« 123456 » et « QWERTY » sont toujours dans les mots de passe les plus utilisés en 2016. L’humain est au cœur de la sécurité avec la prolifération des mots de passe. S’authentifier est nécessaire pour de nombreuses opérations, professionnelles ou personnelles et les utilisateurs minimisent encore l’importance de ce premier verrou. Consciente des lacunes, la CNIL publie un nouveau guide de conseils pratiques pour créer de bons mots de passe.

507873556

Aujourd’hui tout passe par le numérique. Vie privée, vie publique et vie professionnelle sont confiées à internet et sont devenues des cibles de choix pour les pirates informatiques. Avec une cyberattaque toutes les 40 secondes en 2016, le fléau est immense. Le premier rempart de sécurité contre ces menaces reste le mot de passe, encore faut-il bien le choisir.

Les principaux risques liés aux mots de passe apparaissent lors des 4 étapes principales de son cycle de vie : sa création, son authentification, sa conservation et son renouvellement.menaces-mot-de-passe

A l’occasion de la journée européenne de la protection des données, le 28 janvier dernier, la CNIL a publié ses recommandations de sécurité minimales pour les entreprises et les particuliers.

Les recommandations de la CNIL :

visuel_actu CNIL

Un mot de passe en béton

Un bon mot de passe doit contenir au moins 12 caractères et 4 types différents : des minuscules, des majuscules, des chiffres et des caractères spéciaux. Il peut être plus court si votre compte est équipé de sécurités complémentaires !

Il ne dit rien sur vous

Personne ne doit deviner votre mot de passe à partir du nom de votre chien ou de votre film préféré. Idem pour le code de votre smartphone : préférez un nombre aléatoire à une année.

Un compte, un mot de passe

Pour éviter les piratages en cascade, chacun de vos comptes en ligne qui présente un caractère sensible (banque, messagerie, réseau social, etc.) doit être verrouillé avec un mot de passe propre et unique.

Ne jamais l’abandonner en pleine nature

Les post-it, les fichiers texte, votre smartphone  ou votre boîte de messagerie ne sont pas conçus pour sécuriser le stockage de vos mots de passe. Pensez aussi à ne jamais les enregistrer dans le navigateur d’un ordinateur partagé.

Deux cadenas valent mieux qu’un

Quand le service vous le propose, activez la double authentification. Si quelqu’un se connecte à votre compte depuis un terminal inconnu, le site vous prévient par SMS/e-mail. Libre à vous d’autoriser ou de refuser l’accès !

Les retenir sans les écrire… en travaillant vos neurones

Mémorisez une phrase puis utilisez la première lettre de chaque mot pour créer votre mot de passe. La phrase doit contenir des chiffres et des caractères spéciaux ! La CNIL met à votre disposition un générateur qui permet de concevoir votre mot de passe en quelques secondes ! Utilisez un gestionnaire de mots de passe ou un trousseau d’accès chiffré pour stocker vos mots de passe en toute sécurité. Vous n’aurez à retenir qu’un mot de passe pour accéder à l’ensemble de vos comptes !

Les recommandations de la commission nationale de l’informatique et des libertés sont à adapter en fonction des mesures complémentaires mises en place dans l’entreprise pour garantir la sécurité du réseau informatique. Plus elles seront fortes, moins le mot de passe devra être long, complexe et régulièrement renouvelé.

L’ANSSI recommande malgré tout de renouveler les mots de passe tous les 90 jours, «Les mots de passe doivent avoir une date de validité maximale. Ceci permet de s’assurer qu’un mot de passe découvert par un utilisateur mal intentionné ne sera pas utilisable indéfiniment dans le temps», conseille l’ANSSI dans ses «Recommandations de sécurité relatives aux mots de passe». Un avis contraire à celui de l’agence de renseignement  Government Communications Headquarters (GCHQ) en Angleterre. Celle-ci estime ces mises à jours inutiles et nuisibles à la productivité des entreprises. La GCHQ conseille de se concentrer sur la surveillance des connexions suspectes et de n’exiger un changement de mot de passe qu’en cas de doute sur une intrusion.

4 cas d’authentification par mot de passe identifiés par la CNIL dans sa recommandation

4 cas cnil

Top 10 des mots de passe les plus piratés en 2016

D’après l’éditeur Keeper Security, spécialisé en gestion des accès informatiques, « La liste des mots de passe les plus fréquemment utilisés a peu changé depuis ces dernières années… Cela signifie que l’éducation des utilisateurs a ses limites. Quand bien même ils sont conscients des risques, seule une minorité des utilisateurs prennent le temps ou font l’effort de se protéger. Les administrateurs réseau et les responsables de sites web doivent faire des efforts pour eux ». D’après un rapport de Keeper Security voici le top 10 des mots de passe les plus piratés en 2016 :

  • 123456
  • 123456789
  • qwerty
  • 12345678
  • 111111
  • 1234567890
  • 1234567
  • password
  • 123123
  • 987654321

Sources : CNIL, ZDNET, PhoneAndroid, Le Figaro, Gov.uk, France Soir, Legifrance