Comment choisir un bon mot de passe ?

David

3 octobre 2019
comment choisir un bon mot de passe ?

Les mots de passe sont les clés de la vie numérique de votre entreprise. Il est important de bien les choisir : ils doivent être complexes à deviner, mais faciles à retenir. Choisir un bon mot de passe exige donc le suivi rigoureux de quelques règles essentielles.

Comment les choisir ?

Il y a quatre façons principales de compromettre un mot de passe :

  • Le voler : c’est pourquoi un mot de passe ne doit pas être partagé avec un tiers, ni copié dans un fichier ou sur une feuille de papier. Lorsqu’un mot de passe a été exposé, il faut le changer aussi tôt que possible.
  • Le deviner : c’est pourquoi un mot de passe ne doit pas reposer sur une information facile à découvrir (nom de famille, date de naissance, film préféré…), que ce soit par vos proches ou par ingénierie sociale.
  • Le réutiliser : lorsqu’un pirate dérobe un mot de passe, il le teste sur un maximum de services différents (c’est le « bourrage »). Evitez de réutiliser des mots de passe, ou seulement pour des services similaires (n’utilisez pas le même pour un forum associatif et une banque en ligne…). Il doit également être changé régulièrement.
  • Le « casser » : les attaques par forces brutes sont très efficaces et rapides, c’est pourquoi un mot de passe doit être complexe.

Comment créer un mot de passe complexe ?

  • Evitez les mots du dictionnaire (quelle que soit la langue !), et ne reprenez pas l’intitulé de votre identifiant ou compte.
  • Mélangez lettres minuscules et majuscules, chiffres et caractères spéciaux (!#$%-_).
  • Préférez les mots de passe longs, d’au moins 10 caractères.

Comment les gérer ?

La méthode la plus simple et la plus sûre est d’utiliser un gestionnaire de mots de passe tel que LockSelf. Ces outils génèrent des mots de passe complexes et uniques, accessibles depuis différents appareils à travers un mot de passe principal, le seul à retenir.

Une autre méthode, plus artisanale, est d’utiliser une règle pour construire dynamiquement ses mots de passe, en s’appuyant sur une racine et une clé.

Par exemple : « Ceci est la racine de mes mots de passe » donne la racine « Celrdmmdp » en utilisant la première lettre de chaque mot. J’y ajoute les caractères spéciaux « #/ » et je mémorise la clé « 1234 ». Pour construire un mot de passe, je mets bout à bout la racine et les premières lettres du nom du service, chiffrées par ma clé. Ainsi je n’ai à retenir qu’une phrase et une clé pour déterminer tous mes mots de passe.

  • Pour Amazon : « Celrdmmdp#/bodd » (A+1 => B ; M+2 => O ; A+3 => D ; Z+4 => D).
  • Pour Proton Mail : « Celrdmmdp#/qtrx » (P+1 => Q ; R+2 => T ; O+3 => R ; T+4 => X).

Comment en vérifier la robustesse ?

Il existe des solutions permettant de vérifier la robustesse des mots de passe : Kaspersky Password Check ou encore Password Meter.

Attention : évitez de tester vos mots de passe directement mais utilisez plutôt une combinaison similaire.

Comment savoir si mon mot de passe a été compromis ?

Vous pouvez utiliser le site haveibeenpwned, qui consolide toutes les fuites de données publiques. Si un de vos comptes y est reconnu, il est compromis.

Mais réaliser qu’un mot de passe a été compromis n’est pas toujours évident, c’est pourquoi un changement régulier est fortement recommandé.

En cas de compromission d’un mot de passe, données personnelles et opérations sensibles sont à la portée des pirates. Il convient donc d’agir rapidement :

  • Changer les mots de passe compromis, sur tous les services où ils sont utilisés.
  • Avertir le correspondant sécurité de l’entreprise, les contacts et les fournisseurs de services critiques (ex : administration, banque) de la compromission pour qu’ils se montrent vigilants.
  • Selon le cas, avertir le service juridique, le DPO ou le régulateur (ex : données personnelles et RGPD).
  • En cas de préjudice, porter plainte.

Comment aller plus loin dans la sécurisation de mon entreprise ?

Choisir de bons mots de passe, c’est bien, mais il y a d’autres domaines à sécuriser ! La plate-forme de cybersécurité Oppens.fr vous aide à optimiser la sécurité informatique de votre activité. Conçue pour les TPE et PME, simple et complète, offrant une évaluation et des conseils gratuits sans inscription préalable, elle sélectionne les meilleurs produits de cybersécurité adaptés à vos besoins. N’attendez pas, protégez-vous sur oppens.fr.

La Société Générale a créé Oppens, la solution de sécurité informatique pour les entreprises : formation, entraînement au phishing, audit …

Entraînement continu pour un suivi régulier

Oppens a créé une solution unique d'entraînement des salariés pour une vigilance de haut niveau, qui fait rentrer la cybersécurité dans votre culture d'entreprise.

Simulation de phishing

L'erreur est humaine ... et coûte chère ? Choisissez les simulations de phishing Oppens pour mieux évaluer et sensibiliser vos collaborateurs.