Les changements de mot de passe fréquents sont-ils réellement bons pour votre sécurité?
À quelle fréquence changez-vous votre mot de passe? Comment changer votre mot de passe sur n'importe quel ordinateur de bureau ou appareil mobile? Comment changer votre mot de passe sur n'importe quel ordinateur de bureau ou appareil mobile? Votre mot de passe est la seule chose qui sépare un étranger de vos données les plus confidentielles. À quand remonte la dernière fois que vous avez mis à jour le mot de passe de votre appareil? Nous vous montrons comment le changer maintenant. Lire la suite ? Nous parions que certaines de vos références ont plus de dix ans.
En fait, la plupart d'entre nous ne changeons nos mots de passe que lorsqu'une situation nous y oblige. Généralement, c'est soit lorsque vous ne vous en souvenez plus, ou bien qu'une application ou que votre entreprise vous oblige à en créer une nouvelle tous les quelques mois..
Alors, quelle approche est la bonne? Devriez-vous laisser votre mot de passe intact pendant des années ou devriez-vous le changer aussi souvent que les saisons? Voici les avantages et les inconvénients de changer votre mot de passe trop souvent.
Il sécurise votre compte (un tout petit peu)
La sagesse généralement reçue est que le changement de votre mot de passe rend souvent votre compte plus sécurisé. Votre compte Yahoo Mail est-il sécurisé? 10 façons de rester en sécurité Votre compte Yahoo Mail est-il sécurisé? 10 façons de rester en sécurité Si vous êtes un utilisateur Yahoo, vous devez vous assurer que votre compte est sécurisé. Voici 10 éléments à vérifier pour vous assurer que la sécurité de votre compte est en ordre. Lire la suite .
L'argument suggère que si vous êtes la victime involontaire d'une fuite Vérifiez maintenant et voyez si vos mots de passe ont déjà été filtrés Vérifiez maintenant et voyez si vos mots de passe ont déjà été filtrés Cet outil astucieux vous permet de vérifier n'importe quel mot de passe pour voir s'il a déjà été utilisé partie d'une fuite de données. En savoir plus, changer votre mot de passe régulièrement peut rapidement annuler les détails d'un pirate informatique potentiel..
De même, si quelqu'un accède à votre mot de passe à votre insu, cela l'empêche de vous espionner pendant une période prolongée. C’est la raison pour laquelle les responsables informatiques du pays sont tellement obsédés par le fait de vous imposer des réinitialisations forcées toutes les deux semaines..
L'argument est-il valide? Oui, mais ce n’est pas aussi net que vous le souhaiteriez. Même en supposant que vos nouveaux mots de passe soient aussi puissants que les précédents (plus d’informations à ce sujet prochainement), la pratique présente des avantages minimes..
Dans un article de l'Université Carleton, les chercheurs ont expliqué que les attaquants ayant accès à un fichier de mots de passe haché peuvent effectuer des attaques en mode hors connexion. Ils peuvent donc tester un grand nombre de mots de passe en peu de temps. Les mots de passe de force faible et moyenne sont en danger.
Le papier continue ensuite à prouver mathématiquement que même de fréquents changements de mots de passe forts ne font que nuire aux attaques de manière négligeable. L’avantage ne vaut certainement pas le désagrément qu’il apporte aux utilisateurs.
À la place, le document recommande aux administrateurs système d’utiliser des fonctions de hachage lent telles que bcrypt. Les utilisateurs ne seraient pas incommodés et le processus rend plus difficile pour les attaquants de deviner rapidement un grand nombre de mots de passe..
Votre nouveau mot de passe risque de ne pas être sûr
Je suis sûr que vous n’avez pas besoin que nous vous disions comment créer un mot de passe fort, mais ces informations valent toujours la peine d’être répétées:
- Votre mot de passe doit utiliser une combinaison de lettres et de chiffres.
- Il devrait utiliser des lettres majuscules et des lettres minuscules.
- Idéalement, il devrait contenir des caractères spéciaux.
- Il devrait contenir plus de 12 caractères..
Ces quatre points sont plus faciles à dire qu'à faire. Créer des mots de passe qui répondent à toutes les exigences - puis les mémoriser - nécessite beaucoup d'énergie mentale.
Alors, que se passe-t-il lorsque les gens changent trop souvent d’identité? En bref, ils deviennent paresseux.
J'ai manqué d'idées de mots de passe, j'ai donc dû changer de travail..
- Rusty Busty (@RaylaRimpson) 30 janvier 2018
Encore une fois, c'est un phénomène scientifiquement prouvé. En 2010, des chercheurs de l’Université de Caroline du Nord ont publié un article intitulé “La sécurité de l'expiration des mots de passe modernes: un cadre algorithmique et une analyse empirique.” Dans ce document, ils ont étudié les historiques de mots de passe de comptes obsolètes à l'université.
L'étude a examiné plus de 10 000 anciens comptes et 51 141 mots de passe. Les chercheurs ont effectué une attaque de hachage hors ligne et ont finalement déchiffré 60% des informations d'identification. Parmi les 60%, 7 752 mots de passe n'étaient pas le mot de passe final utilisé pour le compte..
Ils ont ensuite utilisé cet ensemble de données pour voir s’ils pouvaient extrapoler d’autres mots de passe connectés au compte. Les résultats étaient incroyables. Dans 17% des cas, le prochain mot de passe utilisé sur le compte peut être deviné en moins de cinq secondes..
Mais pourquoi? L'étude a conclu que les gens avaient tendance à apporter des modifications très mineures lorsqu'ils changeaient fréquemment de mot de passe. Par exemple, Saucisse123 pourrait devenir $ ausage123, hellocheese! deviendrait hellocheese!!, etc.
Quand devriez-vous changer votre mot de passe?
Au début, je dis en plaisantant que vous avez probablement des mots de passe qui approchent de leur dixième anniversaire. Mais est-ce une blague?
Les preuves que nous avons examinées jusqu'ici semblent suggérer que des mots de passe de longue date pourraient en fait être une bonne chose. Quelle est la vérité? Vous avez juste besoin d'un peu de bon sens.
Bien sûr, si vous pensez que quelqu'un accède à votre compte Comment vérifier si une autre personne accède à votre compte Facebook Comment vérifier si une autre personne accède à votre compte Facebook Il est à la fois sinistre et inquiétant de voir si une personne a accès à votre compte Facebook à votre insu. . Voici comment savoir si vous avez été victime d'une violation. Lire plus sans votre autorisation, vous devez changer votre mot de passe. Si vous pensez que quelqu'un vous regardait lorsque vous avez entré vos informations d'identification bancaires en ligne, vous devez modifier votre mot de passe. Si tu devais “prêt” votre mot de passe à quelqu'un, vous devriez le changer.
Et si vous pensez que vous êtes accidentellement victime d'une arnaque par hameçonnage Ne soyez pas victime de ces attaques de phishing courantes Ne soyez pas victime de ces attaques de phishing courantes En savoir plus, vous devez changer votre mot de passe.
Dans tous les cas, vous devez vous assurer que votre nouveau mot de passe ne ressemble pas à l'ancien. N'utilisez pas le même mot clé. Ne mettez pas les mêmes caractères spéciaux dans les mêmes positions. Et n'essayez pas quelque chose comme écrire votre ancien mot de passe à l'envers.
Et rappelez-vous, vous devez également modifier votre mot de passe pour tous les autres comptes utilisant des informations d'identification similaires. Par exemple, si votre mot de passe Facebook est flowerpot1 et votre mot de passe Twitter, 1flowerpot, vous devez les modifier tous les deux..
Si vous n'êtes pas sûr, suivez simplement les quatre instructions fondamentales que nous avons discutées plus haut dans l'article lorsque vous créez un nouveau mot de passe..
Qu'en est-il des réinitialisations de mot de passe forcées?
Mais qu'en est-il des réinitialisations forcées de mot de passe? Est-ce une bonne idée pour une application ou votre employeur de vous imposer un nouveau mot de passe? Probablement pas.
En 2009, l’Institut national de la normalisation et de la technologie a annoncé que des modifications régulières du mot de passe étaient effectuées. “bénéfique pour réduire l'impact de certains compromis sur les mots de passe,” mais étaient “inefficace pour les autres.” Et, bien sûr, les utilisateurs étaient souvent frustrés par le changement forcé. Les entreprises doivent parvenir à un compromis entre sécurité et convivialité.
Le résultat final
Les arguments peuvent sembler complexes, mais ils sont faciles à résumer.
- Les changements fréquents de mot de passe initiés par l'utilisateur peuvent renforcer légèrement la sécurité des utilisateurs, à condition que le nouveau mot de passe soit extrêmement robuste.
- Les changements fréquents de mot de passe forcés ont souvent un effet négatif, les utilisateurs choisissant des informations d'identification moins sécurisées..
Nous voulons maintenant connaître votre opinion sur le débat. Êtes-vous confiant dans votre capacité à choisir régulièrement un mot de passe sécurisé? Ou êtes-vous heureux d'utiliser un mot de passe vieux de 10 ans sur tous vos comptes??
N'oubliez pas que si vous créez fréquemment de nouveaux mots de passe compliqués, vous utilisez une application de gestion de mots de passe telle que LastPass. Vous n'avez pas besoin de rappeler les mots de passe vous-même.
Explorez plus sur: Sécurité en ligne, Mot de passe.