Intelligence de données générative

Cyber sécurité

À quelle fréquence devez-vous changer vos mots de passe ?

Réédité par Platon
Réédité par Platon

Date :

Vues: 0

Sécurité numérique

Et est-ce réellement la bonne question à poser ? Voici ce que vous devriez considérer d’autre pour assurer la sécurité de vos comptes.

Phil Muncaster

Phil Muncaster

03 avril 2024
 • 
,
5 minute. lis

À quelle fréquence devez-vous changer vos mots de passe ?

On a beaucoup parlé ces dernières années du potentiel croissant de authentification sans mot de passe ainsi que le clés d'accès. Grâce à la quasi-omniprésence de la reconnaissance faciale sur smartphone, la possibilité de vous connecter à vos applications ou autres services préférés en consultant votre appareil (ou une autre méthode de authentification biométrique, d'ailleurs) est désormais une réalité rafraîchissante, simple et sûre pour beaucoup. Mais ce n’est toujours pas la norme, en particulier dans le monde des ordinateurs de bureau, et beaucoup d’entre nous s’appuient encore sur de bons vieux mots de passe.

C’est là que réside le défi – car les mots de passe restent une cible majeure pour les fraudeurs et d’autres acteurs menaçants. Alors, à quelle fréquence devrions-nous modifier ces informations d’identification afin de les maintenir en sécurité ? Répondre à cette question peut être plus délicat que vous ne le pensez.

Pourquoi les changements de mot de passe peuvent ne pas avoir de sens

Jusqu'à il n'y a pas si longtemps, il était recommandé de alterner régulièrement les mots de passe afin d'atténuer le risque de vol secret ou de piratage par des cybercriminels. La sagesse reçue se situait entre 30 et 90 jours.

Cependant, les temps changent et les recherches suggèrent que les changements fréquents de mots de passe, en particulier selon un horaire défini, n'améliore pas nécessairement la sécurité du compte. En d’autres termes, il n’existe pas de réponse unique quant au moment où vous devez modifier votre ou vos mots de passe. En outre, beaucoup d’entre nous ont trop de comptes en ligne pour en assurer le suivi confortablement, et encore moins trouver des mots de passe (forts et uniques) pour chacun d’eux tous les quelques mois. De plus, nous vivons désormais dans un monde de gestionnaires de mots de passe ainsi que le authentification à deux facteurs (2FA) presque partout.

Le premier signifie qu’il est plus facile de stocker et de rappeler des mots de passe longs, forts et uniques pour chaque compte. Ce dernier ajoute une couche de sécurité supplémentaire assez transparente au processus de connexion par mot de passe. Quelques gestionnaires de mots de passe disposent désormais d'une surveillance du dark web intégrée pour signaler automatiquement lorsque les informations d'identification peuvent avoir été violées et diffusées sur des sites clandestins.

Quoi qu'il en soit, il existe des raisons impérieuses pour lesquelles les experts en sécurité et les autorités mondialement respectées, telles que le National Institute of Standards and Technology (NIST) des États-Unis et le National Cyber ​​Security Center (NCSC) du Royaume-Uni, ne recommandent pas que les gens soient obligés de changer. leurs mots de passe tous les quelques mois, à moins que certains critères ne soient remplis.

La justification est assez simple :

  • Selon le NIST : « Les utilisateurs ont tendance à choisir des secrets mémorisés plus faibles lorsqu'ils savent qu'ils devront les modifier dans un avenir proche ».
  • "Lorsque ces changements se produisent, ils sélectionnent souvent un secret similaire à leur ancien secret mémorisé en appliquant un ensemble de transformations courantes telles que l'augmentation d'un nombre dans le mot de passe", Le NIST continue.
  • Cette pratique donne un faux sentiment de sécurité, car si un mot de passe précédent a été compromis et que vous ne le remplacez pas par un mot de passe fort et unique, les attaquants peuvent facilement le déchiffrer à nouveau.
  • Les nouveaux mots de passe, surtout s'ils sont créés tous les quelques mois, sont également plus susceptibles d'être écrits et/ou oubliés, selon le NCSC.

« C'est l'un de ces scénarios de sécurité contre-intuitifs ; Plus les utilisateurs sont obligés de changer de mot de passe, plus la vulnérabilité globale aux attaques est grande. Il s’avère que ce qui semblait être un conseil parfaitement sensé et établi de longue date ne résiste pas à une analyse rigoureuse de l’ensemble du système », a déclaré le NCSC. soutient.

« Le NCSC recommande désormais aux organisations de ne pas forcer l'expiration régulière des mots de passe. Nous pensons que cela réduit les vulnérabilités associées aux mots de passe qui expirent régulièrement, tout en augmentant peu le risque d’exploitation des mots de passe à long terme.

Quand changer votre mot de passe

Cependant, il existe plusieurs scénarios qui nécessitent un changement de mot de passe, notamment pour vos comptes les plus importants. Ceux-ci inclus:

  • Votre mot de passe a été pris dans une violation de données par un tiers. Vous en serez probablement informé par le fournisseur lui-même, ou vous aurez peut-être inscrit à de telles alertes sur des services tels que Have I Been Pwned, ou vous pourriez être averti par votre fournisseur de gestionnaire de mots de passe exécutant des vérifications automatisées sur le dark web.
  • Votre mot de passe est faible et facile à deviner ou à craquer (c'est-à-dire qu'il peut apparaître sur une liste de mots de passe les plus courants). Les pirates peuvent utiliser les outils essayer des mots de passe communs sur plusieurs comptes dans l’espoir que l’un d’entre eux fonctionne – et le plus souvent, ils réussissent.
  • Vous avez réutilisé le mot de passe sur plusieurs comptes. Si l’un de ces comptes est piraté, les acteurs malveillants pourraient utiliser des « bourrage d'informations d'identification » logiciel pour ouvrir votre compte sur d’autres sites/applications.
  • Vous venez d'apprendre, par exemple grâce à votre nouveau logiciel de sécurité, que votre appareil a été compromis par un malware.
  • Vous avez partagé votre mot de passe avec une autre personne.
  • Vous venez de supprimer des personnes d'un compte partagé (par exemple, d'anciens colocataires).
  • Vous vous êtes connecté sur un ordinateur public (par exemple, dans une bibliothèque) ou sur l'appareil/l'ordinateur d'une autre personne.

Conseils sur les meilleures pratiques en matière de mot de passe

Tenez compte des éléments suivants afin de minimiser les risques de piratage de compte :

  • Utilisez toujours des mots de passe forts, longs et uniques.
  • Stockez ce qui précède dans un gestionnaire de mots de passe qui aura un seul identifiant principal auquel accéder et pourra rappeler automatiquement tous vos mots de passe sur n'importe quel site ou application.
  • Gardez un œil sur les alertes de violation de mot de passe et prenez des mesures immédiates après les avoir reçues.
  • Activez 2FA chaque fois qu'il est disponible pour fournir une couche de sécurité supplémentaire à votre compte.
  • Considérer activer les mots de passe lorsqu'il est proposé pour un accès sécurisé et transparent à vos comptes à l'aide de votre téléphone.
  • Envisagez des audits réguliers des mots de passe : examinez les mots de passe de tous vos comptes et assurez-vous qu'ils ne sont pas dupliqués ou faciles à deviner. Modifiez ceux qui sont faibles ou répétés, ou ceux qui peuvent contenir des informations personnelles comme des anniversaires ou des animaux de compagnie.
  • N'enregistrez pas vos mots de passe dans le navigateur, même si cela semble être une bonne idée. En effet, les navigateurs sont une cible populaire pour les acteurs malveillants, qui pourraient utiliser des logiciels malveillants voleurs d'informations pour capturer vos mots de passe. Cela exposerait également vos mots de passe enregistrés à toute autre personne utilisant votre appareil/ordinateur.

Si vous n'utilisez pas les mots de passe aléatoires et forts suggérés par votre gestionnaire de mots de passe (ou Le générateur de mots de passe d'ESET), consultez ceci liste de conseils de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA). Il suggère d'utiliser le mot de passe le plus long ou mot de passe autorisé (8 à 64 caractères) lorsque cela est possible, y compris les lettres majuscules et minuscules, les chiffres et les caractères spéciaux.

Avec le temps, on espère que les mots de passe – avec le soutien de Google, Apple, Microsoft et d’autres acteurs majeurs de l’écosystème technologique – marqueront enfin la fin de l’ère des mots de passe. Mais en attendant, assurez-vous que vos comptes sont aussi sécurisés que possible.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.