Il est impossible d'utiliser un ordinateur ou d’Internet sans avoir à fournir un nom d’utilisateur et un mot de passe. La plupart des sites Web nécessitent une connexion pour accéder à l’ensemble de leurs fonctionnalités. Il peut être difficile de garder une trace de tous ces identifiants, et la façon la plus simple d’y faire face peut sembler de réutiliser la même combinaison d’adresse e-mail et de mot de passe pour plusieurs sites.
Il s’agit pourtant d’une stratégie dangereuse, qui doit absolument être évitée. Chaque jour, de nombreux sites Web sont attaqués, et leur base de données de noms d’utilisateurs et de mots de passe est volée. Une fois que les pirates informatiques (ou hackers) ont en leur possession votre nom d’utilisateur ou adresse e-mail et votre mot de passe, ils essaieront de les utiliser sur d’autres sites. Si vous avez utilisé les mêmes identifiants sur votre site de surveillance de quartier, à faible niveau de sécurité, et sur votre site bancaire, très sécurisé, vous venez de fournir aux potentiels pirates les informations d’identification dont ils ont besoin pour accéder à votre compte bancaire.
Choisir de bons mots de passe
L’idée de ce que doit être un bon mot de passe peut sembler vague. Afin de comprendre en quoi un mot de passe est meilleur qu’un autre, nous devons d’abord définir ce qu’est un mauvais mot de passe. Pour faire simple, un mauvais mot de passe est un mot qui peut être facilement deviné.
Des bases de données de noms d’utilisateurs et de mots de passe sont volées chaque jour sur des sites Web peu sûrs. Cela signifie qu’il y a beaucoup d’informations d’identification à étudier, et qu’il devient évident que les humains sont assez peu compétents pour trouver de bons mots de passe.
Certaines études démontrent que seulement 1000 mots simples représentent 91 % de l’ensemble des mots de passe. Ce lien répertorie les 10000 mots de passe les plus utilisés du monde, et certains sont colorés. Ces derniers sont les plus faciles à deviner, car les pirates ont aussi accès à ces listes, et testeront votre adresse e-mail et ces mots de passe sur différents sites, pour voir si certains fonctionnent. Si vous êtes curieux de connaître le niveau de sécurité de votre mot de passe actuel, essayez notre testeur de mot de passe.
Beaucoup de gens tentent de rendre leur mot de passe plus complexe en ajoutant des chiffres à la fin. C’est une astuce bien connue des pirates informatiques. Une étude de base de données a montré que parmi les mots de passe finissant par un nombre, près d’un quart d’entre eux utilisent le chiffre 1.
Les conseils pour créer un mot de passe efficace ne manquent pas sur Internet, et il peut être difficile de s’y retrouver parmi toutes ces recommandations. Les meilleurs mots de passe sont constitués d’un long mélange aléatoire de chiffres, lettres et autres caractères spéciaux de ponctuation. Utiliser de bons mots de passe forts comme ceux-ci serait peu pratique, sinon impossible, sans l’existence d’outils de gestion de mots de passe.
Les gestionnaires de mots de passe.
Il existe toute une catégorie de logiciels nommés gestionnaires de mots de passe, facilitant l’utilisation de mots de passe longs et aléatoires. Ces logiciels créent des mots de passe sécurisés à votre place, et les stockent, afin que vous puissiez facilement les rechercher lorsque vous en avez besoin. Certains d’entre eux proposent des fonctionnalités supplémentaires, qui les rendent encore plus faciles à utiliser, telles que :
- Le remplissage automatique des champs de connexion d’un site Web, pour que vous n’ayez pas à interrompre ce que vous êtes en train de faire pour rechercher vos identifiants.
- Le stockage de vos données de mots de passe en ligne, ce qui signifie que vous pouvez y accéder depuis différents appareils, tels que votre iPad et votre ordinateur de bureau. Remarque : les listes de mots de passe créées par ces logiciels sont toujours cryptées, ce qui permet de les stocker en ligne avec un minimum de sécurité.
- Des alertes de sécurité, par exemple lorsqu’un site Web que vous utilisez a été attaqué, afin que vous sachiez que vous devez modifier votre mot de passe, qui a potentiellement été volé.
Utiliser l’authentification à deux facteurs (2FA, ou two-factor authentification)
L’authentification à deux facteurs (2FA) existe depuis de nombreuses années au sein des entreprises et des gouvernements, mais commence à peine à devenir courante dans le secteur de la communication. Il s’agit d’ajouter un deuxième facteur à votre mode d’authentification, ce qui signifie qu’un simple identifiant et un mot de passe ne suffisent plus pour vous connecter à votre compte. Vous devrez aussi fournir un deuxième élément d’information, généralement un code numérique valide seulement pendant quelques secondes. Imaginez une personne mal intentionnée ayant en possession votre nom d’utilisateur et votre mot de passe, qui essaierait de se connecter à votre compte bancaire. Lorsque lui sera demandé le code numérique supplémentaire, il ne sera pas en capacité de le fournir.
Il appartient à chaque site Web d’offrir un mode de connexion 2FA, et ce n’est pas le cas de tous. Vérifiez les paramètres de sécurité ou de connexion de votre compte sur un site donné pour voir s’il existe des options d’authentification à deux facteurs. Si tel est le cas, le formulaire prendra probablement l’une des formes suivantes :
Envoyer un code numérique sur votre téléphone portable par SMS
C’est la forme la plus courante de 2FA, car elle est facile à mettre en œuvre pour le fournisseur de services, et les téléphones portables sont omniprésents de nos jours. Vous devrez fournir votre numéro de téléphone mobile sur le site, qui enverra généralement un code de test à votre téléphone, pour vérifier s’il fonctionne. Une fois que vous entrez ce code de test dans le site, il active l’option 2FA sur votre compte.
À partir de ce moment, chaque fois que vous tenterez de vous identifier, vous recevrez un code différent par SMS, que vous devrez saisir sur le site pour vous connecter.
Utiliser une application sur votre smartphone pour générer des codes
Un certain nombre d’applications peuvent générer des codes 2FA, tels que Google Authentificator, Authy et LastPass Authentificator. Si un site Web prend en charge l’une de ces applications, les instructions relatives à sa configuration figureront sur la page des paramètres de sécurité ou de connexion.
En règle générale, vous devrez installer le logiciel à partir de la boutique d’applications de votre smartphone, puis scanner un code à partir du site Web à l’aide de la caméra de votre appareil. Cela créera un emplacement réservé dans votre application d’authentification pour ce site Web, qui affichera un code numérique en constante évolution. Entrez le code actuel dans le site Web et il activera 2FA sur votre compte.
À partir de ce moment, vous devrez ouvrir l’application sur votre appareil et entrer le code affiché pour ce site afin de vous connecter.
Avantages et inconvénients des deux types de 2FA
La méthode par SMS est plus facile à gérer, car vous n’avez pas besoin d’installer d’application tierce sur votre téléphone. Il est également facile de la transférer d’un appareil à l’autre, car votre numéro de téléphone est lié à votre carte SIM, et lorsque vous changez de mobile, le numéro vous accompagne. L’inconvénient est que vous devez être dans une zone de couverture réseau mobile. Si vous êtes dans un café, ou dans tout autre lieu avec une faible couverture mobile, vous ne pourrez pas recevoir le code. De plus, si vous voyagez souvent et que vous avez l’habitude de changer de carte SIM pour utiliser un numéro de téléphone correspondant au pays dans lequel vous vous trouvez, votre numéro changera aussi. Gardez cela à l’esprit avant de voyager, si vous utilisez une authentification à deux facteurs par SMS sur l’un de vos comptes.
La méthode par application élimine la nécessité d’une couverture réseau mobile, car la réception d’un code par SMS n’est pas nécessaire. L’application génère les codes de connexion sur le téléphone par elle-même, afin que vous puissiez les obtenir même si votre téléphone est en mode avion. L’inconvénient est qu’il est plus difficile de transférer l’application d’authentification vers un autre téléphone. Vous aurez généralement besoin de désactiver 2FA sur tous vos comptes, d’installer l’application sur votre nouveau téléphone, puis de réactiver 2FA.