Écoute, je comprends. Personne n’aime gérer ses mots de passe. Il est tellement plus facile d’utiliser le même mot de passe simple pour chaque compte. Ainsi, lorsque vous vous connectez, vous saisissez une phrase familière issue de votre mémoire musculaire et vous y êtes.
Maintenant, la conférence : c’est horrible du point de vue de la sécurité. Votre mot de passe est trop facile à deviner, ce qui signifie qu’il est trop facile pour les pirates informatiques de s’introduire dans vos comptes. Et si vous utilisez le même mot de passe facile à deviner pour tout, eh bien, vous passerez un mauvais moment.
Les mots de passe les plus courants sont presque tous terribles
Vous n’êtes pas obligé de me croire sur parole : pour la sixième année consécutive, NordPass (en collaboration avec NordStellar) a publié une liste des mots de passe les plus couramment utilisés sur Internet. Cette liste couvre les 200 mots de passe les plus couramment utilisés dans 44 pays du monde entier, sur la base de 2,5 To de données, y compris des informations provenant du dark web. NordPass a trouvé certaines de ces données provenant de mots de passe divulgués par des pirates informatiques ou volés via des logiciels malveillants. Étant donné que la plupart d’entre eux étaient liés à des adresses e-mail, NordPass a pu séparer les mots de passe entre les comptes professionnels et personnels, bien qu’ils aient constaté cette année qu’il y avait peu de différences entre les mots de passe que les gens utilisent au travail et ceux qu’ils utilisent à la maison.
En regardant les mots de passe les plus courants dans les 44 pays étudiés ici, beaucoup ne surprendront pas. Le mot de passe le plus utilisé, par exemple, plus de trois millions de fois, est « 123456 ». Le deuxième plus utilisé, utilisé plus de 1,6 million de fois, est « 123456789 ». Le numéro quatre est « mot de passe », tandis que trois variantes de « qwerty » figurent dans le top 20.
Certains favoris personnels qui défilent dans cette liste sont : « dragon » (#20), « singe » (#21), « aaaaaa » (#54), « fuckyou » (#60), « computer » #63, « trustno1 ». (#135), « letmein » (#144) et « cheese » (#200). Si vous utilisez l’un de ces éléments, bravo pour ce mot de passe amusant. Maintenant, changez-le immédiatement.
Les mauvais mots de passe peuvent être cassés en quelques minutes (ou moins)
Beaucoup d’entre eux sont évidemment de mauvais mots de passe. Utiliser quelque chose comme « mot de passe », « 123456 » ou « qwerty » est simple à deviner pour les humains et les ordinateurs. Cependant, la plupart de ces mots de passe sont mauvais, et pas seulement parce qu’ils sont couramment utilisés. Beaucoup sont simplement des mots de passe faibles, structurés de manière à ce qu’un ordinateur puisse les pirater rapidement. En fait, la plupart sont craquables en moins d’une seconde. En parcourant la liste, cela devient évident. Il faudra peut-être beaucoup de temps à un humain pour comprendre que le mot de passe de quelqu’un est 123456c, mais un ordinateur peut le casser presque instantanément.
Pour être honnête, certains d’entre eux prennent des minutes ou des heures de plus, tandis que d’autres mettent un certain temps à se décomposer : « 111222tianya », numéro 75, prendrait une journée complète pour se résoudre, tandis que « g_czechout », numéro 157, prendrait 12. jours. Mais la grande majorité de ces mots de passe sont presque aussi mauvais que de ne pas avoir de mot de passe du tout.
Qu’est-ce qui rend un mot de passe fort et unique ?
Lorsqu’il s’agit de créer de bons mots de passe, ne choisissez pas quelque chose qui signifie quelque chose pour vous. En fait, vous ne voulez pas quelque chose qui signifie quelque chose pour qui que ce soit : plus le mot de passe est obscur et/ou aléatoire, plus il sera difficile à déchiffrer pour un ordinateur, et il sera probablement impossible à un humain de le deviner.
Mais cela ne signifie pas que vous devez commencer à écraser le clavier à chaque fois que vous créez un nouveau mot de passe. Une méthode efficace pour créer des mots de passe forts et uniques consiste à enchaîner quelques mots totalement aléatoires. Utilisez cette version vieillissante mais toujours précise de la bande dessinée xkcd sur le sujet comme modèle : le dessinateur Randall Munroe démontre comment un mot de passe comme « Tr0ub4dor&3″ semble fort en surface (un humain ne le devinerait jamais), mais un ordinateur pourrait le déchiffrer assez facilement. De plus, il est difficile de s’en souvenir. La connexion de quatre mots aléatoires est beaucoup plus difficile à comprendre pour les ordinateurs et les humains, et vous aurez peut-être plus de facilité à vous en souvenir (le désormais tristement célèbre « agrafe de batterie correcte ». Remplacez certaines lettres par des caractères, incluez un un soulignement ou deux, et vous obtenez un mot de passe fort.
Procurez-vous déjà un gestionnaire de mots de passe
Vous pouvez en savoir plus sur la création de mots de passe mémorables, forts et uniques dans notre guide ici. Honnêtement, vous n’avez besoin de mémoriser qu’un seul mot de passe fort et unique, car les autres doivent être verrouillés dans un gestionnaire de mots de passe. Cela supprime la tentation de rendre l’un de ces mots de passe mémorable : le gestionnaire s’en souvient, vous n’êtes donc pas obligé de le faire. Ils créeront même les mots de passe pour vous !
Si vous avez besoin d’aide pour en trouver un, notre site partenaire PCMag propose une liste des meilleurs gestionnaires de mots de passe qu’ils ont essayés en 2024. Bien sûr, vous pouvez toujours utiliser le gestionnaire de mots de passe gratuit fourni avec la plateforme de votre choix. La nouvelle application Mots de passe d’Apple n’est pas trop mauvaise pour gérer vos mots de passe sur iPhone, iPad et Mac, même si elle sera plus limitée qu’un gestionnaire de mots de passe tiers dédié.
Même les bons mots de passe ne sécurisent pas votre compte
De toute façon, les mots de passe attirent trop l’attention. Vous devez également les associer à une authentification à deux facteurs sur tout compte qui la prend en charge, de préférence via une application d’authentification plutôt qu’un simple message texte. Si vous avez configuré 2FA, un mot de passe compromis ne suffira pas aux pirates informatiques pour pénétrer dans votre compte : ils auront également besoin d’accéder au code sur votre appareil de confiance.
Si des entreprises comme Apple et Google obtiennent gain de cause, les clés d’accès pourraient remplacer complètement le système. Les clés d’accès combinent les mots de passe et le 2FA dans un seul système sécurisé. Vous ne trouvez pas de mot de passe ; plutôt, votre appareil secondaire est le mot de passe, stockant le mot de passe sécurisé pour vous et uniquement pour vous d’y accéder. Tant que vous pouvez vous authentifier, vous y êtes. C’est un concept génial qui pourrait à la fois simplifier l’authentification et améliorer sa sécurité. Mais étant donné que nous sommes encore nombreux à utiliser un « mot de passe » pour tout, il nous faudra beaucoup de temps pour y parvenir.