Stop aux mots de passe complexes et place aux phrases secrètes. Selon le FBI, il est préférable d’opter pour cette alternative afin d’assurer plus de sécurité et ainsi protéger ses données personnelles.

L’initiative Protected Voices a été lancée par le FBI pour aider à se prémunir contre les opérations en ligne « d’influence étrangère » ainsi que des menaces de cybersécurité. Le FBI lui-même, le Département de la sécurité intérieure et le Bureau du directeur du renseignement national, nous offrent une mine d’or de conseils essentiels et d’aide en termes d’ingénierie sociale et de réponse aux incidents. Alors que les informations sont orientées vers les campagnes politiques, les conseils fournis s’appliquent à un public beaucoup plus large. Le rapport du FBI Portland Tech s’adapte à cette initiative et recommande ainsi une alternative aux mots de passe que la majorité des gens utilisent tout le temps, que ce soit pour protéger leur boîte mail, leur compte bancaire, leur téléphone ou encore leur ordinateur… Le FBI vous conseille d’abandonner l’usage de mots de passe, en faveur de cette nouvelle alternative.

Favorisez la longueur à la complexité 

La faille réside, comme toujours, dans les détails. Ici, le détail est que la complexité d’un mot de passe n’est pas toujours la meilleure option. Le FBI vous déconseille d’utiliser des mots de passe simples et faciles à retenir car ils sont également faciles à deviner ou à hacker, mais il vous déconseille également les mots de passe plus complexes, à caractères spéciaux et plus difficiles à retenir. Il vous conseille également de jeter un coup d’œil à la liste des 100 pires mots de passe au monde (afin de vous assurer que le vôtre n’en fait pas partie). 

C’est à ce moment là que les conseils du FBI entrent en jeu et peuvent se résumer en deux mots : longueur et complexité. « La longueur du mot de passe est beaucoup plus importante que la complexité du mot de passe », a déclaré le FBI, ajoutant qu’au lieu d’utiliser des mots de passe courts et complexes, il était plus pertinent d’envisager des phrases (plus longues), mêmes si elles sont plus simples.

Une phrase secrète comme meilleure alternative à un mot de passe complexe n’est pas vraiment un nouveau concept de sécurité, mais elle reste bonne, et il est intéressant de voir à la fois le National Institute of Standards and Technology (NIST) et le FBI le recommander.

Correct Battery Horse Staple

La plupart des geeks ont bien compris que la longueur prend le dessus sur la complexité. Les phrases secrètes l’emportent sur les mots de passe, comme on peut le voir dans le dessin animé Correct Horse Battery Staple. Si vous ne l’avez jamais vu, allez jeter un œil. Il explique mieux que de nombreux longs essais, pourquoi une phrase secrète est difficile à deviner mais facile à retenir. Et c’est le but du conseil du FBI : « La longueur supplémentaire d’une phrase secrète rend le piratage plus complexe, tout en facilitant la mémorisation. »

Ainsi, alors que G5e*cbCy74Tm$*SZthE7igp7L est certainement difficile pour un hackeur potentiel à deviner ou à déceler grâce à des méthodes d’attaque fortes, il est presque impossible de s’en souvenir. Cependant, « FantasticYellowBowledHair » est de la même longueur mais beaucoup plus complexe et bien plus facile à visualiser et donc à mémoriser. De plus, il est tout aussi difficile pour les criminels de le déceler. L’astuce consiste à utiliser des mots non liés, qui peuvent être combinés en quelque chose que vous parvenez à visualiser facilement, plutôt que des mots liés que l’on peut lire comme une phrase normale. Le FBI recommande d’utiliser des mots de passe d’au moins 15 caractères, mais peut-être vaudrait-il mieux rallonger à 25 caractères minimum ?

Un générateur de mots de passe existe même en ligne, utilisant la méthode XKCD, avec des options de paramètres utilisateur tels que des majuscules et des espaces, qui propose des phrases aléatoires et rend le processus encore plus facile.

Pourquoi ne pas simplement utiliser un gestionnaire de mots de passe ?

Pourquoi s’embêter avec des phrases secrètes lorsqu’une application de gestion de mots de passe génère de manière aléatoire des mots de passe suffisamment longs et complexes que vous n’avez pas à mémoriser ? Il est vrai que c’est une bonne alternative et c’est celle qu’utilisent et recommandent beaucoup de professionnels de la sécurité de l’information, hackers éthiques aux RSSI, etc… Cependant, si vous utilisez ce type d’application, elle doit toujours être elle-même sécurisée par un mot de passe principal et c’est là que la phrase secrète entre en jeu. Pour tirer parti des deux méthodes, vous pouvez à la fois utiliser ce système qui retient pour vous des mots de passe très longs et complexes, et en même temps utiliser une phrase secrète en tant que mot de passe principal. Pour davantage de sécurité, il est utile d’avoir plusieurs couches de sécurité. L’ajout d’étapes de vérification utilisateur telles que la biométrie (empreinte digitale) ou de jetons (clés de sécurité matérielles ou codes d’authentification de logiciel), permettra de verrouiller avec plus de sécurité vos comptes et services.

 

<<< À lire également : Renforcer La Cybersécurité En Entreprise Par L’Humain >>>