28Aug
"Changez vos mots de passe régulièrement" est un conseil courant sur les mots de passe, mais ce n'est pas forcément un bon conseil. Vous ne devriez pas changer régulièrement la plupart des mots de passe - cela vous encourage à utiliser des mots de passe plus faibles et à perdre votre temps.
Oui, il y a des situations où vous voudrez changer régulièrement vos mots de passe. Mais ceux-ci seront probablement l'exception plutôt que la règle. Dire aux utilisateurs d'ordinateurs typiques qu'ils doivent changer régulièrement leurs mots de passe est une erreur.
La théorie des changements réguliers de mot de passe
Les changements de mot de passe réguliers sont théoriquement une bonne idée car ils empêchent quelqu'un d'acquérir votre mot de passe et de l'utiliser pour vous fouiller pendant une longue période.
Par exemple, si quelqu'un a acquis votre mot de passe, il peut se connecter régulièrement à votre compte e-mail et surveiller vos communications. Si quelqu'un a acquis votre mot de passe de banque en ligne, il pourrait espionner vos transactions ou revenir dans plusieurs mois et tenter de transférer de l'argent sur son propre compte. Si quelqu'un a acquis votre mot de passe Facebook, il pourrait se connecter comme vous et surveiller vos communications privées.
Théoriquement, changer vos mots de passe régulièrement - peut-être tous les quelques mois - aidera à prévenir cela. Même si quelqu'un a obtenu votre mot de passe, ils n'auront que quelques mois pour utiliser leur accès à des fins malveillantes.
Les modifications du mot de passe
ne doivent pas être considérées dans le vide. Si les êtres humains avaient un temps infini et une mémoire parfaite, des changements de mots de passe réguliers seraient une bonne idée. En réalité, changer les mots de passe impose un fardeau aux gens.
Changer régulièrement votre mot de passe rend plus difficile la mémorisation de bons mots de passe. Plutôt que de créer un mot de passe fort et de le valider en mémoire, vous devez essayer de mémoriser un nouveau mot de passe tous les quelques mois. Les utilisateurs qui sont obligés de changer régulièrement leur mot de passe par un système informatique peuvent finir par ajouter un numéro - ils peuvent donc utiliser password1, password2, etc.
Il est assez difficile de changer régulièrement votre mot de passe pour un seul compte et de mémoriser votre nouveau mot de passe à chaque fois. Mais nous avons tous beaucoup de mots de passe - imaginez que vous deviez changer votre mot de passe régulièrement et vous rappeler constamment des mots de passe uniques et forts pour un grand nombre de services.
Il est déjà pratiquement impossible de choisir des mots de passe forts et uniques pour chaque site Web et de s'en souvenir. C'est pourquoi nous vous recommandons d'utiliser un gestionnaire de mots de passe comme LastPass ou KeePass. Si vous changez votre mot de passe tous les quelques mois, vous risquez d'utiliser des mots de passe plus faibles et de les réutiliser sur plusieurs sites Web. Il est beaucoup plus important d'utiliser des mots de passe forts et uniques partout que de changer régulièrement votre mot de passe.
Pourquoi changer les mots de passe ne va pas nécessairement aider
Changer régulièrement votre mot de passe ne vous aidera pas autant que vous le pensez. Si un attaquant accède à vos comptes, il utilisera très probablement son accès pour causer des dommages immédiatement. S'ils accèdent à votre compte bancaire en ligne, ils se connecteront et tenteront de transférer de l'argent plutôt que de s'asseoir et d'attendre. S'ils accèdent à un compte d'achat en ligne, ils se connectent et tentent de commander des produits avec vos informations de carte de crédit enregistrées. S'ils accèdent à votre courrier électronique, ils l'utiliseront probablement pour le spam et l'hameçonnage, ou tenteront de réinitialiser les mots de passe sur d'autres sites. S'ils accèdent à votre compte Facebook, ils essaieront probablement de spammer ou de frauder vos amis immédiatement.
Les attaquants typiques ne garderont pas vos mots de passe pendant une longue période et ne vous verront pas. Ce n'est pas rentable - et les attaquants sont juste après le profit. Vous remarquerez que quelqu'un a accès à vos comptes.
Changer votre mot de passe régulièrement est également essentiel si vous utilisez le même mot de passe partout, car il est probable que votre mot de passe soit constamment divulgué lorsque l'un des services que vous utilisez est compromis. Plutôt que de changer ce mot de passe régulièrement, vous devriez traiter le vrai problème ici et utiliser des mots de passe uniques partout.
quand vous voulez changer les mots de passe
La modification des mots de passe peut s'avérer utile si une personne qui n'est pas un attaquant traditionnel a accès à votre compte. Par exemple, supposons que vous ayez partagé vos identifiants de connexion Netflix avec un ex - vous souhaiterez changer votre mot de passe afin qu'ils ne puissent pas utiliser votre compte pour toujours. Ou, disons qu'un de vos proches a eu accès à votre courriel ou à votre mot de passe Facebook et a utilisé votre mot de passe pour vous espionner. Lorsque vous modifiez vos mots de passe, vous empêchez surtout ce type de partage de compte et d'espionnage, n'empêchant pas quelqu'un à l'autre bout du monde d'y accéder.
Les changements de mot de passe réguliers peuvent également être utiles pour certains systèmes de travail, mais ils doivent être utilisés avec réflexion. Les administrateurs informatiques ne doivent pas forcer les utilisateurs à changer constamment leurs mots de passe, sauf pour de bonnes raisons: les utilisateurs commenceront simplement à utiliser des mots de passe faibles, à écrire des mots de passe ou même à basculer entre deux mots de passe favoris.
Les changements de mot de passe en réponse à des événements spécifiques sont une bonne chose, bien sûr. C'est une bonne idée de changer vos mots de passe sur les sites Web qui étaient vulnérables à Heartbleed mais qui ont maintenant été corrigés. Changer votre mot de passe après un site a sa base de données de mots de passe volés est également une bonne idée.
Si vous réutilisez des mots de passe pour différents sites Web, la modification de votre mot de passe sur tous ces sites est une bonne idée si l'un de ces sites est compromis. Mais c'est la pire chose que vous pouvez faire - la vraie solution ici est d'utiliser des mots de passe uniques, ne pas changer constamment votre mot de passe partagé à un nouveau sur tous les services que vous utilisez.
Focus sur des conseils utiles
Le problème avec les gens qui conseillent de changer régulièrement leur mot de passe, c'est que c'est un conseil tellement distrayant. L'utilisation de mots de passe forts et uniques partout dans le monde est déjà presque impossible si vous n'utilisez pas un gestionnaire de mots de passe pour vous en souvenir. L'authentification à deux facteurs est également utile car elle peut empêcher l'accès à vos comptes même si quelqu'un vole vos mots de passe. Plutôt que de dire aux gens de changer régulièrement leurs mots de passe, nous devrions transmettre des conseils utiles comme «utiliser des mots de passe uniques partout» - ce que la plupart des gens ne font pas actuellement.
Ce n'est pas le seul conseil avec lequel nous sommes en désaccord. Pour la plupart des utilisateurs à domicile, l'écriture de certains mots de passe n'est pas une mauvaise idée - c'est certainement mieux que de réutiliser le même mot de passe partout.
Nous ne sommes pas les seuls à vous déconseiller les changements de mots de passe réguliers et sans discrimination. L'expert en sécurité Bruce Schneier a écrit pourquoi le changement régulier des mots de passe n'est pas un bon conseil, alors que Microsoft Research a également conclu que changer les mots de passe régulièrement est une perte de temps. Oui, il y a certaines situations où vous voudrez peut-être faire cela - mais transmettre des conseils comme «changer vos mots de passe tous les trois mois» aux utilisateurs typiques d'ordinateur fait plus de mal que de bien.
Crédit d'image: rochelle hartman sur Flickr, Lulu Hoeller sur Flickr, Joanna Poe sur Flickr, snoopsmaus sur Flickr, medithIT sur Flickr