Devriez-vous changer vos mots de passe régulièrement?
«Changez régulièrement vos mots de passe» est un conseil courant sur les mots de passe, mais ce n’est pas nécessairement un bon conseil. Vous ne devriez pas vous soucier de changer la plupart des mots de passe régulièrement – cela vous encourage à utiliser des mots de passe plus faibles et vous fait perdre votre temps.
Oui, dans certaines situations, vous voudrez changer régulièrement vos mots de passe. Mais ce sera probablement l’exception plutôt que la règle. Dire aux utilisateurs d’ordinateurs types qu’ils doivent régulièrement changer leur mot de passe est une erreur.
Sommaire
La théorie des changements de mot de passe réguliers
Les changements de mot de passe réguliers sont théoriquement une bonne idée, car ils garantissent que quelqu’un ne peut pas acquérir votre mot de passe et l’utiliser pour vous espionner pendant une période prolongée.
Par exemple, si quelqu’un a acquis votre mot de passe de messagerie, il pourrait se connecter régulièrement à votre compte de messagerie et surveiller vos communications. Si quelqu’un a acquis votre mot de passe bancaire en ligne, il pourrait espionner vos transactions ou revenir dans plusieurs mois et tenter de transférer de l’argent sur son propre compte. Si quelqu’un a acquis votre mot de passe Facebook, il pourrait se connecter en tant que vous et surveiller vos communications privées.
En théorie, changer régulièrement vos mots de passe – peut-être tous les quelques mois – aidera à éviter que cela ne se produise. Même si quelqu’un avait acquis votre mot de passe, il ne disposerait que de quelques mois pour utiliser son accès à des fins néfastes.
Les inconvénients
Les changements de mot de passe ne doivent pas être considérés dans le vide. Si les êtres humains avaient un temps infini et une mémoire parfaite, des changements de mot de passe réguliers seraient une bonne idée. En réalité, changer les mots de passe impose un fardeau aux gens.
Changer régulièrement de mot de passe rend plus difficile la mémorisation des bons mots de passe. Plutôt que de créer un mot de passe fort et de le mettre en mémoire, vous devez essayer de vous souvenir d’un nouveau mot de passe tous les quelques mois. Les utilisateurs qui sont obligés de changer régulièrement leur mot de passe par un système informatique peuvent finir par ajouter un numéro – ils peuvent donc utiliser password1, password2, etc.
Il est déjà assez difficile de changer régulièrement votre mot de passe pour un seul compte et de mémoriser votre nouveau mot de passe à chaque fois. Mais nous avons tous de nombreux mots de passe – imaginez devoir changer votre mot de passe régulièrement et mémoriser constamment des mots de passe uniques et forts pour un grand nombre de services.
Il est déjà pratiquement impossible de choisir des mots de passe forts et uniques pour chaque site Web et de les mémoriser – c’est pourquoi nous vous recommandons d’utiliser un gestionnaire de mots de passe comme LastPass ou KeePass. Si vous changez votre mot de passe tous les quelques mois, vous finirez probablement par utiliser des mots de passe plus faibles et les réutiliser sur plusieurs sites Web. Il est bien plus important d’utiliser des mots de passe forts et uniques partout que de changer votre mot de passe régulièrement.
Pourquoi changer les mots de passe n’aidera pas nécessairement
Changer régulièrement votre mot de passe n’aidera pas autant que vous pourriez le penser. Si un attaquant accède à vos comptes, il utilisera probablement son accès pour causer des dommages immédiatement. S’ils ont accès à votre compte bancaire en ligne, ils se connecteront et essaieront de transférer de l’argent plutôt que de rester assis et d’attendre. S’ils ont accès à un compte d’achat en ligne, ils se connecteront et tenteront de commander des produits avec les informations de votre carte de crédit enregistrées. S’ils accèdent à votre messagerie, ils l’utiliseront probablement pour le spam et le phishing, ou tenteront de réinitialiser les mots de passe sur d’autres sites avec. s’ils accèdent à votre compte Facebook, ils tenteront probablement de spammer ou de frauder vos amis immédiatement.
Les attaquants typiques ne conserveront pas vos mots de passe pendant une période prolongée et ne vous espionneront pas. Ce n’est pas rentable – et les attaquants sont juste après le profit. Vous remarquerez si quelqu’un accède à vos comptes.
Changer régulièrement votre mot de passe est également essentiel si vous utilisez le même mot de passe partout, car il est probable que votre mot de passe soit constamment divulgué lorsque l’un des services que vous utilisez est compromis. Plutôt que de changer régulièrement ce mot de passe unique, vous devriez traiter le vrai problème ici et utiliser des mots de passe uniques partout.
Lorsque vous souhaitez changer de mot de passe
La modification des mots de passe peut aider si quelqu’un qui n’est pas un attaquant traditionnel a accès à votre compte. Par exemple, disons que vous avez partagé vos informations de connexion Netflix avec un ex – vous voudrez changer votre mot de passe afin qu’il ne puisse pas utiliser votre compte pour toujours. Ou, disons qu’un proche de vous a eu accès à votre e-mail ou à votre mot de passe Facebook et a utilisé votre mot de passe pour vous espionner. Lorsque vous modifiez vos mots de passe, vous empêchez principalement ce type de partage de compte et d’espionnage, pas d’empêcher quelqu’un à l’autre bout du monde d’y accéder.
Les changements de mot de passe réguliers peuvent également être utiles pour certains systèmes de travail, mais ils doivent être utilisés avec réflexion. Les administrateurs informatiques ne devraient pas forcer les utilisateurs à changer constamment leurs mots de passe à moins qu’il n’y ait une bonne raison – les utilisateurs commenceront simplement à utiliser des mots de passe faibles, à écrire des mots de passe ou même à basculer entre deux mots de passe préférés.
Les changements de mot de passe en réponse à des événements spécifiques sont une bonne chose, bien sûr. C’est une bonne idée de changer vos mots de passe sur les sites Web qui étaient vulnérables à Heartbleed mais qui l’ont maintenant corrigé. Changer votre mot de passe après le vol de la base de données de mots de passe d’un site Web est également une bonne idée.
Si vous réutilisez des mots de passe pour différents sites Web, changer votre mot de passe sur tous ces sites est une bonne idée si l’un de ces sites est compromis. Mais c’est la pire chose que vous puissiez faire – la vraie solution ici consiste à utiliser des mots de passe uniques, à ne pas changer constamment votre mot de passe partagé en un nouveau sur tous les services que vous utilisez.
Concentrez-vous sur des conseils utiles
Le problème avec le fait de conseiller aux gens de changer leur mot de passe régulièrement est que ce sont des conseils tellement distrayants. Utiliser des mots de passe forts et uniques partout est déjà un conseil presque impossible à faire si vous n’utilisez pas un gestionnaire de mots de passe pour les mémoriser pour vous. L’authentification à deux facteurs est également utile car elle peut empêcher l’accès à vos comptes même si quelqu’un vole vos mots de passe. Plutôt que de dire aux gens de changer régulièrement leurs mots de passe, nous devrions leur transmettre des conseils utiles comme «utiliser des mots de passe uniques partout» – ce que la plupart des gens ne font pas actuellement.
Ce n’est pas le seul conseil avec lequel nous ne sommes pas d’accord. Pour la plupart des utilisateurs à domicile, écrire certains mots de passe n’est en fait pas une mauvaise idée – c’est certainement mieux que de réutiliser le même mot de passe partout.
Nous ne sommes pas les seuls à déconseiller les changements de mot de passe réguliers et aveugles. L’expert en sécurité Bruce Schneier a expliqué pourquoi changer régulièrement de mot de passe n’est pas un bon conseil, tandis que Microsoft Research a également conclu que changer régulièrement de mot de passe est une perte de temps. Oui, il y a des situations où vous voudrez peut-être faire cela – mais transmettre des conseils comme «changer vos mots de passe tous les trois mois» aux utilisateurs d’ordinateurs typiques fait plus de mal que de bien.
Crédit d’image: rochelle hartman sur Flickr, Lulu Hoeller sur Flickr, Joanna Poe sur Flickr, snoopsmaus sur Flickr, medithIT sur Flickr