Chaque année à cette époque, je dois remplir la demande de cyberassurance de mon entreprise — et chaque année, ils me demandent si nous encourageons les mots de passe forts et les changeons souvent. Cette question m’agace énormément, car nous ne devrions vraiment pas changer souvent de mots de passe. Nous devrions plutôt choisir des processus d’authentification qui correspondent de manière appropriée aux risques du site ; l’utilisation d’un mot de passe devrait être la dernier chose sur laquelle vous voulez compter.

Tout d’abord, pensez aux informations et aux données qu’un site Web conserve sur vous. Les sites que nous voulons offrir le plus de protections ont souvent les plus faibles. Lorsque vous le pouvez, ajoutez toujours une authentification à deux facteurs à l’accès à un site. (Toutes les authentifications multi-facteurs ne sont pas créées de la même manière, mais une sorte de multi-facteurs vaut mieux que rien. Si elle encourage les attaquants à aller ailleurs, elle a fait son travail.

Les banques et les organisations financières effectuent souvent des déploiements lents de logiciels d’authentification, vous devez donc vous contenter d’un nom d’utilisateur, d’un mot de passe, puis d’un outil d’authentification à deux facteurs – généralement un texte envoyé à votre smartphone. Bien que les puces SIM des smartphones puissent être clonées (afin que les attaquants puissent usurper votre téléphone et intercepter les SMS), la grande majorité d’entre nous est encore mieux lotie avec ce processus. Compter uniquement sur un nom d’utilisateur et un mot de passe pour accéder à la banque met votre compte en danger.

Pour être juste, tous les mots de passe ne sont pas créés égaux. Si vous avez réutilisé un mot de passe sur un autre site Web ou pour un autre compte bancaire, vous êtes plus à risque. Les attaquants volent ou achètent souvent un référentiel de mots de passe piratés ou de « hachages » de mots de passe, puis tentent de les réutiliser pour accéder à d’autres sites. Si vous avez déjà reçu une notification de réinitialisation de mot de passe – et que vous n’avez pas tenté de vous connecter au compte – il s’agit probablement d’un attaquant tentant une attaque de bourrage de mot de passe sur le site. Donc, ne réutilisez pas le même mot de passe n’importe où.

Pendant des années, les utilisateurs en ligne ont été invités à modifier leurs noms d’utilisateur pour voir si un site vendait vos informations ailleurs. Maintenant, je vois le même type de recommandation pour le choix des mots de passe ou des phrases secrètes. Il y a un vidéo très drôle en ligne qui cloue le processus utilisé par les gens pour choisir les mots de passe. Vous avez commencé par choisir un mot de passe, puis vous l’utilisez partout. Ensuite, lorsqu’un site dit que l’un n’est pas assez bon, vous ajoutez une autre lettre. Ensuite, vous avez besoin d’un caractère spécial (comme le point d’exclamation). La vérité est que notre cerveau ne peut contenir qu’un nombre limité d’informations, c’est pourquoi nous avons tendance à réutiliser le même mot de passe, ou une variante de celui-ci, sur plusieurs sites.

Microsoft recommande souvent le utilisation des NIP sur les mots de passe. Il soutient qu’un code PIN est spécifique à l’appareil, donc si un attaquant vole votre code PIN, il doit également voler l’appareil. Il y a un problème avec cet argument. J’ai plusieurs appareils qui nécessitent un code PIN, et je dois admettre que j’utilise le même code PIN sur chacun d’eux car je ne me souviens pas mieux des codes PIN que des mots de passe. Selon Microsoft, l’avantage d’un code PIN est que « lorsque le code PIN est créé, il établit une relation de confiance avec le fournisseur d’identité et crée une paire de clés asymétrique qui est utilisée pour l’authentification ». Un code PIN est sauvegardé par la puce Trusted Platform Module (TPM) de l’ordinateur. (Si vous vous demandez pourquoi vous aviez une machine Windows 10 qui vous demandait d’utiliser un code PIN au lieu d’un mot de passe, c’est parce que le système d’exploitation a enregistré que vous disposiez du matériel nécessaire pour prendre en charge le processus.) Si vous n’avez pas besoin ou ne voulez pas avoir un code PIN, vous pouvez le supprimer. Appuyez sur la touche Windows et la touche I pour ouvrir les paramètres. Choisissez des comptes, puis cliquez sur continuer. Dans le panneau de gauche, cliquez sur les options de connexion. Dans le panneau de droite, choisissez « Supprimer », sous la section PIN.

Les efforts pour améliorer la sécurité en ligne se multiplient. Intuit a récemment commencé à exiger un mot de passe en ligne, même pour se connecter au bureau version de QuickBooks, son logiciel de comptabilité et de tenue de livres. Ceux dont le fichier QuickBooks contient des informations sensibles telles que paie ou cartes de crédit doit également se connecter d’abord avec un compte en ligne. Pendant des années, les utilisateurs de bureau n’ont eu besoin que d’un nom d’utilisateur. Même ainsi, de nombreux utilisateurs ont estimé que le changement semblait lourd, surtout lorsqu’il était combiné avec un mandat de changer les mots de passe tous les 90 jours. (Là encore, c’est cette idée qu’il est préférable de changer de mot de passe plutôt que d’utiliser de meilleurs mots de passe ou d’utiliser l’application d’authentification Google pour accéder à votre compte Intuit.

Même si vous êtes une petite entreprise, vous pouvez ajouter une authentification à deux facteurs à votre propre accès à l’ordinateur pour renforcer la sécurité. Duo.com, par exemple, propose DUO gratuit pour un déploiement avec moins de 10 utilisateurs. Il fournit une invite à deux facteurs à un smartphone ou même à l’Apple Watch. Je l’utilise dans mon bureau pour l’accès à distance afin de m’assurer que lorsque quelqu’un se connecte depuis l’extérieur du bureau, il doit répondre à une invite sur son téléphone pour y accéder. Sa facilité d’utilisation me permet de garantir la sécurité de l’accès à distance et d’éviter les changements de mot de passe excessifs.

Si vous êtes un vendeur ou une agence de cyberassurance, écoutez-moi ! Arrêtez de me demander de changer mon mot de passe. Demandez-moi plutôt quelle est mon application multifactorielle préférée. C’est le moyen le plus rapide d’améliorer la sécurité pour la plupart des utilisateurs.