Les mots de passe, lorsqu'ils sont trop simples ou très répandus (« 123456 » ou « motdepasse », par exemple), peuvent être devinés de manière automatique, en un rien de temps. Les logiciels de craquage de mots de passe exploitent d'immenses listes de combinaisons courantes et testent méthodiquement différentes variantes, ce qui rend les mots de passe faibles particulièrement vulnérables aux attaques.
Choisissez des mots de passe robustes et faciles à retenir
Règles de base : En principe, plus un mot de passe est long, moins il est facile à deviner.
- Il est recommandé d'utiliser au moins 8 à 12 caractères.
- Les mots de passe plus longs (20 caractères ou plus) offrent une protection nettement supérieure contre les tentatives de piratage.
- Un mot de passe de 25 caractères ou plus peut être suffisamment efficace même lorsqu'il y a moins de diversité dans les caractères (pas de caractères spéciaux, par exemple).
Concrètement, voici comment procéder :
- Créez une phrase dans votre imagination et utilisez les premières lettres des mots, en les associant à des chiffres ou d'autres caractères.
- Vous pouvez aussi choisir des combinaisons de type phrase secrète composées de plusieurs mots aléatoires, séparés par des espaces ou des caractères spéciaux (du genre : « Vélo+Soleil4Forêt+Tour! »).
- Il est préférable d'éviter les noms et prénoms, les dates de naissance, les mots faciles à deviner et les expressions courantes.
Un mot de passe pour chaque compte
N'utilisez jamais le même mot de passe pour différents services : s'il venait à tomber entre de mauvaises mains, plusieurs de vos comptes pourraient être piratés d'un seul coup.
Les bases pour un mot de passe vraiment robuste
- Éviter les mots de passe composés uniquement de chiffres (« 12345678 ») ou de lettres dans l'ordre alphabétique.
- Éviter d'utiliser des suites de touches de clavier (comme « azerty » ou « qwerty »).
- Ajuster la longueur du mot de passe selon l'importance du compte (messagerie, services bancaires, cloud, etc.).
Avoir recours à un gestionnaire de mots de passe
S'il vous faut plusieurs mots de passe différents : un gestionnaire de mots de passe facilite la création, le stockage et la gestion de mots de passe solides.
Il génère des mots de passe sécurisés, conformément aux recommandations actuelles et les enregistre de manière chiffrée. Le seul mot de passe à retenir, c'est le mot de passe principal via lequel vous protégez le gestionnaire lui-même.
Miser sur la double authentification (2FA)
Un mot de passe fort, à lui seul, ne suffit pas à vous protéger contre toutes les attaques possibles. De nombreux services proposent également une double authentification (2FA) pour plus de sécurité.
Outre le mot de passe, l'accès requiert alors un second facteur : un code issu d'une application, un SMS à usage unique ou encore une validation biométrique. Cette étape additionnelle réduit fortement les risques d'accès non autorisé.
Ne changer les mots de passe que lorsque cela est nécessaire
Par le passé, les bonnes pratiques préconisaient un changement régulier des mots de passe. Cette approche n'est aujourd'hui plus considérée comme une règle générale, car elle conduit souvent à l'utilisation de mots de passe plus faibles que les précédents.
Un changement de mot de passe s'impose lorsque :
- Vous avez connaissance d'un incident de sécurité ou d'une fuite de données
- Votre appareil a été compromis (piraté)
- Vous remarquez des accès suspects à votre système.
Petite checklist : mots de passe sécurisés
- Suffisamment longs (8 à 12 caractères, de préférence ≥ 20 caractères)
- Difficiles à deviner, ne contiennent pas de données personnelles
- Affecté à un compte bien précis
- Générés/gérés via un gestionnaire de mots de passe
- Complétés par une double authentification
