Il y a beaucoup de conseils pour une bonne gestion des mots de passe: chacun de vos mots de passe devrait être solide et unique; Utilisez un gestionnaire sécurisé pour stocker vos mots de passe; Utilisez l’authentification à deux facteurs (2FA) pour ajouter une couche supplémentaire de sécurité à vos comptes. Mais il y a un autre conseil qui est tenu à la même considération que les autres: changez souvent vos mots de passe – peut-être une fois tous les trois mois. Cette habitude est si soulignée, de nombreuses entreprises et organisations vous feront changer vos mots de passe plusieurs fois par an au nom de la sécurité. Le fait est que, selon toute vraisemblance, cela ne fait rien pour aider votre sécurité.
Cette idée que la modification de vos mots de passe plusieurs fois par an est une pierre angulaire de votre sécurité pourrait être ancrée dans certains d’entre vous. Après tout, ce n’est pas un nouveau conseil. Comme PCMAG l’a examiné, la pratique remonte à un long temps: lorsque les experts en sécurité écrivent sur les mots de passe, ils écrivent souvent sur la modification des mots de passe également. C’est juste la façon dont les conseils ont été présentés. Mais c’est probablement parce que cela anticipe et répond à de mauvaises habitudes de sécurité.
Les bons mots de passe ne doivent pas (généralement) être modifiés
La modification de vos mots de passe n’a vraiment du sens que lorsque vos mots de passe sont compromis. Après tout, si personne ne connaît votre mot de passe, pourquoi le changer? Pourtant, les mots de passe sont fissurés tout le temps. En tant que tel, il peut sembler logique de changer fréquemment le vôtre: vous ne savez jamais lequel de vos mots de passe pourrait être deviné, non? Ainsi pourrait aussi bien garder ces mauvais acteurs sur leurs gardes.
Mais prenons du recul: il n’y a aucune raison pour que vos mots de passe devraient être supposables. Si un pirate peut deviner votre mot de passe, C’est un mauvais mot de passeet vous n’auriez pas dû l’utiliser en premier lieu. Je vais aller plus loin et dire qu’aucun de vos mots de passe ne devrait être fissuable par un ordinateur non plus – du moins, pas sur une chronologie où il est important.
Un bon mot de passe, ce qui signifie que celui qui est à la fois fort et unique, est intrinsèquement sans crackable. Il doit être long, varié et non utilisé sur un autre compte. Peu importe si les entreprises qui contrôlent l’un de vos comptes sont violées, car ce mot de passe est différent de celui-ci. Vous pouvez utiliser un outil comme le testeur de mot de passe de Bitwarden pour voir combien de temps les mots de passe différents prennent un ordinateur pour se fissurer. « Vie Associative » prend huit secondes pour se fissurer. « LifehackerDaughtCalm » prend des siècles.
Si votre mot de passe est solide et unique, et prend plus de temps qu’une vie humaine à se fissurer théoriquement, il n’est pas nécessaire de changer ce mot de passe dans trois mois. Il n’est pas nécessaire de changer ce mot de passe en un an. Il n’est pas nécessaire de modifier la période de ce mot de passe – à moins que vous ne vousttions une menace réelle.
Quand changer votre mot de passe
Je ne dis pas que vous ne devriez jamais changer votre mot de passe. Vous devriez certainement le changer si d’autres personnes le savent. Le plus souvent, cela se produit lorsque l’entreprise qui détient votre compte a une violation de données. Disons que AT&T a une méga violation et que les données d’authentification des utilisateurs sont divulguées sur le Web Dark. Dans ce cas, vous devez modifier votre mot de passe dès que possible. Dans un événement comme celui-ci, l’entreprise en question vous dira probablement d’en faire autant, et peut même vous offrir des avantages supplémentaires pour compenser le désagrément de la fuite de vos données.
Bien sûr, les violations de données ne sont pas la seule fois que de bons mots de passe sont découverts. Les logiciels malveillants sont une autre menace à surveiller. Si vous tombez dans une arnaque de phishing, par exemple, et téléchargez des logiciels malveillants sur votre ordinateur, il peut surveiller et voler vos mots de passe sur vos comptes sensibles. Ou, vous pouvez être amené à ouvrir une fausse version d’un site Web pour lequel vous avez un compte, en tapant votre nom d’utilisateur et votre mot de passe dans ce site, et Presto: Mot de passe compromis.
Dans ces cas, votre mot de passe fort et unique est tombé, donc oui, il est temps de le changer. Mais à moins d’une raison réelle de le faire, vous n’avez pas besoin de vous soucier de le changer.
Pour être clair, vous ne blessez pas votre sécurité en modifiant vos mots de passe. En fait, vous pourriez même ne pas avoir le choix, si votre entreprise ou votre organisation vous oblige à changer votre mot de passe de temps en temps. Mais tant que tous vos mots de passe sont forts et uniques, et aucun d’entre eux n’est compromis, vous vous donnez simplement plus de travail sans aucun gain réel.
Conseils de sécurité qui ne perdront pas votre temps
Vous voulez de vrais gains de sécurité? Stockez tous ces mots de passe forts et uniques dans un gestionnaire de mots de passe sécurisé. De cette façon, il vous suffit de vous souvenir d’un mot de passe solide et unique: la clé principale de votre gestionnaire de mots de passe. De plus, utilisez l’authentification à deux facteurs (2FA) dans la mesure du possible. 2FA nécessite un appareil de confiance pour l’authentification secondaire après avoir fourni le mot de passe correct. De cette façon, même si un mauvais acteur connaît votre mot de passe, il ne pourra pas pénétrer sans accès à votre appareil de confiance. (Il suffit de donner la priorité à une application d’authentificateur ou à une clé de sécurité sur l’authentification SMS.)
S’il s’agit d’une option pour vos comptes, vous voudrez peut-être également explorer PassKeys sur les mots de passe. PassKeys combine efficacement la commodité des mots de passe avec la sécurité de 2FA: ils génèrent une clé sur votre appareil de confiance, qui est requis lors de la connexion sur un site. De cette façon, il n’y a pas de mot de passe à voler. Tant que vous vous authentifiez sur l’appareil – parlez, à travers un identifiant de visage ou une épingle – vous êtes dedans.
Tant que vous vous assurez que chacun de vos comptes est sécurisé en utilisant ces étapes et que vous êtes conscient des violations de données, il n’y a aucune raison de vous soucier de changer vos mots de passe tous les trois mois. Restez en sécurité là-bas.
