Octobre est le Mois de la cybersécurité. Jetons un œil à l’une des principales formes de cybersécurité, votre mot de passe de connexion. Saviez‑vous que les experts découragent en fait les changements fréquents ?

La Federal Trade Commission met en garde les entreprises contre la mise en œuvre de procédures de changement de mot de passe routinières car elles encouragent les utilisateurs à utiliser des mots de passe simples et faciles à retenir, qui seront faciles à deviner.

Les changements obligatoires de mot de passe sont-ils toujours efficaces ?

Password123! était un mot de passe suffisamment fort pour empêcher les regards indiscrets de se connecter à votre appareil à la fin des années 90 jusqu’au début des années 2000. Mais dans le monde d’aujourd’hui, les mots de passe doivent répondre à des exigences spécifiques : ils doivent comporter au moins huit caractères, avec une lettre majuscule, un chiffre et un symbole spécial. Certains peuvent exiger que le nouveau mot de passe ne soit pas une répétition de vos quelques précédents. (Source: HPE)

La sécurité des données a évolué à mesure que de nouvelles menaces sont apparues, rendant les mesures de sécurité précédentes inutiles. La mesure de cybersécurité de longue date que nous connaissons tous est le changement obligatoire de mot de passe. Nous recevons généralement une invite tous les 90 jours indiquant qu’il est temps de changer notre mot de passe.

Cependant, des études récentes ont prouvé que ce changement obligatoire de mot de passe tous les 90 jours n’est plus aussi efficace qu’autrefois. L’obligation de changer le mot de passe tous les 90 jours pousse les gens à choisir des mots de passe plus faibles car il est assez difficile de retenir des mots de passe sophistiqués, surtout si vous devez les saisir plus de quelques fois par jour. Les gens ont tendance à utiliser des mots de passe faciles à retenir et à les réutiliser sur plusieurs comptes.

Et lorsqu’il arrive le moment où vous devez changer votre mot de passe, vous réutilisez le précédent et modifiez les caractères, par exemple en changeant S en $. Les intrus peuvent facilement pirater ces schémas de changements de mot de passe une fois qu’ils ont accès à l’un de vos anciens mots de passe.

Des études sur ce sujet ont été publiées dès 2010, et la Federal Trade Commission a déjà publié sa déclaration officielle à ce sujet. La FTC rappelle aux entreprises que la politique de mise à jour obligatoire du mot de passe offre toujours une protection contre les cyberattaques. Cependant, les entreprises devraient être mises à jour avec des mesures de sécurité plus récentes et meilleures adaptées à leurs domaines spécifiques. (Source: FTC)

Quand changer votre mot de passe

Selon Lorrie Cranor, directrice des technologies de sécurité et de confidentialité du CyLab Security and Privacy Institute, changer les mots de passe n’est pas aussi fréquent que nous le pensons. Nous pouvons garder nos mots de passe aussi longtemps que nous le souhaitons, mais nous devrions les changer dès que nous rencontrons l’un des scénarios suivants :

Quelques directives pour créer des mots de passe

En fonction de la politique de mot de passe de votre entreprise, vous avez peut‑être vu plusieurs exigences pour choisir votre mot de passe. Mais vous pouvez également suivre ces conseils simples pour créer un mot de passe robuste.

N’utilisez jamais d’informations personnelles

Évitez d’incorporer votre nom, votre date de naissance ou toute information publique vous concernant dans votre mot de passe.

Utilisez un mot de passe plus long

Un mot de passe de six caractères ou plus devrait suffire. Les caractères doivent être alphanumériques et, si possible, inclure des caractères spéciaux.

Évitez d’utiliser le même mot de passe sur différents comptes

Lorsque cela est possible, utilisez des mots de passe différents pour chaque compte.

Envisagez d’utiliser un mot de passe aléatoire

Il existe plusieurs générateurs de mots de passe aléatoires disponibles. Vous pouvez envisager d’utiliser un mot de passe aléatoire complet. (Source: GCF Global)