Selon une étude des chercheurs des universités de Carnegie Mellon et d’Indiana, il apparait que seulement un tiers des victimes de vol d’identifiants changent leur mot de passe après un incident. Et la majeure partie de ceux qui redéfinissent un mot de passe, en définissent un plus faible que le précédent.
- Retrouvez l’étude,
- Retrouvez l’article explicatif de 01net.
Qu’est-ce que l’authentification ?
L’authentification consiste à demander à un individu une « preuve » de son identité ou de son statut afin de l’autoriser à accéder à des ressources.
L’authentification peut être de 3 types :
- L’authentification simple : l’authentification ne repose que sur un seul élément (ex. mot de passe),
- L’authentification forte ou multi facteur : l’authentification repose sur deux éléments ou plus (ex. mot de passe + code envoyé par sms),
- L’authentification unique : l’authentification permet à un utilisateur de ne procéder qu’à une seule authentification pour accéder à plusieurs applications informatiques ou sites internet sécurisés (ex. FranceConnect).
Quelles sont les recommandations en matière de mot de passe ?
L’authentification simple étant la plus répandue, il est nécessaire de lui appliquer quelques recommandations afin de réduire les risques de « craquage » du mot de passe.
Selon les recommandations de la CNIL, il faut un mot de passe comprenant :
- Un nombre
- Une majuscule
- Un signe de ponctuation/caractère spécial
- Entre 12 et 4 caractères / 8 pour les plus répandus
Selon les critères de la CNIL, il existe 4 différents cas d’authentification par mot de passe : https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
Il est nécessaire d’avoir un mot de passe bien distinct pour les comptes/ressources à caractère sensible comme les réseaux sociaux, la messagerie, la banque … etc. L’intérêt est d’avoir un mot de passe propre et unique à chaque accès afin d’éviter que la compromission d’un accès puisse se répercuter sur les autres ressources.
Il est nécessaire de retenir son mot de passe plutôt que de l’écrire :
- Soit en mémorisant une phrase de passe
- Soit en utilisant un gestionnaire de mot de passe comme Keepass
Quelle alternative à l’authentification par mot de passe ?
L’authentification multi facteurs est une bonne alternative à l’authentification simple par mot de passe. Elle oblige l’utilisateur à présenter avec succès deux ou plusieurs éléments de preuve à un mécanisme d’authentification. Cela peut consister à renseigner un mot de passe et un code reçu par sms ou par mail, cela peut être également l’utilisation d’un mot de passe et d’un token (générateur de clé aléatoire), d’une carte d’identification unique combiné à un mot de passe … etc.
Selon les études de Google et Microsoft, l’authentification multi facteurs permettrait de réduire de 99,9% le risque de compromission.
Le mot de passe ne semble désormais plus suffisant pour protéger, c’est pourquoi il est de plus en plus courant de multiplier les facteurs d’authentification grâce notamment aux sms et aux mails. L’avantage de cette technique, c’est qu’elle permet de vous alerter quasiment en temps réel lorsque quelqu’un tente d’accéder à votre compte. L’alerte permet ensuite de signaler tout comportement anormal ou dont vous ne seriez pas à l’origine.
Collectivités : Pensez au service DPO de Manche Numérique !