Arrêtez de gonfler les internautes avec vos demandes de mots de passe « sécurisés »

Les sites Internet doivent cesser d’obliger les internautes à inclure tel ou tel caractère dans un mot de passe. C’est en somme la toute nouvelle recommandation formulée aux États-Unis par le National Institute of Standards and Technology (NIST). Une suggestion qui pourrait très bien être reprise en France.

Outre-Atlantique, le NIST est un organisme de normalisation qui travaille par exemple sur la cryptographie post-quantique et la sécurité informatique. L’organisme émet également des lignes directrices sur d’autres sujets, notamment les mots de passe. Or, de nouveaux avis en la matière ont été formulés très récemment, rapporte la presse américaine le 26 septembre 2024.

• Premièrement, nous devons cesser d’exiger des utilisateurs qu’ils changent leur mot de passe à intervalles réguliers.

Pour le NIST, tout renouvellement de mot de passe ne doit se faire que s’il est prouvé qu’il y a eu une compromission de la part de l’internaute (son mot de passe a été volé) ou du site (il a été piraté). Le NIST n’est pas la première organisation à adopter cette ligne. En fait, ce message est répété depuis des années.

• Ensuite, les sites doivent s’abstenir de définir des exigences de composition dans un mot de passe (en bref, mélanger des lettres et des chiffres, avoir des minuscules et des majuscules, insérer des caractères spéciaux, etc.).

C’est contre-productif, c’est épuisant, c’est pas très efficace

Dans son développement, le NIST reconnaît que les règles de composition visent à augmenter la difficulté de deviner les mots de passe choisis par l’utilisateur. Cependant,  » des recherches ont montré que les utilisateurs réagissent de manière très prévisible aux exigences imposées par les règles de composition », note l’institut.

Ainsi, un internaute ayant choisi « Mot de passe » comme mot de passe sera relativement susceptible de mettre « Mot de passe1 » si on lui signale qu’il manque un chiffre ou « Mot de passe1 ! » si vous devez également mettre un symbole. De toute évidence, certains internautes ont tendance à suivre certains modèles qui peuvent ensuite être exploités.

Le NIST a basé son opinion sur des analyses de bases de données de mots de passe piratés. Il s’avère que le prétendu avantage des règles qui imposent d’avoir, par exemple, au moins un chiffre, une majuscule et un symbole  » est moins important qu’on ne le pensait initialement « . En revanche, les effets néfastes sur la mémorisation et la facilité d’utilisation » sont sérieux « .

 » Les humains ont une capacité limitée à mémoriser des secrets complexes et arbitraires, c’est pourquoi ils choisissent souvent des mots de passe faciles à deviner. », rappelle le NIST. C’est aussi la raison pour laquelle ils utilisent également le(s) même(s) mot(s) de passe sur la plupart des sites, même si c’est catastrophique.

Pour contrer ce problème, la meilleure solution en termes de bénéfices/risques est de mobiliser un gestionnaire de mots de passe qui fera ce travail de mémorisation à votre place, tout en satisfaisant aux exigences habituelles : longueur du mot de passe, complexité, unicité, etc. C’est quand même mieux qu’un post -ça, en tout cas.

Quel gestionnaire de mots de passe choisir ?

Numerama propose un comparatif des meilleurs gestionnaires de mots de passe en 2024. En plus de ces logiciels, qui font office de coffre-fort, il est prescrit d’utiliser la double authentification (aussi appelée authentification forte/authentification à deux facteurs), qui apporte une protection supplémentaire. Et si vous souhaitez aller encore plus loin, des passe-clés vous attendent : de plus en plus de sites et services les acceptent.

Les meilleurs gestionnaires de mots de passe