À quelle fréquence changez-vous vos mots de passe ? Nous parions que certains d'entre eux datent de plus de dix ans.
La plupart des utilisateurs ne modifient leurs identifiants que contraints par les circonstances : oubli du mot de passe ou exigence d'une application ou d'une entreprise imposant un renouvellement périodique.
Quelle est la meilleure pratique ? Laisser ses mots de passe inchangés pendant des années ou les renouveler régulièrement ? Examinons les avantages et inconvénients des changements fréquents.
L'idée répandue est que changer souvent son mot de passe renforce la sécurité du compte.
Si une fuite de données survient, un renouvellement régulier invalide rapidement les identifiants compromis. De même, un accès non autorisé est limité dans le temps. C'est pourquoi de nombreux départements informatiques imposent des réinitialisations fréquentes.
Cet argument est valide, mais son impact est minime. Même avec des mots de passe forts, les bénéfices sont négligeables, comme l'explique une étude de l'Université Carleton. Les attaquants exploitent les attaques hors ligne sur les hachages, craquant rapidement les mots de passe faibles ou moyens.
Les chercheurs démontrent mathématiquement que les changements fréquents n'entravent que marginalement ces attaques. Ils recommandent plutôt des fonctions de hachage lentes comme bcrypt, plus efficaces sans incommoder les utilisateurs.
Pour un mot de passe fort : mélange de lettres (majuscules/minuscules), chiffres, caractères spéciaux, et plus de 12 caractères. Facile à dire, difficile à appliquer et mémoriser.
Les changements fréquents mènent à la paresse. Une étude de 2010 de l'Université de Caroline du Nord, analysant 51 141 mots de passe de 10 000 comptes obsolètes, a cracké 60 % d'entre eux via attaque hors ligne. Parmi eux, 7 752 n'étaient pas les finaux, mais permettaient de prédire les suivants en 17 % des cas en moins de 5 secondes.
Les utilisateurs appliquent des modifications mineures, comme Sausage123 vers $ausage123 ou bonjour le fromage ! vers hellocheese !!.
Des mots de passe anciens ne sont pas nécessairement risqués si bien choisis. Changez-le en cas de suspicion d'accès non autorisé, d'épaulage, de partage ou de phishing.
Assurez-vous que le nouveau est totalement différent : base inédite, positions variées des caractères spéciaux, pas d'inversion. Modifiez aussi les comptes similaires (ex. : flowerpot1 sur Facebook et 1flowerpot sur Twitter).
Respectez les quatre règles de base pour tout nouveau mot de passe.
Imposer des changements périodiques n'est pas idéal. En 2009, le NIST notait un bénéfice limité contre certains compromis, mais une frustration utilisateur accrue et des mots de passe affaiblis. Les entreprises doivent équilibrer sécurité et ergonomie.
Les changements fréquents volontaires améliorent légèrement la sécurité si les nouveaux mots de passe sont robustes. Les forçages fréquents dégradent souvent la sécurité.
Utilisez un gestionnaire comme LastPass pour des mots de passe complexes sans effort de mémorisation. Partagez vos pratiques en commentaires !
[]