Bonnes pratiques pour les mots de passe
Introduction
Le mot de passe reste la ligne de défense principale de notre vie numérique, malgré ses limites bien connues. Des millions de comptes sont compromis chaque année à cause de mots de passe faibles, réutilisés ou mal stockés. Les recommandations ont évolué : la complexité artificielle (caractères spéciaux obligatoires) cède du terrain à la longueur et à l'unicité. Ce guide vous présente les pratiques actuelles validées par les experts en cybersécurité, sans tomber dans les excès qui rendent la sécurité inapplicable au quotidien.
Les fondamentaux
Trois règles simples couvrent la majorité des risques :
- Privilégier la longueur à la complexité : un mot de passe de 16 caractères aléatoires ou une phrase de passe de 4 mots inattendus (« cheval-bibliothèque-renverser-spirale ») sont nettement plus résistants aux attaques qu'un mot de passe de 8 caractères avec symboles. Le NIST recommande un minimum de 8 caractères, mais 12 à 16 est un objectif réaliste.
- Ne jamais réutiliser un mot de passe : si un service est piraté et que vous utilisez le même mot de passe ailleurs, tous vos comptes sont compromis. C'est le vecteur d'attaque le plus courant après le hameçonnage.
- Utiliser un gestionnaire de mots de passe : il génère, stocke et remplit automatiquement des mots de passe uniques pour chaque compte. Vous n'avez à retenir qu'un seul mot de passe maître — choisissez-le long et mémorable.
Mise en pratique
Choisissez un gestionnaire de mots de passe adapté à vos besoins : Bitwarden (open source, gratuit), KeePassXC (local, open source), ou 1Password (commercial, interface soignée). Importez vos mots de passe existants, puis remplacez-les progressivement par des mots de passe générés de 16+ caractères sur chaque service important. Commencez par votre email principal et vos comptes bancaires. Pour les comptes où la connexion est difficile à changer, utilisez au moins une phrase de passe unique. Activez l'authentification à deux facteurs (2FA) partout où c'est possible, en priorité avec une application TOTP plutôt que par SMS.
Points de vigilance
Méfiez-vous des « vérificateurs de force de mot de passe » en ligne : saisir votre mot de passe réel sur un site tiers revient à le compromettre. Utilisez uniquement les vérificateurs intégrés à votre gestionnaire. Les extensions de navigateur de remplissage automatique sont pratiques mais présentent un risque si un site malveillant exploite un champ caché : vérifiez l'URL avant de remplir. Attention aussi aux questions de sécurité (« Quel est le nom de votre animal ? ») : leurs réponses sont souvent devinables depuis les réseaux sociaux. Préférez des réponses aléatoires stockées dans votre gestionnaire. Enfin, les services qui vous demandent de changer votre mot de passe régulièrement sans raison sont souvent ceux dont le stockage est le moins sécurisé : un mot de passe unique et long n'a pas besoin d'être changé sauf en cas de compromission confirmée.