Il existe encore diverses opinions concernant le moment opportun pour modifier son mot de passe. Habituellement, cela ne se produit que lorsqu’il est trop tard, car les individus ne sont pas conscients des risques liés à un mot de passe vulnérable.
Interrogez vos collègues et vous obtiendrez systématiquement des réponses divergentes. Certains modifient leur mot de passe mensuellement, d’autres uniquement lorsqu’on le leur rappelle, et il est possible que quelqu’un utilise encore le mot de passe de son premier compte de messagerie électronique. Mais quelle est la réalité ? Est-il nécessaire de changer fréquemment son mot de passe, et cela est-il réellement efficace ?
Un réflexe obsolète
Dans de nombreuses entreprises, le réflexe de modifier obligatoirement les mots de passe tous les trois mois persiste. Souvent même de manière automatisée : un matin, une fenêtre contextuelle apparaît soudainement. Vous saisissez quelque chose de semi-inventé, suffisamment différent de votre précédent mot de passe, en espérant vous en souvenir le lendemain.
De nos jours, cela n’est plus véritablement nécessaire. Dans les années « 80 et » 90, les mots de passe étaient simples, et la technologie pour les décrypter était relativement rudimentaire. Le changement régulier constituait alors la méthode privilégiée pour réduire l’utilité d’un mot de passe dérobé. Dans ce contexte, cela était donc logique. Un assaillant devait déployer beaucoup plus d’efforts pour décrypter un mot de passe. Si celui-ci n’était plus valide après trois mois, vous aviez une longueur d’avance.
Du décryptage au vol
Aujourd’hui, les mots de passe ne sont plus principalement décryptés, mais plutôt dérobés. Les e-mails de hameçonnage demeurent étonnamment efficaces à cet égard. Lors de fuites de données majeures, des millions de combinaisons d’adresses électroniques et de mots de passe apparaissent sur Internet. Les criminels les testent massivement sur divers comptes.
Dans ce scénario, le fait d’avoir modifié votre mot de passe la semaine précédente n’est guère utile. Si vous le saisissez sur un site frauduleux, il devient immédiatement inutilisable. Et si vous réutilisez un mot de passe déjà compromis dans une ancienne fuite de données, vous demeurez vulnérable même avec un nouveau mot de passe.
Nouvelles perspectives
La règle classique des trois mois s’avère plus gênante qu’utile dans la sécurité moderne. Les individus se lassent d’inventer quelque chose de nouveau tous les trois mois et optent pour des schémas prévisibles : Welkom2023 devient Welkom2024, ou un chiffre supplémentaire est simplement ajouté. Ce n’est donc pas très efficace.
Par conséquent, les entreprises de sécurité déconseillent aujourd’hui de changer son mot de passe à intervalles réguliers. Il est plus judicieux de choisir un mot de passe robuste et unique, ou de le faire générer par votre navigateur, et non par l’IA, et de ne le modifier que lorsque cela s’avère nécessaire. L’utilisation d’une phrase de passe devient également de plus en plus fréquente : JeVaisAuMarchéLeDimanche. Cela s’avère également moins facile à deviner.
Quelles sont donc les pratiques judicieuses ?
En premier lieu, il est crucial d’utiliser un mot de passe unique pour chaque compte important. N’utilisez donc pas une copie du mot de passe de votre messagerie électronique pour votre stockage cloud ou votre connexion à un site web. Si un compte est compromis, les dommages resteront limités.
En outre, l’authentification multifactorielle (AMF) constitue votre meilleure couche de sécurité supplémentaire. Même si votre mot de passe est découvert, un attaquant n’aura toujours pas les moyens suffisants pour accéder à votre compte.
Enfin, restez vigilant. Modifiez immédiatement votre mot de passe si vous recevez un avertissement concernant une fuite de données, ou si vous suspectez que votre compte a été compromis. C’est le moment opportun pour changer votre mot de passe, et non parce qu’une fenêtre contextuelle trimestrielle vous y oblige.
