Selon une étude réalisée par l’entreprise spécialisée en cybersécurité SpyCloud, 721 millions de mots de passe ont été dérobés par des cybercriminels en 2022. Pire encore, 72 % des utilisateurs exposés à des violations de données continuent d’utiliser les mots de passe compromis.
Mais les mots de passe volés sont des mots de passe cryptés normalement. Donc non utilisable.
Alors perso j’ai plus de 700 mots de passe dans mon gestionnaire, si je dois m’amuser à les changer régulièrement heu comment dire …
Alors oui certes parmi ces 700 il y a forcément plus de 98% qui ne donnent pas accès à des données « sensibles » mais bon les 2% restants je pense qu’un bon mot de passe bien robuste, unique, et couplé à du double facteur ça devrait aller hein …
3 « J'aime »
on entend souvent ce conseil de la part de pseudo spécialistes en sécurité de changer régulierement son pass (souvent dans les reportages du journal de 20h), mais ces mêmes personnes je suis quasi-sûr qu’elles ne le font pas elles-même. xD
au début des années 2000 c’était peut être faisable, mais de nos jours il faut un compte pour la moindre chose, on se retrouve avec des comptes à créer de tous les côtés.
ce n’est plus gérable.
peut être qu’un jour la biométrie apportera une solution
La multiplication des comptes n’est pas vraiment un problème, tant qu’on a un mot de passe unique pour chaque compte : la plupart des comptes ne donnent accès à rien de sensible, ceux là n’ont pas besoin qu’on renouvelle régulièrement leur mot de passe.
Par contre les comptes les plus sensibles, du genre boîte mail, banque, administration, site e-commerce où on a enregistré ses coordonnées bancaires pour les paiements, c’est mieux de les changer de temps en temps.
1 « J'aime »
Les recommandations actuelles de l’ANSSI (tout de même l’organisme de référence) portent sur le fait d’avoir un mot de passe différent pour chaque site, pas de changer régulièrement de mot de passe.
Les études en la matière montrent même un effet de bord au changement trop fréquent de mot de passe : les personnes n’ayant pas de gestionnaire de mot de passe (la majorité de la population quoi) se mettent en pratique soit a mettre le même partout (en declinant avec un numéro par exemple), ou a se les noter au bureau sur des post it.
Clubic, faites relire vos articles par des experts svp ! Qui, parmi les plus grands acteurs de la tech recommandé encore de changer régulièrement ses mots de passe ? Microsoft ? Google ? Apple ? Amazon ? Non. Même la CNIL pourtant assez rétrograde a changé son fusil d’épaule fin 2022 en ne recommandant plus le changement réguliers des mots de passe (exception pour les comptes d’administration IT). La bonne pratique : saisie des mots de passe uniquement sur des postes sains et de confiance, un gestionnaire de mot de passe, un mot de passe unique et complexe pour chaque compte, du MFA ou 2FA partout où c’est possible.
Il n’y a as pas que les géants de la tech. Jetez donc un coup d’œil aux recommendations du NIST ou encore à celles du GCHQ..
L’étude du comportement des utilisateurs a pu montrer que si on leur demande de changer régulièrement leur mot de passe, les utilisateurs s’orientent quasi systématiquement vers des mots de passe plus faibles.
Les recommendations modernes sont donc:
- utiliser des mots de passe long (strictement >8 caractères et si possible >12)
- pour rendre le mot de passe long plus facile, inciter à l’utilisation d’une phrase et donc bannir les règles de complexité (ne pas rendre obligatoire les chiffres, majuscules, caractères spéciaux)
- ne pas obliger ou demander aux utilisateurs de changer leur mot de passe régulièrement
- a contrario, forcer le changement en cas de suspicion de compromission du compte
- utiliser l’authentification multi factorielle
1 « J'aime »
Certaines banques ou sites imposent l’obligation de changer de mot de passe au moment de la connexion, apres plusieurs mois ou plusieurs connexions, souvent d’ailleurs quand on est pressé et pris par surprise, d’où enervement et risque d’erreurs ou d’oubli du nouveau mot car l’opération n’est pas anodine. De plus cette mesure est stupide car si un malfaiteur recupere un mot de passe le compte est pillé dans le quart d’heure qui suit
Ma banque m’oblige à changer de mot de passe tous les 2 ans, pourtant double authentification, je ne comprend pas bien l’intérêt, mais bon, c’est ainsi, pas le choix.
Un simple mot de passe pour se connecter à sa banque ? voilà qui ne me paraît pas très sûr.
Personnellement, je dois introduire un n° d’identification, le n° de série de mon Digipass, et enfin taper le code « one shot » qu’il m’affiche et qui n’est valable que pendant 10 secondes. ^^
En général aujourd’hui les banques françaises ne permettent plus une connexion avec un simple mot de passe depuis un nouvel appareil, elles imposent en plus un second facteur qui peut être selon les banques et les choix du client un OTP par SMS, une validation dans une application mobile (soit par biométrie, soit via un second mot de passe), une liste de mots de passe pré-générée (système un peu archaïque que propos par exemple le Crédit Mutuel, l’avantage étant que ça ne nécessite même pas d’avoir un téléphone portable… j’ai ça pour le compte de ma copro, c’est une petite carte en papier plastifié format CB, avec dessus une grille de 8x8 codes à 4 chiffres, et pour faire une opération sensible la banque va me demander le code qui est dans telle ou telle case).
Mais par contre une fois connecté sur une machine, on peut souvent se contenter du mot de passe pendant 2-3 mois sur cette même machine (bon du coup faut que le pirate pique le profil du navigateur, pas juste le mot de passe) pour la simple consultation des comptes et les virements internes.
Le second facteur est par contre exigé même depuis une machine connue dès qu’on fait une opération un peu sensible. À minima, toutes les opérations qui permettent de faire sortir de l’argent (paiement CB, virement vers un compte externe par exemple), sauf petits montants (30 ou 50€ de mémoire). C’est imposé par la réglementation européenne DSP2.
Un token*. On avait ça en Belgique pour s’identifier sur les sites officiels, impôts, pensions et autres, mais c’est abandonné depuis plusieurs années au profit de la CNI électronique+ lecteur de carte. ^^
- 24 codes de 6 lettres, dans notre cas.
Ansi = administratifs = incompétents…