Pour nous adresser un commentaire ou une proposition d’amélioration, veuillez nous envoyer un e-mail à contact AT echap.eu.org.
Les mots de passe sont un point central dans une stratégie pour sécuriser ses comptes et ses appareils informatiques. Nous les avons abordés rapidement dans le guide « Se déconnecter de son ex-partenaire ». Ce guide vise à détailler différentes stratégies de mots de passe.
Ce qu’il faut éviter
Avant de trouver une stratégie qui fonctionne, il faut tout d’abord comprendre celles qui ne fonctionnent pas. Pour commencer, il est très important d’éviter d’utiliser un même mot de passe sur des sites différents. La plupart des comptes se font pirater parce qu’un site internet a d’abord été piraté, et qu’une personne mal intentionnée essaie de réutiliser les e-mails et mots de passe volés pour se connecter à d’autres sites. Vous pouvez voir si des comptes qui vous appartiennent on été piratés sur le site Firefox Monitor – en anglais. Cette stratégie est également dangereuse si vous partagez le mot de passe d’un compte avec un-e partenaire ou ex-partenaire : cette personne a alors accès à beaucoup plus de comptes que juste celui que vous vouliez partager.
La seconde stratégie à éviter (surtout dans des relations potentiellement abusives) c’est de créer des mots de passe basés sur des informations privées que l’on peut deviner. Une personne vous connaissant un peu ou ayant la possibilité de trouver ces informations en ligne pourra aisément trouver votre mot de passe. Il faut donc éviter d’utiliser des mots de passes basés sur votre prénom, nom de famille, date de naissance ou tout autre information devinable par quelqu’un qui vous connait bien.
Les stratégies qui fonctionnent
Il existe plusieurs stratégies pour une meilleure sécurisation de vos comptes. Souvent, l’approche la plus efficace est de trouver une combinaison de ces stratégies adaptée à votre usage.
Les gestionnaires de mots de passe
Une première stratégie consiste à stocker ses mots de passe dans un gestionnaire de mots de passe, afin d’éviter d’avoir à les mémoriser. Il s’agit d’un logiciel qui va stocker tous vos mots de passes, et les protéger avec un mot de passe principal. Vous n’avez donc besoin de retenir que ce mot de passe principal, qui doit être suffisamment solide. C’est sans doute une des meilleures stratégies si vous êtes un peu à l’aise avec l’informatique.
Il existe deux types de gestionnaires de mots de passe :
- Les gestionnaires hors ligne : les mots de passe sont stockés dans un fichier protégé par un mot de passe principal sur votre ordinateur. C’est à vous de le partager entre les ordinateurs et de le sauvegarder, pour éviter de tout perdre. Ces outils offrent une meilleure sécurité mais aussi davantage de contraintes. Nous recommandons l’utilisation de KeePassXC, mais il en existe d’autres.
- Les gestionnaires de mots de passe en ligne : les mots de passe sont stockés sur un serveur en ligne, protégés par un mot de passe principal. Cela permet d’avoir accès à vos mots de passe depuis tous vos appareils, mais il faut avoir confiance dans l’outil que vous utilisez. C’est l’approche qui nous parait la plus efficace. Il existe beaucoup de produits de ce type, gratuits ou payants. Nous recommandons l’application BitWarden qui est gratuite, avec une version premium disponible, mais Dashlane est également un bon produit.
Le gestionnaire de mots de passe Bitwarden (source de l’image : Wikipedia).
Les phrases de passe
Les gestionnaires de mots de passe vous permettent de créer des mots de passe aléatoires aussi souvent que vous le souhaitez, ce qui garantit des mots de passes solides. Mais dans certains cas, vous préférerez sans doute utiliser un mot de passe que vous connaissez par cœur, soit parce que vous voulez l’avoir en tête pour l’utiliser facilement, soit parce qu’il s’agit d’un compte trop sensible pour stocker le mot de passe dans votre gestionnaire (ou tout simplementparce qu’il s’agit du mot de passe de votre gestionnaire lui-même).
Dans ce cas, nous recommandons de réfléchir à une phrase de passe plutôt qu’à un mot de passe. Prenez au moins cinq mots au hasard et collez-les ensemble jusqu’à en faire une phrase suffisamment longue mais facile à retenir grâce à une histoire simple. Par exemple : chanteuse-localiser-bandit-cadeau-château, que vous pouvez retenir comme « la chanteuse doit localiser le bandit pour lui faire cadeau d’un château ».
L’authentification à deux facteurs
Une autre stratégie pour améliorer sa sécurité, c’est de ne plus dépendre uniquement de son mot de passe, en utilisant une seconde information pour se connecter à un compte, comme par exemple un code envoyé par SMS. Sans ce code, une personne ayant volé ou deviné votre mot de passe ne pourra pas accéder à votre compte, cela augmente donc énormément votre sécurité. C’est par exemple obligatoire sur les sites de banque en ligne aujourd’hui.
Il existe trois solutions principales de second facteur :
- Recevoir un code par SMS : c’est la solution par défaut sur beaucoup de plateformes et elle est très simple. À chaque fois que vous devez vous connecter, un code vous est envoyé par SMS, que vous devez rentrer dans l’application. Vous devez cependant avoir accès à votre numéro de téléphone et être
dans un endroit avec un réseau téléphonique (ce qui peut poser problème
si vous êtes à l’étranger par exemple). - Installer une application qui génère des codes temporaires : ces applications génèrent des codes temporaires toutes les minutes une fois que vous les avez configuré pour vos comptes. Il suffit d’ouvrir l’application sur votre téléphone et de copier le
code correspondant au compte auquel vous voulez accéder dans
l’application correspondante. Plus besoin de réseau téléphonique. Vous pouvez par exemple utiliser l’application FreeOTP ou encore Google Authenticator. - Enfin, une dernière solution réservée à des besoins très forts en sécurité consiste à utiliser des clés USB qui rentrent un code automatiquement telles que les Yubikeys.
Nous recommandons fortement d’activer l’authentification à deux facteurs sur vos comptes importants quand celle-ci est disponible. Elle est aujourd’hui obligatoire sur vos comptes de banque en ligne, et disponible sur la plupart des plateformes d’e-mails et de réseaux sociaux (voir nos autres guides à ce sujet).
Lorsque vous allez configurer l’authentification à deux facteurs sur un compte, le site va vous donner des codes de secours au cas où vous perdiez votre second facteur (comme votre téléphone). Faites bien attention à sauver ces codes pour pouvoir accéder à vos comptes en cas d’accident (par exemple dans votre gestionnaire de mots de passe).
Le carnet
Enfin, il existe une stratégie moins recommandée parce qu’elle a des aspects négatifs mais qui peut vous aider dans certaines circonstances :
- Noter vos mots de passe dans un carnet : bien que souvent décriée, elle peut être une solution pour vous si jamais vous n’êtes pas à l’aise avec la technologie. Attention cependant à ne pas perdre ce carnet et à vous assurer que personne n’y a accès.
Ce guide est distribué sous licence Creative Common BY-NC-SA.