Mon mot de passe est-il sécurisé ?
Si vous n’utilisez qu’un ou deux mots de passe pour tous vos comptes, il est plus que probable que ceux-ci ne soient pas assez sécurisés. Il arrive souvent que les utilisateurs choisissent une combinaison de mots, chiffres et lettres faciles à mémoriser et qu’ils l’utilisent comme “mot de passe principal” sur tous leurs comptes. Si vous êtes dans ce cas, vous êtes loin d’être seul. Une étude sur la sécurité menée par Google a mis en évidence que plus de la moitié des utilisateurs utilisent le même mot de passe pour plus d’un compte, et que 13 % utilisent le même mot de passe pour tous leurs comptes. Vous devez oublier cette mauvaise habitude et utiliser un mot de passe différent pour chaque compte.
Types d’attaque visant les mots de passe
Il existe plusieurs méthodes de piratage, et c’est pour cela qu’il est si important d’utiliser plusieurs mots de passe pour organiser votre défense en ligne :
- Attaque par force brute : comme son nom l’indique, ce cas se présente lorsque le pirate devine votre mot de passe à force de volonté. Cela nous est arrivé à tous d’être bloqués devant l’écran de connexion d’un ancien compte et d’user d’un peu de stratégie pour tenter de retrouver notre mot de passe. Imaginez maintenant un pirate dans la même situation. Il lui suffit de programmer une chaîne de code qui se charge de deviner le mot de passe pour lui. Un mot de passe peu sécurisé peut être deviné en quelques secondes.
- “Credential stuffing” : les cybercriminels qui ont pu s’introduire dans un site Web pour accéder à des listes de noms d’utilisateurs et de mots de passe les utilisent souvent pour lancer une attaque de type “Credential stuffing”. Dans ce cas, l’attaquant identifie des comptes Web dans la liste d’adresses e‑mail récupérée pour voir si le mot de passe volé fonctionnera également pour ces comptes. Comme énormément d’utilisateurs recyclent leurs mots de passe, les attaques de ce type peuvent considérablement amplifier les dommages causés par une première violation de données.
- Phishing : vous avez probablement déjà eu à faire face à ce genre d’attaque, mais vous avez su identifier la menace. Tout le monde n’a malheureusement pas cette chance. Une attaque par phishing se produit lorsqu’un imposteur vous attire par l’intermédiaire d’un message contrefait, par exemple un e‑mail semblant provenir de votre banque. Vous êtes invité à saisir les informations de votre carte de crédit pour débloquer une situation quelconque. Généralement, le résultat promis est trop beau pour être vrai (par exemple, on vous doit une certaine somme d’argent). Une fois vos informations entre les mains des pirates, la partie est terminée. Si vous recevez un e‑mail de votre banque vous demandant ce type d’information, partez du principe que c’est un message frauduleux et appelez la banque directement pour vérifier.
- Attaque par dictionnaire : semblable à l’attaque par force brute, une attaque par dictionnaire suppose que vous utilisez des termes courants dans votre mot de passe, ce qui est très probablement le cas. Comme cette méthode consiste à parcourir les termes du dictionnaire, si votre mot de passe se compose d’un ou de deux mots standard, il est peu probable que vous en sortiez indemne.
Bonnes pratiques concernant la sécurité des mots de passe
Maintenant que vous savez ce que vous ne devez pas faire, quelles sont les mesures que vous devez prendre pour protéger votre identité et vos activités en ligne ? Voici un rapide résumé des principales bonnes pratiques :
Choisissez un mot de passe sécurisé unique, que vous ne réutiliserez pas ailleurs
Un mot de passe sécurisé est un mot de passe unique. Comme son nom l’indique, c’est un mot de passe qui vous est propre et que vous n’utilisez que pour un seul compte. Vous ne devez jamais réutiliser votre mot de passe ni l’associer à un autre compte ou nom d’utilisateur. Un mot de passe véritablement sécurisé et unique contient ce qui suit :
- Caractères majuscules
- Caractères minuscules
- Caractères spéciaux (!#%$*)
- Chiffres
- Plus de 15 caractères
Faites preuve de bon sens. Inutile d’être un cybercriminel pour comprendre qu’un mot de passe de cinq caractères est beaucoup plus facile à pirater qu’un mot de passe qui en contient 20, ou que le mot de passe azerty (composé des six premières lettres en haut à gauche du clavier) est très facile à deviner. Évitez d’utiliser des chiffres et des symboles à la place des lettres quand les correspondances sont trop évidentes (par exemple 0 au lieu de O, 8 au lieu de B et $ au lieu de s). Vous devez également vous astreindre à changer vos mots de passe tous les six mois afin de mieux protéger vos informations personnelles en ligne. On n’est jamais trop prudent quand il s’agit de préserver sa sécurité en ligne.
Utilisation d’un gestionnaire de mot de passe
C’est là que les générateurs de mots de passe entrent en jeu. En effet, rien de tel qu’un programme pour contrer un autre programme. Par exemple, le mot de passe “&*Td^zJxsQkF” est très sécurisé, et peut-être auriez-vous pu l’inventer vous-même. Mais le comportement humain reste prévisible. Même en nous efforçant de choisir un mot de passe aléatoire, il est très probable que nous utilisions tous plus ou moins les mêmes touches du clavier.
Utilisez la validation en deux étapes
La validation en deux étapes consiste à utiliser deux méthodes de sécurité – et généralement plusieurs appareils – pour accéder à votre compte. Le plus souvent, vous devez saisir votre mot de passe à l’étape 1, puis un code à usage unique reçu par SMS à l’étape 2. Vous pouvez également recevoir un appel téléphonique automatisé sur le numéro de mobile associé à votre compte ou recevoir un code par e‑mail à une autre adresse que celle qui a servi pour créer le compte. L’idée, c’est que même si un pirate parvient à accéder à votre compte, il est peu probable qu’il ait également accès à votre téléphone ou à votre adresse e‑mail secondaire. Vous pouvez utiliser la validation en deux étapes dans votre compte Dropbox. Vos documents seront ainsi doublement protégés par SMS ou par une application d’authentification mobile.
Utilisez des services d’hébergement de fichiers et des sites fiables et sécurisés
Quand un site est sécurisé, un petit cadenas s’affiche dans la barre d’adresse. Il est essentiel de vérifier la présence de ce cadenas avant de procéder à des achats en ligne ou de partager des informations personnelles. La plupart des sites disposent de cette fonctionnalité, mais si vous prévoyez d’importer des fichiers et des dossiers en ligne, vous aurez besoin d’une garantie supplémentaire. Dropbox, par exemple, fait appel au chiffrement et respecte des niveaux de conformité stricts pour offrir une sécurité cloud renforcée.
N’utilisez pas les réseaux Wi-Fi publics ou non sécurisés
Un point d’accès Wi-Fi public est une connexion ouverte que tout le monde peut utiliser. Une personne malintentionnée qui se connecte à un tel réseau pourra rapidement abuser les autres utilisateurs. De manière générale, ne partagez jamais d’informations sensibles (coordonnées bancaires ou numéros de carte de crédit) quand vous êtes connecté à un point d’accès Wi-Fi public.
Garantir la sécurité de vos mots de passe est extrêmement important et pour ce faire, vous devez prendre l’habitude d’appliquer les conseils ci-dessus. Nous ne sommes pas des machines et nous ne pouvons pas nous souvenir de tous les mots de passe, mais nous pouvons nous appuyer sur les gestionnaires de mots de passe qui font le travail à notre place. Même si vous pensez faire de votre mieux pour gérer vos mots de passe, n’oubliez pas que prudence est mère de sûreté. Que vous soyez une entreprise, un travailleur indépendant ou que vous partagiez simplement des documents avec des amis, votre sécurité est primordiale pour Dropbox.