Un chiffre minimum, une majuscule, un symbole spécial, et ainsi de suite. Vous avez déjà croisé ces exigences au moment de créer un compte sur le web. Cette règle qui exige une certaine composition dans le mot de passe est peut-être contreproductive. En tout cas, elle est déconseillée outre-Atlantique, car elle a tendance à engendrer de mauvais comportements.

Les sites web doivent cesser de forcer les internautes à inclure tel ou tel caractère dans un mot de passe. Voilà, en somme, la toute nouvelle recommandation — inattendue — formulée aux États-Unis par l’Institut national des normes et de la technologie (NIST). Une suggestion qui pourrait faire tache d’huile en France.

Outre-Atlantique, le NIST est un organisme de standardisation qui travaille, par exemple, sur la cryptographie post-quantique et la sécurité informatique. L’instance édicte aussi des lignes directrices sur d’autres sujets, dont les mots de passe. Or, de nouveaux conseils en la matière ont été formulés très récemment, rapporte la presse américaine le 26 septembre 2024.

  • D’abord, il faut arrêter d’exiger des utilisateurs qu’ils changent de mot de passe à intervalles réguliers.

Pour le NIST, tout renouvellement de mot de passe ne devrait se faire que s’il est avéré qu’il y a eu une compromission du côté de l’internaute (il s’est fait voler son mot de passe) ou du site (il a été piraté). Le NIST n’est pas le premier organisme à défendre cette ligne. En fait, cela fait des années que ce message est répété.

  • Ensuite, les sites devraient s’abstenir de fixer des exigences de composition dans un mot de passe (en somme, mélanger des lettres et des chiffres, avoir des minuscules et des majuscules, insérer des caractères spéciaux, et ainsi de suite).
Source : Capture d'écran
Un exemple sur un site de courses en ligne. Il impose au moins une majuscule, une minuscule, un chiffre et huit caractères. // Source : Capture d’écran

C’est contreproductif, c’est épuisant, ce n’est pas si efficace

Dans son développement, le NIST reconnaît que les règles de composition ont pour ambition d’accroître la difficulté de deviner les mots de passe choisis par l’usager. Cependant, « les recherches ont montré que les utilisateurs réagissent de manière très prévisible aux exigences imposées par les règles de composition », note l’institut.

Ainsi, un internaute qui aurait choisi « Password » comme mot de passe sera relativement susceptible de mettre « Password1 » si on lui dit qu’il manque un chiffre ou « Password1! » s’il faut également mettre un symbole. En clair, les internautes ont tendance pour une partie d’entre eux à suivre des sortes de schémas que l’on peut ensuite exploiter.

Faut-il vraiment faire des mots de passe compliqués ?  // Source : Le mème math woman
« Est-ce que je rajoute un 1 après mon excellent mot de passe Azerty, ou pas ? Est-ce que c’est sécurisé ? » // Source : Le mème math woman

Le NIST a établi son avis sur des analyses de bases de données de mots de passe piratés. Il s’avère que l’avantage supposé des règles qui ordonnent d’avoir, par exemple, au moins un chiffre, une lettre majuscule et un symbole « est moins important qu’on ne le pensait initialement ». Par contre, les effets néfastes sur la mémorisation et la facilité d’emploi « sont graves ».

« Les humains ont une capacité limitée à mémoriser des secrets complexes et arbitraires, c’est pourquoi ils choisissent souvent des mots de passe qui peuvent être facilement devinés », rappelle d’ailleurs le NIST. C’est aussi la raison pour laquelle ils emploient aussi le ou les mêmes mots de passe sur la plupart des sites, alors que c’est catastrophique.

Pour contrer ce problème, la meilleure solution en termes de bénéfices / risques est de mobiliser un gestionnaire de mots de passe qui fera ce travail de mémorisation à votre place, tout en satisfaisant les exigences habituelles : longueur du mot de passe, complexité, singularité, etc. C’est toujours mieux qu’un post-it, en tout cas.

Quel gestionnaire de mots de passe choisir ?

Numerama propose un comparateur des meilleurs gestionnaires de mots de passe en 2024. En plus de ces logiciels, qui font office de coffre forts, il est prescrit d’utiliser la double authentification (appelée aussi authentification forte / authentification à deux facteurs), qui apporte une protection en plus. Et si vous tenez à aller encore plus loin, les passkeys vous attendent : de plus en plus de sites et services les acceptent.

Les meilleurs Gestionnaires de mots de passe

Petit prix

NordPass

NordPass // Source : NordPass
  • Nouveau venu sur le secteur
  • Même groupe que NordVPN
Valeur sûre

1Password

1Password // Source : 1Password
  • Le plus connu et l’un des plus vieux
  • Interface modernisée
Qualité-prix

Dashlane

Dashlane // Source : Dashlane
  • Un gestionnaire français
  • Surveille le dark web
une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !