Identification et mot de passe

Authentification

Comme nous l’avons rappelé dans un de nos derniers articles (Télétravail et cybersécurité – YLNEO), la cybersécurité repose sur plusieurs niveaux de protection, et donc plusieurs acteurs, dont le dernier est l’utilisateur final. Cible privilégiée des hackers, point faible historique des systèmes d’information, l’utilisateur final d’aujourd’hui comprend et accepte facilement l’utilisation de l’authentification pour se connecter à un service, un ordinateur ou même à son téléphone portable. Malheureusement, la conscience de la sécurité s’arrête bien souvent là.

L’identification

L’identification consiste à décliner son identité, dire au système qui on est. Et bien souvent, cette identité est notre adresse mail. A l’exception de certains services, tels que l’accès aux comptes bancaires qui demandent un numéro client, notre adresse mail est l’identifiant le plus utilisé. Combien sommes-nous à utiliser différentes adresses mails pour nos communications privées, utiliser les services en ligne, s’inscrire sur un site commercial ?

Cette faiblesse est d’autant plus vraie dans les entreprises ou les adresses mails ont bien souvent le même format. Il suffit d’en connaitre une pour deviner rapidement celle d’un autre employé.

Pour l’accès au matériel (ordinateur, téléphone…), il existe des alternatives : empreinte digitale, code PIN, schéma, reconnaissance faciale. Mais pour l’accès aux services, il y en a peu. C’est notamment le cas pour les services en ligne, ou l’enregistrement de données biométriques est plus compliqué, car très réglementé. D’où l’intérêt du mot de passe « fort ».

L’authentification

Une fois identifié, vous devez prouver que vous êtes bien cette personne. C’est l’authentification, le mot de passe. Maintenant que vous savez que tout le monde connait votre identification, vous comprenez tout l’intérêt de choisir un mot de passe différent pour chaque service, chaque matériel, chaque connexion… Facile à dire, difficile à mettre en œuvre.

Pour vous aider, certains services, comme les banques, mettent en place la double authentification. Vous devez alors confirmer avec votre téléphone (par un code SMS ou l’application de votre banque) que vous êtes bien la personne qui accède au service. Et cette double sécurité peut facilement s’installer en entreprise Microsoft MFA – Les nouvelles fonctionnalités de sécurité – YLNEO.

Mais pour les accès de tous les jours, plus de sécurité informatique est souvent synonyme de complication.

Quelles sont les règles de base?

  • 1 mot de passe unique par usage, par application
  • Une longueur minimale (8 caractères recommandés). Au-delà de 12, le mot de passe risque de prendre la forme d’une association de mots prévisibles
  • Eviter les mots de passe prévisibles
    • communs (12345, motdepasse)
    • liés à votre identité (votre nom, votre date de naissance)
  • Utiliser des caractères spéciaux. Même s’il existe des dictionnaires en ligne qui recensent les mots écrits avec des caractères spéciaux (a remplacé par @, s par $, 1 par ! …), le mot de passe devient plus compliqué
  • Utiliser des associations de mots sans rapport entre eux (chatpommeneige)

La CNIL a mis en place un générateur de mot de passe qui permet de créer son mot de passe à partir d’une phrase. Vous n’avez qu’à retenir la phrase et utiliser les initiales de la phrase pour créer votre mot de passe.

Vous pouvez vous amuser à tester la robustesse de votre mot de passe sur How Secure Is My Password? | Password Strength Checker (security.org)

En octobre 2016, l’ANSSI a publié une réflexion sur les stratégies des mots de passe qui s’appuie sur une étude de Microsoft intitulée « Microsoft Password Guidance« . Cette réflexion reprend les recommandations régulièrement formulées, à usage privé et professionnel, visant à la fois les responsables informatique et les utilisateurs.

Comment retenir son mot de passe : le gestionnaire de mots de passe

Personne ne peut, et ne veut, retenir tous ses mots de passe. Les écrire sur un post-it, ou dans un fichier (nommé « mes mots de passe ») sur votre ordinateur, n’est pas la meilleure façon de sécuriser vos accès.

La plupart des téléphones proposent un coffre-fort pour enregistrer vos identifiants et Apple propose le trousseau sur ces appareils. Il existe d’autre part un certain nombre d’applications gratuites ou payantes pour la gestion des mots de passe.

Un gestionnaire de mots de passe permet de constituer une base de données de mots de passe. Cette base est chiffrée par un unique mot de passe « maître », dont la sécurité a pu être vérifiée. Cela vous permet de ne retenir qu’un seul mot de passe qui ouvre l’accès à tous les autres. Les mots de passe pourront alors être très longs, très complexes et tous différents car c’est l’ordinateur qui les retient à votre place.

Ces logiciels facilitent par ailleurs la saisie, sans erreurs, des mots de passe et permet de retenir les nombreux identifiants et comptes que l’on collectionne avec le temps. De plus, l’enregistrement généralement associé de l’URL de connexion, évite le risque de phishing en cliquant sur un lien pirate.

En pratique, il existe de nombreuses solutions sur le marché. Parmi les logiciels libres régulièrement mis à jour, la CNIL propose :

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée.