Il existe beaucoup de conseils pour une bonne gestion des mots de passe : chacun de vos mots de passe doit être fort et unique ; utilisez un gestionnaire sécurisé pour les stocker ; utilisez l’authentification à deux facteurs (2FA) pour ajouter une couche de sécurité supplémentaire à vos comptes. Mais il y a un autre conseil qui est considéré de la même manière que les autres : changez vos mots de passe souvent—peut-être tous les trois mois. Cette habitude est tellement soulignée que de nombreuses entreprises et organisations vous obligent à changer vos mots de passe plusieurs fois par an au nom de la sécurité. Le fait est qu’en toute probabilité, cela n’améliore pas réellement votre sécurité.
Cette idée que changer vos mots de passe plusieurs fois par an est un pilier de votre sécurité est peut-être ancrée en vous. Après tout, ce n’est pas un nouveau conseil. Comme l’a examiné PCMag, cette pratique date de longtemps : lorsque les experts en sécurité parlent des mots de passe, ils parlent souvent aussi de les changer. C’est juste la manière dont le conseil a été présenté. Mais cela est probablement dû à une anticipation et une réponse aux mauvaises habitudes de sécurité.
Les bons mots de passe n’ont (généralement) pas besoin d’être changés
Changer vos mots de passe n’a vraiment de sens que lorsque ceux-ci sont compromis. Après tout, si personne ne connaît votre mot de passe, pourquoi le changer ? Pourtant, les mots de passe sont souvent piratés. Il peut donc sembler logique de les changer fréquemment : Nous ne savons jamais lequel de nos mots de passe pourrait être deviné, n’est-ce pas ? Alors il vaut mieux garder ces personnes malintentionnées sur leurs gardes.
Mais faisons un pas en arrière : il n’y a aucune raison pour que l’un de vos mots de passe soit devinable. Si un hacker peut deviner votre mot de passe, c’est un mauvais mot de passe, et vous n’auriez pas dû l’utiliser en premier lieu. Pour aller plus loin, aucun de vos mots de passe ne devrait être crackable par un ordinateur non plus—du moins, pas dans un délai où cela a de l’importance.
Un bon mot de passe, c’est-à-dire un qui est à la fois fort et unique, est intrinsèquement incassable. Il devrait être long, varié, et ne pas être utilisé sur un autre compte. Cela ne devrait pas être un problème si les entreprises qui contrôlent l’un de vos comptes sont victimes d’une violation de données, car ce mot de passe est différent des autres. Vous pouvez utiliser un outil comme le testeur de mots de passe de Bitwarden pour voir combien de temps différents mots de passe mettent à un ordinateur pour être craqués. “Cours Technologie” se cracke en huit secondes. “Cours Technologiedaughtcalm” met des siècles à craquer.
Si votre mot de passe est fort et unique, et met plus longtemps qu’une vie humaine à être théoriquement cracké, il n’y a pas besoin de changer ce mot de passe dans trois mois. Il n’y a pas besoin de changer ce mot de passe dans un an. Il n’y a pas besoin de changer ce mot de passe tout court—sauf si une menace réelle se présente.
Quand changer votre mot de passe
Je ne dis pas que vous ne devriez jamais changer votre mot de passe. Vous devriez définitivement le changer si d’autres personnes en ont connaissance. La plupart du temps, cela se produit lorsque l’entreprise qui détient votre compte subit une violation de données. Disons qu’AT&T a une violation majeure, et que des données d’authentification d’utilisateurs sont divulguées sur le dark web. Dans ce cas, vous devez changer votre mot de passe dès que possible. Dans un événement de ce type, l’entreprise concernée vous demandera probablement de le faire, et pourra même vous offrir des avantages supplémentaires pour compenser l’inconvénient d’avoir eu vos données compromises.
Bien sûr, les violations de données ne sont pas les seules fois où de bons mots de passe sont découverts. Les logiciels malveillants sont une autre menace à surveiller. Si vous tombez dans un piège de hameçonnage, par exemple, et téléchargez un logiciel malveillant sur votre ordinateur, il peut surveiller et voler vos mots de passe pour vos comptes sensibles. Ou, vous pourriez être trompé en ouvrant une version fausse d’un site pour lequel vous avez un compte, en tapant votre nom d’utilisateur et votre mot de passe sur ce site, et hop : mot de passe compromis.
Que pensez-vous jusqu’à présent ?
