Les internautes ne changent pas assez de mots de passe après une faille de sécurité

Selon une étude menée par le CyLab (Carnegie Mellon University's Security and Privacy Institute), seulement un tiers des utilisateurs changent leur mot de passe après une faille de sécurité. 

Des mots de passe trop faibles

Lors de l’étude, qui a duré de janvier 2017 à décembre 2019, seulement 33% des utilisateurs ont tenté de modifier leur mot de passe sur un site qui avait été visé par des pirates. L’étude, qui se base sur l’utilisation du web par un groupe de 249 volontaires, nous apprend également que parmi ces 33% d’utilisateurs ayant modifié leur mot de passe, seule une partie l’a fait dans les trois mois suivant l’annonce de la faille de sécurité.

Malheureusement, même en cas de changement de mot de passe, celui-ci reste globalement très faible. Sur l’ensemble des utilisateurs ayant procédé à un changement, seulement un tiers a opté pour un mot de passe plus sécurisé. Pour les autres utilisateurs, le nouveau mot de passe était soit légèrement différent du précédent, ou il s’agissait d’un mot de passe déjà utilisé sur un autre compte. 

Du coup, on s’est dit qu’une petite piqure de rappel ne ferait pas de mal. Voici cinq conseils pour renforcer votre sécurité en ligne : 

Évitez les mots de passe trop simples

Chaque année, la liste des mots de passe les plus utilisés ressemble à la liste de l’année précédente. Normal, car la plupart des utilisateurs préfèrent miser sur un mot de passe facile à retenir, mais également facile à deviner. Voilà la raison pour laquelle pullulent les listes, reprenant des mots de passe évidents comme “1234567”, “password” ou “azerty”. Fuyez à tout prix ce genre de logique. 

Évitez les mots de passe faussement compliqués

À l’inverse, certains pensent qu’un mot de passe comme “L3M0tdeP455EdeJ0nath4n” sera plus difficile à trouver. En cas d’attaque brute force, les hackers tenteront tout comme vous des alternatives, en remplaçant les E par des 3, les i par des 1, les s par des $, le o par un 0 ou le a par un @ ou un 4. 

C’est certes plus ingénieux qu’un simple “1234567”, mais ce n’est malheureusement pas plus efficace. 

Multipliez les mots de passe

Idéalement, un mot de passe devrait être unique à un seul compte. Votre mot de passe Facebook ne devrait pas être le même que sur Google ou sur Snapchat, par exemple. De cette façon, si un site est hacké, vous n’aurez qu’un seul mot de passe à modifier, et vos autres comptes resteront protégés. 

Utilisez des mots de passe longs

Un minimum de 12 caractères variés est recommandé. N’hésitez pas à utiliser des lettres, des chiffres, des majuscules et des caractères spéciaux. Plus c’est aléatoire, mieux c’est. 

Faites confiance aux gestionnaires de mots de passe

Qui dit mots de passe longs, compliqués, aléatoires et uniques à chaque site, dit mots de passe difficile, voire impossible à retenir. C’est pourquoi il est conseillé d’utiliser un gestionnaire de mots de passe. 

Un gestionnaire de mot de passe est un logiciel qui, comme son nom l’indique, garde en mémoire l’ensemble de vos mots de passe à votre place. Tous vos comptes sont enregistrés et accessibles à tout moment, grâce à des applications desktop et mobiles et des extensions pour navigateurs, qui se chargeront de remplir les bonnes informations lors d’une nouvelle connexion. 

En tant qu’utilisateur, vous ne devez garder en mémoire qu’un seul “mot de passe maître”, à savoir celui qui vous permettra de déverrouiller votre coffre-fort. Libre à vous de choisir un mot de passe complexe, ou même une phrase, puisqu’il s'agit désormais de la seule information à retenir. Tous vos autres mots de passe stockés dans l’application peuvent donc devenir uniques et plus compliqués que “12345”, voire être générés aléatoirement par le logiciel.

Si un site est victime d’une attaque et que vos données sont compromises, il vous suffira de générer un nouveau mot de passe pour sécuriser le compte lié au site en question, tout en ayant la garantie que vos autres comptes ne partagent plus les mêmes identifiants et restent donc protégés. 

Faites votre choix

Il existe trois services populaires et réputés, qui fournissent globalement les mêmes fonctionnalités. Ces applications peuvent protéger vos mots de passe, vos informations bancaires, ainsi que des notes et des fichiers sensibles. À noter que pour les propriétaires d’un appareil Apple, la marque à la pomme offre gratuitement un “Trousseau iCloud” qui s’avérera suffisant pour une majorité d'utilisateurs. 

1Password

  • Disponible sur toutes les plateformes (Windows, Mac, iOS, Android, Web)
  • S’intègre à de nombreux navigateurs
  • Indique si un de vos mots de passe est présent dans une liste de mots de passe volés
  • 3,99 euros par mois pour une personne / 7,49 euros par mois pour une famille de cinq personnes

Dashlane

  • Disponible sur toutes les plateformes
  • Peut chiffrer votre activité lors d’une connexion à un réseau non sécurisé
  • Permets de partager vos comptes avec votre entourage sans jamais dévoiler votre mot de passe
  • Gratuit jusqu’à 50 mots de passe / 3,33 euros par mois pour un nombre illimité de mots de passe

LastPass

  • Disponible sur toutes les plateformes
  • L’offre la moins chère
  • Propose un audit de vos mots de passe afin d’identifier les éléments les plus faibles
  • 1,76 euro par mois pour un utilisateur / 3,52 euros jusqu’à 6 utilisateurs