Les conseils de la CNIL pour un bon mot de passe
26 janvier 2017
Pour accéder à nos comptes en ligne, nous utilisons souvent des mots de passe « faibles » ou le même mot de passe sur plusieurs comptes. Voici quelques astuces pour gérer ses mots de passe personnels en toute sécurité.
Banque, e-commerce, messagerie électronique, documents, administration : de nombreuses démarches de notre vie quotidienne passent désormais par Internet et par la création de comptes sur les différents sites. Nombre de ces espaces privatifs contiennent des informations confidentielles qui ne doivent pas être rendues disponibles à des personnes non habilitées.
Un mot de passe en béton
Un bon mot de passe peut contenir, par exemple, au moins 12 caractères et 4 types différents : des minuscules, des majuscules, des chiffres et des caractères spéciaux. Il peut être plus court si votre compte est équipé de sécurités complémentaires !
Il ne dit rien sur vous
Personne ne doit deviner votre mot de passe à partir du nom de votre chien ou de votre film préféré. Idem pour le code de votre smartphone : préférez un nombre aléatoire à une année.
Un compte, un mot de passe
Pour éviter les piratages en cascade, chacun de vos comptes en ligne qui présente un caractère sensible (banque, messagerie, réseau social, etc.) doit être verrouillé avec un mot de passe propre et unique. Nos conseils pour la sécurisation de votre boite mail.
Ne jamais l'abandonner en pleine nature
Les post-it, les fichiers texte, votre smartphone ou votre boite de messagerie ne sont pas conçus pour sécuriser le stockage de vos mots de passe. Pensez aussi à ne jamais les enregistrer dans le navigateur d’un ordinateur partagé.
Deux cadenas valent mieux qu’un
Quand le service vous le propose, activez la double authentification. Si quelqu’un se connecte à votre compte depuis un terminal inconnu, le site vous prévient par SMS/e-mail. Libre à vous d’autoriser ou de refuser l’accès !
Les retenir sans les écrire
... en travaillant vos neurones
Mémorisez une phrase puis utilisez la première lettre de chaque mot pour créer votre mot de passe. La phrase doit contenir des chiffres et des caractères spéciaux ! La CNIL met à votre disposition un générateur qui permet de concevoir votre mot de passe en quelques secondes !
... en reposant vos méninges
Utilisez un gestionnaire de mots de passe ou un trousseau d’accès chiffré pour stocker vos mots de passe en toute sécurité. Vous n’aurez à retenir qu’un mot de passe pour accéder à l’ensemble de vos comptes !
[TUTORIEL] - apprendre à utiliser un gestionnaire de mot de passe
Un gestionnaire de mots de passe permet de constituer une base de données de mots de passe chiffrée par un unique mot de passe « maître » dont la sécurité a pu être vérifiée. Cela vous permet de ne retenir qu’un seul mot de passe qui ouvre l’accès à tous les autres. Les mots de passe pourront alors être très longs, très complexes et tous différents car c’est l’ordinateur qui les retient à votre place.
Ces logiciels facilitent par ailleurs la saisie, sans erreurs, des mots de passe et permet de retenir les nombreux identifiants et comptes que l’on collectionne avec le temps.
En pratique, il existe de nombreuses solutions sur le marché. On peut citer entre autres, parmi les logiciels libres régulièrement mis à jour :
- Keepass, dont la sécurité a été évaluée par l’Agence nationale de sécurité des systèmes d’information (ANSSI),
- Zenyway
- ou Passwordsafe.
L’interview de Gwendal LeGrand, directeur des technologies et de l’innovation de la CNIL.
Le mot de passe, c'est la clé d'accès à ces services en ligne. Donc il faut que le mot de passe soit suffisamment complexe. Concrètement, le nom de son conjoint, le nom de son animal de compagnie ou sa date de naissance, ce sont des choses à ne absolument pas utiliser comme mot de passe. C’est absolument à proscrire.
La règle idéale, c'est d'avoir un mot de passe différent pour chacun des services. C’est un peu compliqué de faire ça. Donc, en fait, on a deux solutions. Soit on a un moyen mnémotechnique, on se souvient d'une phrase et on prend les initiales de chacun des mots de la phrase. Et ça, ça va constituer le mot de passe. Ça va permettre d'avoir un mélange de caractères qui donne une certaine complexité au mot de passe. Soit, encore mieux, on utilise un gestionnaire de mot de passe, une espèce de petit coffre-fort. On se souvient d'un mot de passe pour ouvrir ce petit coffre-fort et à l'intérieur, il va y avoir accès à tous les mots de passe différents qu'on va utiliser pour les services en ligne. Et ça permet d'avoir réellement un service : un mot de passe, comme dans la vie de tous les jours. Vous avez une porte avec une clé différente pour chacune de ces portes.
Pourquoi c’est important ?
Alors le mot de passe, il faut vraiment très bien le construire et très bien le conserver parce que le mot de passe vous l'utilisez sur beaucoup de services en ligne. C'est ce qu'on utilise pour accéder à ses mails. C'est ce qu'on utilise pour accéder à ses réseaux sociaux. C'est ce qu'on utilise pour accéder à sa banque en ligne et tous les sites de commerce. Donc concrètement, si votre mot de passe est perdu, s’il se retrouve dans la nature, ou s’il peut facilement être deviné, ça veut dire qu'une personne qui aurait accès à cette information pourrait accéder à vos photos en ligne, faire des virements bancaires, accéder à tous vos mails. Voire, si elle a accès à la boîte mail, renouveler (par les procédures de renouvellement de mot de passe) un certain nombre de mots de passe que vous utilisez sur des services en ligne.
Côté « pro », quels conseils ?
Alors pour les professionnels, on a fait nos recommandations sur le site de la CNIL pour aider à générer, traiter, renouveler correctement les mots de passe. S'il y a quelques petits conseils à retenir quand vous faites un service en ligne : Je dirais que le premier, c'est au moment où l'utilisateur crée son mot de passe, forcez un certain niveau de complexité, une certaine longueur du mot de passe. La deuxième chose, c'est quand vous utilisez le service. Une personne qui utilise le service, vous allez bloquer son compte au moins temporairement. Si la personne rentre un certain nombre de mots de passe erronés associés à son identifiant. Enfin, pas de conservation en clair dans la base de données de ce mot de passe. Et porter une attention très particulière aux procédures de renouvellement de mot de passe. Parce que souvent, ce qu'on voit sur des services en ligne, c'est qu'on pose des questions soi-disant secrètes, mais qui sont parfois très faciles à deviner.
