Changer régulièrement de mot de passe peut vous mettre en danger, met en garde Microsoft

High-tech

FORT KNOX - Lle changement de mot de passe régulier fait partie de la politique de sécurité des entreprises depuis près de 20 ans. Une mesure de protection efficace ? Pas sûr, si l'on en croit Microsoft, qui milite désormais pour un retour à des mots de passe qui durent, à condition qu'ils soient les bons.

"Votre mot de passe a expiré, merci d'en rentrer un nouveau." Si vous travaillez dans une grande entreprise, c'est le genre de message auquel vous devez être confronté plusieurs fois par an, jusqu'à une fois par mois dans certains cas. Changer de mot de passe, c'est s'assurer que la fuite de vos identifiants ne soit pas une porte ouverte pour une attaque informatique, ou en tout cas pas trop longtemps.

Une mesure qui semble frappée au coin du bon sens, mais est-elle efficace ? À en croire Microsoft, pas vraiment. Dans une note destinée aux responsables informatique, le géant distribue les bons et les mauvais points, pour distinguer ce qu'il faut faire en matière de mots de passe, et ce qu'il faudrait éviter.

Ni trop long, ni trop complexe, mais 100% unique

Dans la colonne des bonnes pratiques, trois axiomes qui à eux seuls sont un peu le vade-mecum du mot de passe efficace: d'abord, et c'est primordial, ne jamais, jamais, jamais utiliser le même mot de passe sur plusieurs sites ou pour plusieurs services. De grands sites de commerce en ligne, de médias, ou de réseaux sociaux font régulièrement la une de l'actualité pour s'être fait pirater leur fichier client. Si vous utilisez le même identifiant et le même mot de passe sur plusieurs sites, il suffira d'une fuite de données pour donner aux pirates la clé de vos autres services. 

Lire aussi

Autres recommandation à l'utilisateur : ne pas utiliser un mot du dictionnaire, une date de naissance, une phrase courante. Pas de 'motdepasse', pas de '240183', ou de 'jetaime', tout cela serait assez simple à trouver. Idéalement, votre mot de passe devrait être impossible à deviner, même pour quelqu'un qui vous connaîtrait, et connaîtrait vos goûts, votre famille, vos groupes de musique préférés, et la marque de votre voiture. Comme on le voit dans ce sujet du 13h de TF1,  chacun trouve au final sa méthode personnelle, pour le meilleur... et pour le pire, parfois.

En vidéo

Comment bien mémoriser ses mots de passe ?

Côté professionnels de la sécurité, les conseils sont simples : nul besoin de forcer ses utilisateurs à choisir des mots de passe trop longs, huit caractères suffisent, à condition d'interdire l'utilisation de mots communs ou du dictionnaire. Pas besoin non plus besoin d'obliger à l'utilisation de caractères spéciaux (!;%&!?, etc...), des mots de passe en majuscules/minuscules /chiffres suffisent. 

Et surtout, si l'utilisateur a choisi un mot de passe convenable, nul besoin de le forcer à en changer régulièrement : cela le pousserait à opter pour des mots de passe plus simples, ou à ne plus tenir la promesse d'un mot de passe unique, qu'il n'ait pas déjà utilisé ailleurs. Si vous aussi, vous voulez allez convaincre votre responsable informatique de cette évolution majeure dans la doctrine des mots de passe, et si cet article n'y suffit pas, vous pouvez y joindre la note publiée par Microsoft.

Sur le même sujet

Et aussi

Lire et commenter