Ces satanés mots de passe : découvrez les recommandations d’un RSSI !
Ils doivent être longs, complexes, changés régulièrement, différents d’un contexte à l’autre… Bref, ils doivent avoir été créés par le diable en personne pour nous casser les pieds ! Les mots de passe sont familiers de toute personne ayant la nécessité d’utiliser l’outil informatique : déverrouiller son smartphone, accéder à sa boîte Gmail, accéder à sa page Facebook, accéder à son compte PayPal…
Découvrez nos recommandations en la matière, faites par un RSSI !
Les exemples quotidiens nécessitant l’utilisation d’un mot de passe sont légion. Nous avons probablement tous plus de mots de passe à retenir que de clefs accrochées à notre porte clefs. Mais comme nos clefs, ces derniers servent à protéger l’accès à des ressources qui nous sont précieuses. Et comme pour nos ressources matérielles (domicile, véhicule, boîte aux lettres, valise, etc.), il devrait nous paraître normal de ne pas laisser sans protection nos ressources immatérielles (finances, mails, réseaux sociaux, boutiques en ligne, etc.).
Très bien, mais ne nous répète-t-on pas qu’un mot de passe trop faible revient à ne pas en avoir ? Et n’est-il pas vrai qu’à vouloir respecter les règles contraignantes de la création de mots de passe robustes, nous en venons à les oublier ? J’ai beau être un professionnel de la sécurité informatique, je n’en reste pas moins humain, et comme vous, retenir une multitude de mots de passe compliqués m’est impossible. Alors que faire ?
Recommandations minimales
Premièrement, il est important de connaître les recommandations minimales en matière de mots de passe. La CNIL (Commission Nationale de l’Informatique et des Libertés) conseille 12 caractères minimum incluant majuscules, minuscules, chiffres et caractères spéciaux. Ces critères peuvent être revus à la baisse lorsque l’on introduit un mécanisme d’authentification complémentaire. Il s’agit du principe utilisé par vos banques lors de vos achats en ligne lorsque vous recevez un code par SMS afin de confirmer votre achat.
Utilisation d’un gestionnaire de mots de passe
Deuxièmement, il est nécessaire d’utiliser un gestionnaire de mots de passe sécurisé (encore le lien en bas d’article). Quésaco ? Un gestionnaire de mots de passe sécurisé est un logiciel permettant de les stocker de façon inviolable. La condition unique est de retenir le mot de passe maître, permettant de déverrouiller legestionnaire. En somme, retenez un seul mot de passe robuste, que vous aurez préalablement choisi.
Sur les 3 outils proposés par la CNIL, je vous conseille Keepass (existe également en version mobile), qui est recommandé par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information). Un tutoriel vidéo est disponible sur le site de la CNIL (toujours le lien en bas d’article). Pour retour d’expérience, sachez qu’après plusieurs années d’utilisation, mon Keepass contient 155 mots de passe, tous respectant les bonnes pratiques en la matière. Croyez-moi, l’essayer c’est l’adopter !