Ses directives sont toujours très attendues. Le National Institute of Standards and Technology (NIST), l’organisme fédéral qui définit les normes technologiques pour les agences gouvernementales américaines et les entreprises privées, a édicté ses conseils concernant les mots de passe. Ce rapport, rempli de jargon, contient néanmoins certaines surprises et éléments qui s’avèrent intéressants pour chacun d’entre nous.
Changer de mots de passe régulièrement n’est plus obligatoire
C’est une habitude prise dans de nombreuses organisations : forcer les utilisateurs à changer de mots de passe à intervalles réguliers (par exemple tous les mois). De nos jours, les systèmes nous forcent déjà à opter pour des formulations suffisamment complexes, de sorte que cette démarche n’est plus nécessaire, estime le NIST.
Pire, elle serait contre-productive. En effet, cette pratique a tendance à nous inciter à opter pour des mots de passe plus faibles et plus simples à mémoriser. Au final, c’est la tâche des acteurs malveillants qui sera simplifiée.
La longueur des mots de passe est primordiale
Jadis, il était de bon ton de promouvoir des mots de passe avec des caractères spéciaux, ou des chiffres. Finalement, la NIST insiste beaucoup plus sur la longueur de votre mot de passe qui devrait faire au moins 15 caractères. En clair, mieux vaut une formulation de plus de dix caractères composée uniquement de lettres qu’une formulation plus complexe, mais plus courte. Cette vision est vraiment nouvelle et elle bouscule de nombreuses certitudes en matière de cybersécurité.
La double authentification, le nerf de la guerre
L’organisme fédéral ne réinvente pas la roue, mais insiste sur l’essentiel : il est primordial d’opter pour l’authentification multifacteurs lorsque cette dernière est proposée. En effet, cela ajoute une couche de sécurité supplémentaire importante qui vient largement compliquer la tâche des acteurs malveillants.
La prudence s’impose
Pour rappel, de nombreux mots de passe sont actuellement dans la nature. Pour ne citer qu’un seul exemple, Cybernews a repéré il y a quelques mois le fichier « rockyou2024.txt ». Ce dernier contient 9 948 575 739 mots de passe uniques émanant de 4000 bases de données différentes. Une telle révélation ne devrait faire que croître le nombre d’attaques et il faut donc redoubler de vigilance.
Ce qu’il faut retenir :
- Le NIST a publié son nouveau guide concernant les mots de passe
- On note certains changements et notamment le fait qu’il n’est plus nécessaire de changer son mot de passe régulièrement
- Il n’est également pas si important d’intégrer des chiffres et des symboles à condition d’avoir un mot de passe d’au moins 15 caractères
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Le rappel (ou l’info pour certains d’entre nous) de l’importance primordiale de mots de passe correctement élaborés est toujours bienvenu.
Mots de passe complexes (ici 32 caractères alpha-numériques + spéciaux) mais aussi spécifiques à chaque compte : JAMAIS un même mot de passe.
Ce qui peut rebuter c’est bien entendu l’idée d’avoir à mémoriser une pléthore de mots de passe complexes, évidement quasi impossible quand nombreux (à moins d’adopter des techniques de phrases en lien avec le nom du site). Il existe de nombreuses applications de gestion de mots de passe, au niveau bureau mais surtout en tant qu’add-on (extension) du navigateur (je pense à l’excellent ‘Bitwarden’) : les cases de login remplies avec la touche d’un bouton.
Enfin, quand un site propose de vous inscrire via votre compte Google ou Facebook, choisir plutôt la méthode “classique”, nul besoin de laisser ces inquisiteurs en savoir encore davantage.