Même en 2021, les mots de passe sont un point central dans une stratégie pour sécuriser ses comptes et ses appareils informatiques. Nous les avons abordés rapidement dans le guide Se déconnecter de son ex-partenaire. Ce guide vise à détailler différentes stratégies de mots de passe.

Ce guide a été fait en Octobre 2021. Pour nous adresser un commentaire ou une proposition d’amélioration, veuillez nous envoyer un e-mail à contact AT echap.eu.org.

Ce qu’il faut éviter

Avant de trouver une stratégie qui fonctionne, il faut tout d’abord comprendre celles qui ne fonctionnent pas. Et la première d’entre elles, c’est de réutiliser les mêmes mots de passe entre plusieurs sites. La plupart des piratages de comptes arrivent parce qu’un site internet a été piraté, et une personne mal intentionnée essaie de réutiliser les e-mails et mots de passe volés pour se connecter à d’autres sites. Il est donc primordial d’éviter de réutiliser des mots de passe. (Vous pouvez voir si des comptes qui vous appartiennent on été piratés sur le site Firefox Monitor – en anglais). C’est également un danger si vous partagez à un moment le mot de passe d’un compte avec un-e partenaire ou ex-partenaire : cette personne a alors accès à beaucoup plus de comptes que vous ne le voulez.

Un compte qui a eu son mot de passe piraté dans Firefox Monitor.

La seconde stratégie à éviter (surtout dans des relations potentiellement abusives) c’est de créer des mots de passe basés sur des informations privées que l’on peut deviner. Une personne vous connaissant un peu ou ayant la possibilité de trouver ces informations en ligne pourra aisément trouver votre mot de passe. Il faut donc à tout prix éviter des mots de passes basés sur votre prénom, nom de famille, date de naissance ou tout autre information devinable par quelqu’un qui vous connait bien.

Les solutions qui fonctionnent

Il existe plusieurs stratégies qui fonctionnent et la meilleure solution, c’est de trouver la combinaison de ces stratégies efficaces pour vous.

Les gestionnaires de mots de passe

La première solution consiste à stocker ses mots de passe dans un gestionnaire de mots de passe, afin d’éviter d’avoir à les mémoriser. Il s’agit d’un logiciel qui va stocker tous vos mots de passes, protégés par un mot de passe principal qui lui, doit être solide (que vous ne devez surtout pas perdre, au risque de perdre accès à tous vos mots de passe). C’est sans doute une des meilleures stratégies si vous êtes un peu à l’aise avec l’informatique.

Il existe deux types de gestionnaires de mots de passe :

  • Les gestionnaires hors ligne : tout est stocké dans un fichier protégé sur votre ordinateur. C’est à vous de le partager entre les ordinateurs et de le sauvegarder, au risque de tout perdre. Cela offre une meilleure sécurité mais aussi davantage de contraintes. Le meilleur outil de ce type s’appelle KeePassXC.
  • Les gestionnaires de mots de passe en ligne : les mots de passe sont stockés sur un serveur, protégés par votre mot de passe. Cela permet d’avoir accès à vos mots de passe depuis tous vos appareils, mais il faut avoir confiance dans l’outil que vous utilisez. C’est l’approche qui nous parait la plus efficace. Il existe beaucoup de produits de ce type, gratuits ou payants. Nous recommandons l’application BitWarden qui est gratuite, avec une version premium disponible, mais Dashlane est également un bon produit.
Le gestionnaire de mots de passe Bitwarden (source de l’image : Wikipedia).

Les phrases de passe

Les gestionnaires de mots de passe vous permettent de créer des mots de passe aléatoires à l’envi, ce qui est parfait. Mais dans certains cas, vous préférerez sans doute utiliser un mot de passe que vous connaissez par cœur, soit parce que vous voulez l’avoir en tête pour l’utiliser facilement, soit parce qu’il s’agit d’un compte trop sensible pour stocker le mot de passe dans votre gestionnaire (ou même parce qu’il s’agit du mot de passe de votre gestionnaire).

Dans ce cas-là, nous recommandons de réfléchir à une phrase de passe plutôt qu’à un mot de passe. Prenez au moins cinq mots au hasard et collez-les ensemble jusqu’à en faire une phrase suffisamment longue mais facile à retenir afin de créer une histoire simple. Par exemple : chanteuse-localiser-bandit-cadeau-château, que vous pouvez retenir comme « la chanteuse doit localiser le bandit pour lui faire cadeau d’un château ».

L’authentification à deux facteurs

Une autre stratégie pour améliorer sa sécurité, c’est de ne plus dépendre uniquement de son mot de passe en utilisant une seconde information pour se connecter à un compte, comme par exemple un code envoyé par SMS. Sans ce code, une personne ayant volé ou deviné votre mot de passe ne pourra pas accéder à votre compte, cela augmente donc énormément votre sécurité (c’est par exemple obligatoire sur les sites de banque en ligne aujourd’hui).

Il existe trois principales solutions de second facteur :

  • Recevoir un code par SMS : c’est la solution par défaut sur beaucoup de plateformes et elle est très simple, à chaque fois que vous devez vous connecter (souvent une fois par mois), un code vous est envoyé par SMS, que vous devez rentrer dans l’application. Seul bémol, il ne faut pas perdre accès à votre numéro de téléphone, ou être dans un endroit sans réseau téléphonique (par exemple dans un pays étranger).
  • Installer une application qui génère des codes temporaires : ces applications génèrent des codes temporaires toutes les minutes une fois que vous les avez configuré pour vos comptes. Il suffit d’ouvrir l’application sur votre téléphone, et de copier le code correspondant au compte auquel vous voulez accéder dans votre application. Plus besoin de réseau téléphonique. Vous pouvez par exemple utiliser l’application FreeOTP ou encore Google Authenticator.
  • Enfin, une dernière solution réservée à des besoins très forts en sécurité consiste à utiliser des clés USB qui rentrent un code automatiquement tel que les Yubikeys.
L’application FreeOTP qui génère des codes temporaires toutes les minutes.

Nous recommandons fortement d’activer authentification à deux facteurs sur vos comptes importants quand celle-ci est disponible. Elle est aujourd’hui obligatoire sur vos comptes de banque en ligne, et disponible sur la plupart des plateformes d’e-mails et de réseaux sociaux (voir nos autres guides à ce sujet).

Lorsque vous allez configurer l’authentification à deux facteurs sur un compte, le site va vous donner des codes de secours au cas où vous perdiez votre second facteur (comme votre téléphone). Faites bien attention à sauver ces code pour pouvoir accéder à vos comptes en cas d’accident (par exemple dans votre gestionnaire de mots de passe).

Exemples de codes de secours générés par Google lors de l’activation du second facteur.

Le carnet

Enfin il existe une stratégie moins recommandée parce qu’elle a des aspects négatifs mais qui peut vous aider :

  • Noter vos mots de passe dans un carnet : bien que souvent décriée, elle peut être une solution pour vous si jamais vous n’êtes pas à l’aise avec la technologie. Attention cependant à ne pas perdre ce carnet et à vous assurer que personne n’y a accès.