Ajouter des chiffres et des symboles à vos mots de passe ? Ce n’est pas la meilleure pratique selon les experts

Fini les énigmes pour créer un mot de passe ! LE Institut national des normes et de la technologie (NIST) bouscule les règles du jeu et s’explique.

Depuis des années, on nous dit qu’un bon mot de passe doit contenir des lettres majuscules, des chiffres et des symboles. Mais selon les nouvelles recommandations du NIST, cette approche est devenue obsolète. L’organisme américain, référence en matière de sécurité informatique, propose une vision radicalement différente de ce qui fait un mot de passe efficace.

La longueur, la nouvelle reine de la sécurité

Première surprise : le NIST affirme que la longueur d’un mot de passe est bien plus importante que sa complexité. Un exemple concret ? Un mot de passe de 12 caractères composé uniquement de lettres prendrait environ 2 000 ans à déchiffrer. En comparaison, un mot de passe de 8 caractères mêlant chiffres, symboles et majuscules ne durerait que… 17 ans !

 » Les vérificateurs et les CSP ne devraient pas imposer d’autres règles de composition pour les mots de passe», indique clairement le NIST dans ses nouvelles lignes directrices. Plus besoin donc d’utiliser des caractères spéciaux ou des majuscules.

Plus de changements réguliers

Autre révolution : le NIST déconseille désormais d’obliger les utilisateurs à changer régulièrement leur mot de passe.  » Les auditeurs et les CSP n’exigeront pas que les utilisateurs changent périodiquement leurs mots de passe», peut-on lire dans les recommandations.

Pourquoi ce changement ? L’organisation estime que cette pratique pousse souvent les utilisateurs à créer des mots de passe plus faibles, tout simplement parce qu’ils seront plus faciles à retenir. A l’inverse, un mot de passe stable dans le temps a plus de chance d’être robuste.

Ces nouvelles lignes directrices s’inscrivent dans un contexte plus large d’évolution de nos pratiques en ligne.  » La façon dont nous naviguons sur le Web a considérablement changé ces dernières années», rappelle le NIST. Avec la prolifération des services en ligne, les mots de passe ne sont plus la seule méthode d’authentification disponible.

Certaines entreprises, comme Microsoft, vous permettent même de vous passer complètement de mot de passe. D’autres s’appuient sur les « clés d’accès » comme alternative. Dans ce nouveau paysage, la sécurité repose davantage sur une approche holistique que sur la seule complexité d’un mot de passe.

Pour aller plus loin
Comment configurer un mot de passe sur votre compte Google pour mettre fin aux mots de passe

La double authentification, la barrière ultime

Malgré ces changements, le NIST souligne un point crucial : l’importance de la vérification en deux étapes. Cette méthode, qui ajoute une couche de sécurité supplémentaire, reste fortement recommandée pour tous les comptes importants.

Pour aller plus loin
Double authentification (2FA) : pourquoi et comment sécuriser vos comptes Google, Facebook, iCloud, Steam, etc.

L’organisme précise toutefois qu’il est préférable d’éviter le SMS comme deuxième facteur d’authentification. Mieux vaut choisir une application dédiée, plus sécurisée.

Vers une adoption progressive

Il est important de noter que ces recommandations du NIST ne sont pas contraignantes pour les entreprises privées. Seuls les services liés au gouvernement américain sont tenus de les suivre. Cependant, l’influence du NIST dans le domaine de la cybersécurité est telle que l’on peut s’attendre à une adoption progressive de ces nouvelles pratiques.

En attendant, que retenir pour vos propres mots de passe ? Choisissez la longueur plutôt que la complexité, optez pour des phrases faciles à retenir (comme les paroles de chansons) et surtout, activez l’authentification à deux facteurs sur tous vos comptes importants. La sécurité en ligne évolue, à nous de suivre !

Notre conseil : passez à un gestionnaire de mots de passe, cela vous facilitera la vie.

Pour aller plus loin
Quels sont les meilleurs gestionnaires de mots de passe gratuits et payants ?