Les sites web doivent cesser de forcer les internautes à inclure tel ou tel caractère dans un mot de passe. Voilà, en somme, la toute nouvelle recommandation — inattendue — formulée aux États-Unis par l’Institut national des normes et de la technologie (NIST). Une suggestion qui pourrait faire tache d’huile en France.
Outre-Atlantique, le NIST est un organisme de standardisation qui travaille, par exemple, sur la cryptographie post-quantique et la sécurité informatique. L’instance édicte aussi des lignes directrices sur d’autres sujets, dont les mots de passe. Or, de nouveaux conseils en la matière ont été formulés très récemment, rapporte la presse américaine le 26 septembre 2024.
- D’abord, il faut arrêter d’exiger des utilisateurs qu’ils changent de mot de passe à intervalles réguliers.
Pour le NIST, tout renouvellement de mot de passe ne devrait se faire que s’il est avéré qu’il y a eu une compromission du côté de l’internaute (il s’est fait voler son mot de passe) ou du site (il a été piraté). Le NIST n’est pas le premier organisme à défendre cette ligne. En fait, cela fait des années que ce message est répété.
- Ensuite, les sites devraient s’abstenir de fixer des exigences de composition dans un mot de passe (en somme, mélanger des lettres et des chiffres, avoir des minuscules et des majuscules, insérer des caractères spéciaux, et ainsi de suite).
C’est contreproductif, c’est épuisant, ce n’est pas si efficace
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Dans son développement, le NIST reconnaît que les règles de composition ont pour ambition d’accroître la difficulté de deviner les mots de passe choisis par l’usager. Cependant, « les recherches ont montré que les utilisateurs réagissent de manière très prévisible aux exigences imposées par les règles de composition », note l’institut.
Ainsi, un internaute qui aurait choisi « Password » comme mot de passe sera relativement susceptible de mettre « Password1 » si on lui dit qu’il manque un chiffre ou « Password1! » s’il faut également mettre un symbole. En clair, les internautes ont tendance pour une partie d’entre eux à suivre des sortes de schémas que l’on peut ensuite exploiter.
Le NIST a établi son avis sur des analyses de bases de données de mots de passe piratés. Il s’avère que l’avantage supposé des règles qui ordonnent d’avoir, par exemple, au moins un chiffre, une lettre majuscule et un symbole « est moins important qu’on ne le pensait initialement ». Par contre, les effets néfastes sur la mémorisation et la facilité d’emploi « sont graves ».
« Les humains ont une capacité limitée à mémoriser des secrets complexes et arbitraires, c’est pourquoi ils choisissent souvent des mots de passe qui peuvent être facilement devinés », rappelle d’ailleurs le NIST. C’est aussi la raison pour laquelle ils emploient aussi le ou les mêmes mots de passe sur la plupart des sites, alors que c’est catastrophique.
Pour contrer ce problème, la meilleure solution en termes de bénéfices / risques est de mobiliser un gestionnaire de mots de passe qui fera ce travail de mémorisation à votre place, tout en satisfaisant les exigences habituelles : longueur du mot de passe, complexité, singularité, etc. C’est toujours mieux qu’un post-it, en tout cas.
Quel gestionnaire de mots de passe choisir ?
Numerama propose un comparateur des meilleurs gestionnaires de mots de passe en 2024. En plus de ces logiciels, qui font office de coffre forts, il est prescrit d’utiliser la double authentification (appelée aussi authentification forte / authentification à deux facteurs), qui apporte une protection en plus. Et si vous tenez à aller encore plus loin, les passkeys vous attendent : de plus en plus de sites et services les acceptent.
Les meilleurs Gestionnaires de mots de passe
NordPass
- Nouveau venu sur le secteur
- Même groupe que NordVPN
1Password
- Le plus connu et l’un des plus vieux
- Interface modernisée
Dashlane
- Un gestionnaire français
- Surveille le dark web
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
