La sécurité des mots de passe

La plupart des applications et des systèmes manipulant des informations sensibles sont protégés par un mot de passe.

Depuis plus d’une dizaine d’années, les recommandations générales concernant les mots de passe étaient à l’effet de rendre ceux-ci complexes en utilisant un mélange de lettres en minuscules et en majuscules, des chiffres et des caractères spéciaux et de les changer fréquemment. De nouvelles études ont toutefois démontré que ces recommandations ne tenaient pas suffisamment compte du facteur humain et de la complexité d’application de ces règles. Des recommandations ont été émises au cours de l’été 2017 par le NIST (National Institute of Standard in Technology). Ces recommandations modifient un peu les idées préconçues sur les mots de passe.

Ce document s’inspire donc de ces recommandations et présente quelques bonnes habitudes à prendre afin de garantir la sécurité de vos informations.

Composition du mot de passe

Afin de rendre la vie dure à quiconque voudrait usurper votre identité sur des systèmes informatiques, votre mot de passe doit d’abord et avant tout être difficile à deviner. Votre adresse, votre date de naissance, le nom de votre animal domestique ou un mot de passe en lien avec le nom du service ou de l’application que vous utilisez sont tous des éléments relativement faciles à deviner. Il n’est donc pas recommandé de les utiliser en tout ou en partie comme mot de passe.

Votre mot de passe devrait avoir un minimum de 12 caractères, mais dans les faits, celui-ci devrait être le plus long possible. Il devrait également être facile à mémoriser.

Les nouvelles études ont démontré que, contrairement à ce qui est véhiculé depuis longtemps, ce n’est pas le mélange des lettres en minuscules et en majuscules, des chiffres et des caractères spéciaux qui donne de la force aux mots de passe, mais bien sa longueur. En effet, il a été démontré que l’inclusion de ces requis pour la production de mots de passe sécuritaires a mené à des comportements prévisibles, notamment pour faciliter la mémorisation:

  • Inclusion d’une lettre majuscule au début du mot de passe
  • Remplacement de a par @
  • Ajout d’un «!» à la fin du mot de passe

Ces stratégies ne sont PAS sécuritaires. Les mots de passe supposément robustes n’étaient donc pas plus difficiles à deviner pour les pirates; ceux-ci ont simplement ajusté leurs outils de piratage en conséquence. Donc, bien qu’il demeure intéressant d’inclure ces éléments dans un mot de passe, la clé est la longueur. Plus le mot de passe est long, plus il est robuste.

Il existe deux méthodes intéressantes pour créer un mot de passe long et facile à mémoriser:

  • Utiliser une phrase que vous pourrez retenir facilement : JeBarreMaPorteLaNuit
  • Composer un votre mot de passe en utilisant la première lettre de chaque mot d’une phrase. Vous n’aurez qu’à vous rappeler cette phrase pour vous rappeler le mot de passe. Par exemple avec la phrase : « Pataud et Bozo sont mes deux chiens bruns », vous pouvez obtenir le mot de passe : P&Bsm2cbruns

Changement de mot de passe

Les changements de mots de passe périodiques, bien qu’ils ne fassent aucun tort lorsqu’effectués correctement, ne sont plus recommandés. Les études ont démontré que, dans une majorité de cas, les changements de mot de passe fréquents menaient à l’utilisation de mots de passe trop simples pour faciliter la mémorisation ou à l’ajout d’un seul caractère au mot passe précédent. Encore une fois, le facteur humain à l’œuvre.

Il est dorénavant recommandé de changer son mot passe seulement lorsque vous avez des raisons de croire que celui-ci est compromis. Les fournisseurs de services sont invités à aviser leurs clients s’ils remarquent des activités douteuses sur leur compte, surveillance que nous faisons également à l’UQAM. Il faut toutefois demeurer prudent, car cette pratique peut entraîner la production de courriels d’hameçonnage tentant de vous faire croire à une activité irrégulière sur votre compte. Ne cliquez jamais sur des liens dans des courriels de ce genre et validez directement avec le fournisseur de service avant de poser une action.

Si vous devez réellement changer votre mot de passe :

  • Choisissez un mot de passe robuste et significativement différent de votre ancien mot de passe
  • Changez-le partout où vous l’utilisez (voir section suivante)

Variété et entreposage des mots de passe

Plusieurs systèmes nécessitent chacun de créer un mot de passe : certains sont à l’UQAM et d’autres sont utilisés dans votre vie personnelle. Il est recommandé de créer un mot de passe unique pour le code MS utilisé pour les systèmes de l’UQAM et d’autres mots de passe, différents, pour les systèmes que vous utilisez dans votre vie personnelle. Autrement, la compromission de l’un amènerait la compromission des autres. Par exemple, si on venait à connaître le mot de passe de votre code MS, on pourrait en déduire le mot de passe de l’ensemble de vos comptes (incluant par exemple, votre compte de messagerie personnelle ou votre compte bancaire)!

L’endroit idéal pour entreposer votre mot de passe est… dans votre tête! Toutefois, devant la panoplie de mot de passe que nous devons gérer de nos jours, vous pouvez vous aider en utilisant un gestionnaire de mot de passe. Ces outils sont sécuritaires et constituent une bonne mesure de protection de la confidentialité.

Responsabilités quant au mot de passe

Selon les dispositions du Règlement #12 de l’UQAM, vous êtes responsable de la sécurité de votre mot de passe. Vous êtes également responsable de tout acte qui pourrait être posé sur le réseau informatique de l’UQAM avec votre nom d’usager et votre mot de passe. Par conséquent, nous déconseillons fortement tout partage de mots de passe. Même si vos intentions sont louables, par exemple, en partageant votre mot de passe avec un collègue ou un équipier pour permettre l’avancement de travaux, préconisez plutôt l’utilisation d’un espace réseau commun ou d’un support amovible.

À retenir…

  • Un bon mot de passe est un mot de passe long. Plus un mot de passe est long, plus il est robuste;
  • N’écrivez votre mot de passe nulle part, au besoin, utilisez un gestionnaire de mot de passe;
  • Utilisez un mot de passe distinct pour le travail et vos sites personnels préférés;
  • Ne divulguez et ne partagez jamais un mot de passe.