la prise de décisions et le choix de solutions qui leur ressemblent et leur conviennent. On me consulte tout spécialement pour avoir l’heure juste quand l’arbre semble cacher la forêt et pour clarifier les réels besoins face à un nouveau projet difficile à cerner.
Les gens on des mots de passe trop facile à découvrir. Il existe des tas de logiciels qui sont spécialisés dans la recherche des mots de passe. Ces logiciels utilisent des dictionnaires de plusieurs langues, inversent les lettres et composent des mots de différentes manières (remplace les i par des 1, etc…). Ils sont très efficaces.
Souvent les mots de passe sont trouvés dans les secondes. De plus, si on connaît la personne, on peut souvent deviner une bonne partie du mot de passe. Utiliser des éléments de sa vie privée, ce que trop de gens font, est une erreur.
Une autre erreur commune est d’avoir le même mot de passe pour plusieurs sites. Un pirate qui trouve un mot de passe, tentera de l’utiliser ailleurs.
Éviter de mettre un mot de passe sur un courriel pour s’en rappeler. Il faut utiliser un logiciel pour les protéger. J’utilise Keepass. Il est gratuit et fait par des gens fiables et amélioré de façon continue pour maintenir une sécurité maximale. Il existe d’autres logiciels tel Roboform et il est également possible d’enregistrer les mots de passe dans le navigateur web.
Je recommande de ne jamais permettre à une application de garder les mots de passe sur leur serveur, mais de les garder sur son pc ou sur une clé USB. Attention, une clé ça se perd. Il existe aujourd’hui des clés USB qui se déverrouillent avec un mot de passe pour plus de protection. Si les mots de passe sont enregistrés par le navigateur web, toute personne qui aura accès au pc, aura accès aux mots de passe et à l’historique de la navigation. Quoi de plus facile pour aller sur les sites sensibles. Utiliser la fonction de verrouillage du navigateur.
Il faut se rappeler qu’un portable est un risque important pour la vie privée. Même avec de bonnes habitudes, un portable qu’on peut ouvrir avec le système d’exploitation chargé et un logiciel de mot de passe déjà déverrouillé n’est pas sécurisé.