Créer et maintenir des mots de passe forts

Mis à jour11 November 2021

Table des matières

...Chargement de la table des matières...

    Les mots de passe sont des outils importants pour protéger vos données et votre identité. Malheureusement, les attaquants le savent, et ils peuvent utiliser beaucoup d'astuces pour comprendre vos mots de passe.

    But you can defend against those tricks by applying a few important tools and tactics. The most effective strategy is to make passwords that are LONG, RANDOM, and UNIQUE. To do this reliably, you will need to use a secure password manager. It is also important to set up multi-factor authentication whenever possible.

    Vérifiez si vos mots de passe ont été compromis

    • Recherchez "Have I Been Pwned" pour voir si vos comptes sont listés parmi les comptes compromis.
      • Modifiez immédiatement les mots de passe de votre compte, en suivant les instructions ci-dessous pour configurer un gestionnaire de mots de passe.
    • Même si aucun de vos comptes ne s’affiche ici, vous devez tout de même suivre les instructions ci-dessous, car de nombreux piratages de compte ne sont pas signalées.
    Découvrez pourquoi nous recommandons ceci

    Les attaquants recherchent des mots de passe qui ont déjà été découverts et qui sont disponibles en ligne. Ils essaient les mots de passe de vos comptes jusqu’à ce qu’ils trouvent le bon. Réutiliser le même mot de passe est donc particulièrement risqué. Jetez un œil à Have I Been Pwned pour voir si vos mots de passe figurent sur l’une des listes utilisées par les attaquants.

    Évitez les stratégies courantes de mots de passe faibles

    Voici les moyens les plus courants d'un attaquant pour connaitre vos mots de passe :

    1. Ils peuvent deviner vos mots de passe :
      • En utilisant vos renseignements personnels comme les dates importantes, les noms, les citations célèbres, les chansons ou les auteurs que vous aimez
      • En utilisant un dictionnaire
      • En changeant légèrement un mot de passe que vous avez utilisé avant
      • En utilisant un logiciel pour essayer toutes les combinaisons possibles pour déverrouiller vos mots de passe
    2. Ils peuvent chercher :
      • Où vos mots de passe sont écrits (comme des notes autour de votre bureau)
      • Ce que vous saisissez lorsque vous entrez votre mot de passe
      • Les mots de passe déjà découverts et disponibles en ligne
    3. Ils peuvent vous piéger pour vous pousser à :
      • Installer un logiciel malveillant pour enregistrer vos mots de passe
      • Vous obliger à saisir votre mot de passe dans une fausse page de connexion par le biais de hameçonnage
      • Fournir vos mots de passe ou d’autres renseignements se faisant passer pour un soutien ou quelqu’un que vous connaissez (aussi appelé ingénierie sociale)
    4. Ils exploitent vos vulnérabilités :
      • lls piratent le site Web qui a le mot de passe que vous utilisez
      • Ils volent votre mot de passe s'il est conservé dans votre navigateur
      • Ils volent votre mot de passe dans les applications que vous utilisez sur votre téléphone

    Suivez ces instructions pour vous protéger contre ces tactiques :

    • Utilisez toujours un appareil propre, mis à jour et protégé en qui vous avez confiance pour accéder à vos comptes et ouvrir vos renseignements sensibles.

    • Sachez que les stratégies suivantes, prises seules, NE RENDENT PAS vos mots de passe sécurisés :

      • Utiliser des mots ou des chiffres liés à vous ou aux personnes et organisations autour de vous, tels que :
        • Des noms de personnes, animaux ou organisations
        • Des dates de naissance, d'anniversaire ou de fêtes importantes
        • Des numéros de téléphone ou des adresses
        • Ou toute autre chose que quelqu'un pourrait apprendre en faisant une recherche sur vous ou sur les personnes qui vous entourent
      • Utiliser des phrases courantes, comme des citations célèbres, des paroles de chansons et des poèmes.
      • Remplacer des caractères par un symbole similaire (p. ex., remplacer « a » par « @ », etc.)
      • Mettre des points d’exclamation, des chiffres ou une autre ponctuation à la fin
      • Commencer chaque mot avec des lettres majuscules
      • Utiliser des mots uniques dans un dictionnaire
      • Changer vos mots de passe fréquemment

    Suivez ces instructions pour vous protéger contre ces tactiques :

    Utilisez un gestionnaire de mot de passe

    • Télécharger KeePassXC (pour Linux, Mac ou Windows), KeePassDX (pour Android), ou StrongBox (pour iOS).
    • NE PAS réutiliser les mots de passe.
    • Laisser le gestionnaire de mot de passe générer et enregistrer un mot de passe long, aléatoire et unique pour chacune de vos connexions.
    • Vous pouvez établir des gestionnaires de mots de passe avec vos collègues. Vous pouvez vous aider les uns les autres dans le processus.
      • Vous voudrez peut-être vous familiariser avec le processus de partage de mots de passe en toute sécurité. Cependant, dans la mesure du possible, il est plus sûr de configurer des connexions distinctes pour différents comptes que d’avoir un seul compte et d’avoir à partager son mot de passe.
    • Lire nos guide sur KeePassXC and KeePassDX.
    • Si vous avez besoin d’un gestionnaire de mot de passe en ligne, consultez la section ci-dessous.
    Découvrez pourquoi nous recommandons ceci

    Aucun cerveau humain n’est assez puissant pour se développer et se rappeler assez longtemps de mots de passe aléatoires et uniques et assez longs permettant de garder tous leurs appareils et comptes sécurisés. Un gestionnaire de mot de passe génère et stocke ces mots de passe pour vous, en les protégeant par cryptage.

    Nous recommandons KeePassXC, KeePassDX, et StrongBox. Leur utilisation est gratuite, ils ont été vérifiés comme étant sécurisés par des experts de la communauté, et continuent d’être mis à jour. Ils stockent les mots de passe dans une base de données hors ligne, ce qui signifie que vous contrôlez l’endroit où les données sont stockées et comment elles sont gérées.

    Sauvegardez la base de données de votre gestionnaire de mots de passe

    Découvrez pourquoi nous recommandons ceci

    Comme pour tout mot de passe individuel, la perte d’un grand nombre de vos mots de passe à la fois pourrait vous vous porter préjudice, voire avoir des conséquences catastrophiques en vous coupant de vos contacts ou en entrainant une perte de vos finances. Entrainez-vous à sauvegarder votre base de données régulièrement.

    Retenez quelques mots de passe sécurisés

    • Utilisez la méthode diceware (méthode du lancer de dés) pour générer des mots de passe pour votre gestionnaire de mots de passe et d’autres mots de passe dont vous devez vous souvenir (comme le mot de passe pour déverrouiller votre gestionnaire de mots de passe ou vos appareils)) :
      • Procurez-vous une liste de mots numérotés ainsi que quelques dés à jouer.
      • Lancez les dés cinq fois pour obtenir un nombre à cinq chiffres (par exemple, 6,2,5,1,1).
      • Utilisez le mot dans la liste avec le numéro correspondant.
      • Répétez ceci cinq fois. Utilisez ces cinq mots comme "mot de passe" pour une connexion.
        • Ne réutilisez pas ce mot de passe ailleurs.
      • Ensuite, créez une image mentale en utilisant les mots, dans l’ordre, ce qui vous aidera à vous souvenir de la phrase.
    • Exercez-vous à saisir ces mots de passe régulièrement, quotidiennement au début, puis au moins une fois par semaine. La répétition vous aidera à les mémoriser.
    Découvrez pourquoi nous recommandons ceci

    Il y aura quelques mots de passe que vous devrez mémoriser, notamment le mot de passe principal de votre gestionnaire de mot de passe. Il existe des stratégies qui peuvent vous aider à créer des mots de passe qui sont faciles à mémoriser mais extrêmement difficiles à deviner, même pour un attaquant intelligent avec le logiciel 'password cracking'.

    S’il y a des mots de passe ou des codes de sauvegarde que vous devez garder en dehors de votre gestionnaire de mots de passe

    • Si vous devez écrire des mots de passe sur papier, rangez-les dans un endroit sûr et verrouillé comme un coffre-fort ou un tiroir de bureau.
      • Il est important que vos mots de passe ne soient pas visibles pour ceux qui passent, ou faciles à trouver et à copier.
      • Ne les gardez pas dans votre portefeuille.
    • Détruisez complètement les copies papier des mots de passe ou des codes de sauvegarde dès que vous n’en avez plus besoin.
    • Vous pouvez également conserver ces mots de passe sur un autre appareil. Vous pouvez les cacher entre d’autres notes sans explication ni description.
    Découvrez pourquoi nous recommandons ceci

    Les mots de passe longs peuvent être difficiles à retenir. Pour les mots de passe que vous ne pouvez peut-être pas enregistrer dans votre gestionnaire de mots de passe (comme ceux pour déverrouiller vos appareils), envisagez de les écrire et de les protéger avec un verrou physique.

    Si vous décidez d’utiliser un gestionnaire de mot de passe en ligne

    • Évitez de stocker des renseignements très sensibles sur les comptes (tels que des identifiants de compte financier ou de compte de récupération) dans la base de données en ligne.
    • Protégez l’accès à votre base de données en ligne grâce à une authentification à 2 facteurs.
    • Nous recommandons Bitwarden comme gestionnaire de mot de passe en ligne.
    Découvrez pourquoi nous recommandons ceci

    Les gestionnaires de mots de passe qui synchronisent automatiquement entre les appareils en ligne peuvent être plus faciles à utiliser. Ils stockent votre base de données de mots de passe cryptés sur les serveurs. Cependant, les gestionnaires de mots de passe en ligne présentent un risque supplémentaire qu’un attaquant puisse déchiffrer votre base de données et accéder à vos mots de passe sans que vous le sachiez.

    Nous recommandons KeePassXC, KeePassDX, et StrongBox parce qu’ils ne stockent pas vos mots de passe en ligne. Si vous décidez d’utiliser un gestionnaire de mots de passe en ligne, nous vous recommandons de prendre ces mesures pour une protection supplémentaire.

    Si vous devez partager des mots de passe

    • Évitez autant que possible de partager des mots de passe :
      • Si vous devez partager un mot de passe avec un ami, un membre de votre famille ou un collègue, changez-le pour quelque chose de temporaire avant de partager ce mot de passe. Changez-le pour quelque chose de sécurisé à nouveau quand ils ont fini de l’utiliser.
      • Envisagez de créer des comptes distincts pour chaque personne qui a besoin d’un accès ; de nombreux services rendent cela possible. Vous pouvez limiter les actions que ces comptes sont autorisés à prendre, et ce qu’ils peuvent voir. Voir les guides de sécurité de base pour Android, iOS, Linux, Mac, et Windows et suivez les instructions.
      • Configurez votre gestionnaire de mots de passe afin de pouvoir l’utiliser à plusieurs ; [c'est possible sur KeePassXC.](https ://keepassxc.org/docs/KeePassXC_UserGuide.html#_database_sharing_with_keeshare)
    Découvrez pourquoi nous recommandons ceci

    Chaque fois que vous partagez un mot de passe, c’est presque comme si vous aviez fait une copie supplémentaire de votre clé et l’aviez donnée, ou comme si vous aviez laissé les portes et les fenêtres ouvertes aux voleurs. En fait, c’est encore plus risqué que cela, parce que beaucoup de vos « portes » et « fenêtres » peuvent être facilement accessibles par des appareils éloignés sans que vous ne le remarquiez. Limitez cette possibilité d’attaque des « portes ouvertes» en évitant de partager des mots de passe dans la mesure du possible.

    Ne donnez pas votre mot de passe lorsque quelqu’un vous envoie des courriels, des messages ou vous appelle

    • Rendez-vous sur l’application ou le site du service qui vous aurait envoyé le message pour vérifier la demande.
    • S’il s'avère que c’est une personne ou un bureau que vous connaissez qui vous a envoyé le message, contactez là par un autre canal pour vérifier si elle a fait la demande.
      • Par exemple, si le message était un courriel, appelez-les.
      • Ne cliquez pas sur les liens dans le courriel et n’envoyez pas de réponse.
    • Soyez vigilent quand un message essaie de vous effrayer, d'attirer votre curiosité, de vous faire sentir que vous allez manquer une occasion, ou autrement dit, vous faire agir rapidement et sans réfléchir. Faites une pause, restez calme et trouvez d’autres moyens de vérifier la véracité de tels messages.
    Découvrez pourquoi nous recommandons ceci

    Les agresseurs se font souvent passer pour quelqu’un qu’ils ne sont pas, comme le représentant d'une banque ou d'une assistance technique, afin de nous convaincre de leur donner des renseignements sensibles. Les attaquants jouent aussi souvent sur nos émotions et la nature humaine pour nous faire leur donner des mots de passe alors que nous ne le devons pas.

    Si vous recevez un appel, un courriel ou un message vous demandant votre mot de passe ou d’autres renseignements sensibles, ou si un courriel ou un lien hypertexte sur lequel vous cliquez demande ces renseignements, il est très probable que quelqu’un essaie de vous piéger.

    Quand changer votre mot de passe

    Change your password immediately when:

    • it appears your account, devices, or colleagues and people around you have been victims of a breach.
    • you get a credible warning from the services you use that there was an attempt to log in from an unauthorised device or location.
      • Look for news reports about breaches.
      • If you receive an email or alert, double-check on the service provider's own website that they sent the alert.
    • you entered your password on an untrusted, shared, or public device (it might have malicious code installed).
    • you are concerned that someone watched you type your password.

    Minimiser les dommages en avertissant les autres personnes qui peuvent également avoir été touchées.

    Consultez nos guides sur les réseaux sociaux et les guides de sécurité de base pour Android, iOS, Linux, Mac, et Windows pour obtenir des instructions sur la façon de modifier les mots de passe de votre appareil.

    Découvrez pourquoi nous recommandons ceci

    Des recherches montrent que changer votre mot de passe à maintes reprises n’améliore pas nécessairement la sécurité. Lorsque les gens doivent souvent changer de mot de passe, ils ont tendance à ne faire que de petites modifications au mot de passe, au lieu de proposer un tout nouveau mot de passe. Pour en savoir plus sur ces recherches cliquez ici.

    Il est plus important de changer vos mots de passe en cas d’atteinte à la protection des données. Parce que nous ne savons pas toujours quand les données ont été divulguées, nous recommandons de changer les mots de passe tous les quelques mois ou chaque année, ou immédiatement quand il y a une raison de croire qu’il peut être compromis.

    Faites attention où vous êtes et qui peut voir

    • Si vous êtes dans un espace public et que vous saisissez votre mot de passe, prenez garde à si vous pouvez être vu ou enregistré.
    • Vérifiez si quelqu’un regarde votre clavier ou votre téléphone pendant que vous saisissez vos mots de passe.
    • Utilisez un écran de protection de la confidentialité afin qu’il soit plus difficile de voir ce que vous saississez.
    Découvrez pourquoi nous recommandons ceci

    Les adversaires peuvent vous surveiller et vous enregistrer lorsque vous saisissez votre mot de passe. Le téléphone portable d’une activiste a été confisqué en vertu de fausse accusation de sédition. Son appareil mobile était verrouillé par un mot de passe qu’elle refusait de fournir, mais l'accusation a réussi à déverrouiller son téléphone et à accéder à ses données en étudiant ses routines quotidiennes. Ils ont remarqué une caméra de vidéosurveillance dans l’ascenseur où elle vit et ont pu obtenir une vidéo d'elle en train de saisir ses mots de passe.

    Utilisez l’authentification à deux facteurs (2FA ou MFA)

    • Vérifiez quels services offrent une 2FA.
    • Il est crucial de mettre en place une 2FA pour :
      • vos comptes bancaires ou applications monétaires
      • Les comptes comme votre adresse courriel, les réseaux sociaux ou d’autres dont vous auriez besoin pour récupérer d’autres comptes
    • Vos options d'authentification à deux facteurs peuvent inclure :
      • Utilisez une application ou un programme d’authentification comme Google Authenticator, Okta ou Duo. Nous recommandons l’application Aegis sur Android ou Raivo OTP sur iOS/iPhone.
        • Lorsque vous utilisez cette option, il est important de protéger votre téléphone mobile contre les logiciels malveillants.
      • Utilisez un périphérique matériel — souvent appelé un jeton de sécurité, un dongle ou une « clé » USB — que vous pouvez brancher à votre appareil ou configurer pour utiliser la communication en champ proche (NFC).
        • Par exemple Yubikey, Nitrokey, Google Titan Key et Thetis Key
        • Parfois, les périphériques matériels peuvent ne pas être utilisables sur les appareils mobiles.
    • Vous pouvez utiliser une application d’authentification ou un dispositif matériel pour plusieurs services, ou configurer différents services avec différentes formes d'authentification à deux facteurs (2FA) pour avoir une protection supplémentaire.
    • Une fois que vous avez configuré votre appareil pour une 2FA, les deux options ci-dessus ne nécessitent pas de connexion Internet pour générer des codes. L’utilisation du courriel pour une 2FA nécessitera une connexion Internet.
    • Classez les options de 2FA par ordre de sécurité, une application d’authentification ou un périphérique matériel est plus sûr, puis l'email, puis le SMS. En outre, les SMS peuvent ne pas vous parvenir si vous êtes dans un autre pays ou sans couverture.
      • Les SMS ne sont pas cryptés et des attaquants ont réussi à intercepter ces codes ponctuels envoyés vers le téléphone d’une cible.
    • Une fois que vous avez configuré la 2FA, lorsque vous entrez votre nom d’utilisateur et votre mot de passe, vous utiliserez également ce moyen supplémentaire pour prouver que vous êtes qui vous dites être, en insérant votre clé, en entrant un code de votre authentificateur, ou en entrant le code qui vous est envoyé.
    • Ne désactivez pas l’authentification à deux facteurs une fois que vous l’avez configurée. Certains services peuvent vous offrir la possibilité de l’éteindre pendant un certain temps pour des raisons de commodité, mais tenez compte de l’impact que cela pourrait avoir sur votre sécurité.
    Découvrez pourquoi nous recommandons ceci

    Quand il s’agit de connexions, il est plus sûr d’avoir plusieurs niveaux de protection. Si la première couche de protection est violée, vous pouvez compter sur la seconde pour protéger vos actifs numériques. L’authentification multifactorielle (MFA) ou à deux facteurs (2FA) au moyen d’un autre appareil ou d’un courriel fournit ces couches de protection supplémentaires. Bien que beaucoup de gens les trouvent commodes, le message texte (aussi appelé SMS) est l’option la moins sécurisée pour une 2FA.

    Utiliser la 2FA peut sembler peu pratique, mais rappelez-vous : ce qui est légèrement gênant pour vous l'est beaucoup plus pour les criminels et d’autres personnes qui pourraient essayer d’accéder à votre compte. Avoir vos comptes volés, détournés ou surveillés par des personnes malveillantes serait un bien plus incommodant à long terme.

    Garder les codes de sauvegarde de 2FA en sécurité et séparés

    • Si vous recevez des codes de sauvegarde lorsque vous configurez la 2FA, conservez ces codes dans un gestionnaire de mots de passe.
    • Idéalement, pour garder ces codes séparés des autres informations qui pourraient être utilisées pour accéder à vos comptes, créez une base de données KeePassXC séparée et enregistrez-la sur un autre appareil.
    Découvrez pourquoi nous recommandons ceci

    La plupart des services en ligne vous donneront une liste de codes de sauvegarde lorsque vous activez l’authentification à deux facteurs pour votre compte. Ces codes sont votre chemin de retour à votre compte si vous perdez l’accès à l’appareil que vous utilisez pour la 2FA. Les codes n’expirent jamais. Il est important de garder les codes de sauvegarde en sécurité, car quiconque possède votre mot de passe peut accéder à votre compte en utilisant l’un des codes.

    Évitez le déverrouillage par empreintes digitales ou reconnaissance faciale (biométrie)

    • Si votre appareil est configuré pour se déverrouiller à l’aide de votre visage ou de votre empreinte digitale, modifiez vos paramètres pour utiliser plutôt le déverrouillage par mot de passe.
    • Voir les guides de sécurité de base pour Android, iOS, Linux, Mac, et Windows pour des instructions sur la façon de procéder.
    Découvrez pourquoi nous recommandons ceci

    La biométrie peut vous permettre d'accéder plus rapidement à vos appareils, en utilisant vos caractéristiques personnelles comme les empreintes digitales ou le visage. Cependant, c'est généralement un moyen moins sûr de verrouiller votre appareil et votre compte. Contrairement à un mot de passe, vous ne pouvez pas changer vos empreintes digitales quand vous le souhaitez. De nombreuses personnes doivent laisser des renseignements biométriques dans les aéroports ou les bureaux du gouvernement, etc. Cela crée un risque potentiel que quelqu’un puisse accéder à vos comptes sans votre consentement. Si vos adversaires vous retiennent ou vous forcent physiquement, cela peut être encore plus facile pour eux de déverrouiller vos appareils que si vous le verrouillez avec un mot de passe.

    Préparez des questions de récupération plus sécurisées

    De nombreux services web demandent des « questions de sécurité » ou des « questions de récupération » lorsque vous créez un compte. Pour faire en sorte qu'elles soient plus difficile à deviner : — Fournissez des réponses fausses, sans rapport à ces questions. - Vous pouvez même utiliser un autre code aléatoire et unique généré par votre gestionnaire de mot de passe. - Enregistrez vos réponses et les autres faux renseignements dans votre gestionnaire de mot de passe afin de ne pas être bloqué.

    Découvrez pourquoi nous recommandons ceci

    Recovery questions are important to helping services verify your identity if they suspect someone else is trying to access your account. You use these answers to change your password in case you lose access to your account. Unfortunately, your answers to questions like "What town were you born in?" or "What is your pet's name?" can be easy to find online. By giving fake answers, you can make it harder for an attacker to hijack your account.

    lectures complémentaires