À quelle fréquence changez-vous votre mot de passe ? Nous parions que certaines de vos informations d'identification datent de plus de dix ans.
En fait, la plupart d'entre nous ne changeons nos mots de passe que lorsqu'une situation nous y oblige. Généralement, c'est soit lorsque vous ne vous en souvenez pas, soit qu'une application ou votre entreprise vous oblige à en créer une nouvelle tous les quelques mois.
Alors, quelle approche est la bonne ? Devez-vous laisser votre mot de passe intact pendant des années ou devriez-vous le changer aussi souvent que les saisons ? Voici les avantages et les inconvénients d'un changement trop fréquent de votre mot de passe.
L'idée généralement reçue est que le fait de changer fréquemment de mot de passe rend votre compte plus sûr.
L'argument suggère que si vous êtes la victime involontaire d'une fuite, le fait de changer régulièrement votre mot de passe peut rapidement annuler les détails qu'un pirate informatique potentiel détient dans ses dossiers.
De même, si quelqu'un accède à votre mot de passe à votre insu, cela empêche la personne de vous espionner pendant une période prolongée. C'est pourquoi les responsables informatiques du pays sont si obsédés par l'idée de vous imposer des réinitialisations forcées toutes les deux semaines.
L'argument est-il valable ? Oui, mais ce n'est pas aussi clair qu'on pourrait s'y attendre. Même en supposant que vos nouveaux mots de passe sont aussi forts que les précédents (plus d'informations à ce sujet sous peu), la pratique a un avantage minime.
Dans un article de l'Université Carleton, les chercheurs ont expliqué que les attaquants qui ont accès à un fichier de mot de passe haché peuvent effectuer des attaques hors ligne. Ils peuvent donc tester un grand nombre de mots de passe en peu de temps. Les mots de passe de force faible et moyenne sont à risque.
L'article continue en prouvant mathématiquement que même les changements fréquents de mots de passe forts n'ont entravé les attaques que d'une quantité négligeable. L'avantage ne vaut certainement pas les inconvénients qu'il apporte aux utilisateurs.
Au lieu de cela, le document recommande aux administrateurs système d'utiliser des fonctions de hachage lentes telles que bcrypt. Les utilisateurs ne seraient pas incommodés, et le processus rend plus difficile pour les attaquants de deviner rapidement un grand nombre de mots de passe.
Je suis sûr que vous n'avez pas besoin que nous vous disions comment créer un mot de passe fort, mais l'information vaut toujours la peine d'être répétée :
Ces quatre points sont plus faciles à dire qu'à faire. Créer des mots de passe qui remplissent toutes les conditions, puis les mémoriser, demande beaucoup d'énergie mentale.
Alors, que se passe-t-il lorsque les gens changent trop souvent leurs informations d'identification ? Bref, ils deviennent paresseux.
Encore une fois, c'est un phénomène scientifiquement prouvé. En 2010, des chercheurs de l'Université de Caroline du Nord ont publié un article intitulé "La sécurité de l'expiration des mots de passe modernes :un cadre algorithmique et une analyse empirique [URL brisée supprimée]". Dans ce document, ils ont étudié les historiques de mots de passe de comptes obsolètes à l'université.
L'étude a examiné plus de 10 000 anciens comptes et 51 141 mots de passe. Les chercheurs ont effectué une attaque par hachage hors ligne et ont finalement piraté 60 % des informations d'identification. Sur les 60 %, 7 752 mots de passe n'étaient pas le mot de passe final utilisé sur le compte.
Ils ont ensuite utilisé cet ensemble de données pour voir s'ils pouvaient extrapoler d'autres mots de passe connectés au compte. Les résultats ont été incroyables. Dans 17 % des cas, le prochain mot de passe utilisé sur le compte a pu être deviné en moins de cinq secondes.
Mais pourquoi? L'étude a conclu que les gens avaient tendance à apporter des modifications très mineures lorsqu'ils changeaient fréquemment de mot de passe. Par exemple, Sausage123 pourrait devenir $ausage123 , bonjour le fromage ! deviendrait hellocheese !! , et ainsi de suite.
Au début, j'ai plaisanté en disant que vous avez probablement des mots de passe qui approchent de leur dixième anniversaire. Mais est-ce une blague ?
Les preuves que nous avons examinées jusqu'à présent semblent suggérer que des mots de passe de longue date pourraient en fait être une bonne chose. Quelle est la vérité ? Vous avez juste besoin d'un peu de bon sens.
Bien sûr, si vous soupçonnez que quelqu'un accède à votre compte sans votre autorisation, vous devez changer votre mot de passe. Si vous pensez que quelqu'un regardait lorsque vous entriez vos informations d'identification bancaires en ligne, vous devez changer votre mot de passe. Si vous deviez « prêter » votre mot de passe à quelqu'un, vous devriez le changer.
Et si vous pensez avoir été accidentellement victime d'une escroquerie par hameçonnage, vous devez changer votre mot de passe.
Dans tous les cas, vous devez vous assurer que votre nouveau mot de passe n'a aucune ressemblance avec l'ancien. N'utilisez pas le même mot de base. Ne mettez pas les mêmes caractères spéciaux aux mêmes positions. Et n'essayez pas quelque chose comme écrire votre ancien mot de passe à l'envers.
Et n'oubliez pas que vous devez également modifier votre mot de passe sur tous les autres comptes utilisant des informations d'identification similaires. Par exemple, si votre mot de passe Facebook est flowerpot1 et votre mot de passe Twitter est 1flowerpot, vous devez les changer tous les deux.
Si vous n'êtes pas sûr, suivez simplement les quatre directives fondamentales dont nous avons parlé plus tôt dans l'article lorsque vous créez un nouveau mot de passe.
Mais qu'en est-il des réinitialisations forcées de mot de passe ? Est-ce une bonne idée pour une application ou votre employeur de vous imposer un nouveau mot de passe ? Probablement pas.
En 2009, l'Institut national des normes et de la technologie a déclaré que les changements de mot de passe réguliers étaient "bénéfiques pour réduire l'impact de certains compromis de mot de passe", mais étaient "inefficaces pour les autres". Et, bien sûr, les utilisateurs étaient souvent frustrés par le changement forcé. Les entreprises doivent trouver un compromis entre sécurité et convivialité.
Les arguments peuvent sembler complexes, mais ils sont faciles à résumer.
Maintenant, nous voulons entendre vos réflexions sur le débat. Êtes-vous confiant dans votre capacité à choisir régulièrement un mot de passe sécurisé ? Ou êtes-vous satisfait d'utiliser un mot de passe vieux de dix ans sur tous vos comptes ?
N'oubliez pas que si vous créez fréquemment de nouveaux mots de passe compliqués, vous utilisez une application de gestion de mots de passe comme LastPass. Vous n'aurez pas besoin de rappeler les mots de passe vous-même.
