Aujourd’hui Yahoo, hier Linkedin (eHarmony et last.fm), le piratage des mots de passe et leur sécurité est au cœur de l’actualité. Ces sites majeurs ont déploré des fuites avec mise en ligne de millions de mots de passe d’utilisateurs. Le jeu League of Legend a connu également des failles, entraînant une divulgation de données clients (et de mots de passe notamment). Que nous enseignent ces incidents en matière de sécurité des mots de passe ? Que, malheureusement, les gens continuent à utiliser des mots de passe non sécurisés, et que nous sommes encore trop nombreux à nous contenter de mots de passe incroyablement simples tels que « 1234 », ou des mots de passe faciles à deviner (comme travail ou linkedin).

Même des mots passes, a priori plus élaborés, ont été piratés (comme davidlinkedin qui associe un prénom à un nom de site, ou les jeux de mots relatifs aux sites utilisés tels que leakedin et linkedout). Mais les utilisateurs peuvent également renforcer la sécurité de leurs mots de passe. Voici quelques conseils à ce propos :

Des phrases plutôt que des mots.

Il est devenu essentiel de rallonger ses mots de mots de passe. Dix à douze caractères à minima, et encore plus long pour vos sites les plus sensibles (comptes bancaires en ligne par exemple). Le traditionnel mot de passe se transforme donc en « phrase » de passe. Mais attention, des mots trop longs – supercalifragilisticexpialidement par exemple – sont difficiles à retenir, et présentent un risque d’erreur de frappe.

Choisissez plutôt des phrases au hasard (même dépourvues de sens) dont vous pouvez vous souvenir pour des raisons personnelles et abstenez-vous d’utiliser le nom de votre film favori ou des termes trop à la mode. Par exemple, Starwars est à éviter. En revanche, OrdiNagerMelonLampe est plus indiqué, car il fait référence à des objets et activités usuels dont vous pouvez vous rappeler.

Surtout ne réutilisez pas vos mots de passe.

Tous ceux qui ont été piratés seront, à minima, ajoutés à une liste des mots de passe connus et réutilisés par les pirates pour commettre leurs exactions. Si un identifiant d’utilisateur a été également piraté, le pirate dispose alors d’une paire identifiant+mot de passe qu’il peut utiliser pour d’autres sites. En clair, n’utilisez pas le même mot de passe pour plusieurs sites.

Utiliser un gestionnaire de mots de passe

Ces astuces se limitent bien sûr à la faculté de tout un chacun de pouvoir se souvenir des mots de passe. Des gestionnaires de mots de passe comme DirectPass peuvent aussi simplifier la tâche des utilisateurs. Ces outils stockent les multiples mots de passe des utilisateurs, en environnement sécurisé et dans le Cloud permettant une utilisation à partir de plusieurs appareils : PC, smartphones ou tablettes.