An illustration of a field with a strong password filled in and a signpost next to it.
Agence web » Actualités du digital » Pourquoi utiliser des indices de mot de passe est une très mauvaise idée

Pourquoi utiliser des indices de mot de passe est une très mauvaise idée

Principaux points à retenir

  • Les indices de mot de passe sont encore parfois utilisés pour confirmer votre identité lors d'une demande de réinitialisation de mot de passe.
  • Les indices de mot de passe sont vulnérables aux attaques d’ingénierie sociale, ce qui les rend intrinsèquement dangereux.
  • Au lieu d’indices de mot de passe, utilisez des gestionnaires de mots de passe pour générer et stocker des mots de passe sécurisés.

De nombreux services en ligne, en particulier ceux qui existent depuis un certain temps, vous demanderont de créer des indices de mot de passe lors de la création d'un compte. Les indices de mot de passe sont une très mauvaise idée et vous ne devriez pas les utiliser. Voyons pourquoi et ce que vous pouvez faire à la place.

Que sont les indices de mot de passe ?

Si vous avez vécu les débuts du Web, vous connaissez probablement mieux les indices de mot de passe que n'importe quel jeune lecteur. À l'époque, la plupart du temps, lorsque vous créiez un compte, vous deviez également préparer quelques questions au cas où vous auriez besoin de réinitialiser votre mot de passe. Lorsque vous demandiez une réinitialisation de mot de passe, vous deviez alors répondre à ces questions avant de continuer.

L'objectif de ces questions de réinitialisation de mot de passe, également appelées questions de sécurité ou indices de mot de passe, était de disposer d'une méthode de secours pour authentifier un utilisateur. Par conséquent, elles impliquaient souvent des questions que vous seul connaissiez. Pensez à des choses comme le nom de votre premier animal de compagnie, le nom de jeune fille de votre mère, la rue dans laquelle vous avez grandi, etc.

Il existe également des variantes dans lesquelles vous créez vos propres questions, mais le risque est que vous oubliiez la réponse. Pire encore, les indices de mot de passe vous aident à vous souvenir du mot de passe : cela encourage directement l'utilisation de mots de passe non aléatoires (et donc peu sûrs).

Pourquoi les indices de mot de passe constituent un risque de sécurité

Aussi pratiques qu'ils puissent paraître (vous n'obtenez pas une réinitialisation de mot de passe sur simple demande, vous devez d'abord prouver qui vous êtes), les indices de mot de passe sont une très mauvaise idée et vous ne devriez jamais les utiliser. En effet, ils n'ajoutent pas une couche de sécurité, mais plutôt une couche de vulnérabilité.

Pour améliorer la sécurité, il faut réduire la surface d'attaque, c'est-à-dire les endroits où un attaquant peut tenter d'accéder à votre système. Les mots de passe eux-mêmes augmentent votre surface d'attaque, mais ils constituent une nécessité incontournable, car sans eux, vous ne pourriez pas entrer, même dans un avenir sans mot de passe. Les indices de mot de passe augmentent encore davantage la surface d'attaque, car ils permettent aux attaquants de découvrir vos mots de passe.

C'est parce que les mots de passe forts sont aléatoire Mots de passe. Les indices de mots de passe ne sont pas aléatoires, vous pouvez trouver les réponses assez facilement. Des choses comme le nom de jeune fille de votre mère, le nom de votre animal de compagnie, la rue dans laquelle vous avez grandi sont autant de faits extrêmement faciles à comprendre.

La plupart des réseaux sociaux contiennent des informations de ce type, et même si ce n'est pas le cas, un simple exploit d'ingénierie sociale peut vous faire parvenir ces informations ou à quelqu'un que vous connaissez. Après tout, même si peu d'entre nous seraient disposés à divulguer nos mots de passe, nous serions probablement prêts à partager l'adresse de notre enfance si on nous demandait quelque chose comme « hé, je viens aussi de ce quartier ! J'ai grandi sur Madison Street, et toi ? » Répondez honnêtement, comme presque tout le monde le ferait, et vous donnerez à quelqu'un l'accès à votre fonction de réinitialisation de mot de passe.

Que faut-il utiliser à la place des indices de mot de passe ?

La seule solution pour éviter ce problème est de ne pas utiliser d'indices de mot de passe ou de questions de réinitialisation de mot de passe. Malheureusement, certaines entreprises, comme Microsoft, ne semblent pas se soucier du risque énorme qu'elles représentent et exigent que vous les utilisiez. Tout ce que vous pouvez faire dans ce cas est d'ajouter une réponse incompréhensible (vous pouvez même l'enregistrer dans un endroit sûr, si vous voulez être encore plus en sécurité).

Il reste à savoir comment sécuriser vos comptes. Après tout, sans indices, vous ne pourrez probablement pas réinitialiser votre mot de passe. Les gestionnaires de mots de passe résolvent ce problème : ces programmes pratiques génèrent, stockent et remplissent automatiquement vos mots de passe pour vous. En les utilisant, vous n'aurez probablement jamais besoin de réinitialiser vos mots de passe, et donc donner des réponses incompréhensibles ne vous fera aucun mal.

Les gestionnaires de mots de passe sont un excellent outil, en plus de rendre les indices de mot de passe obsolètes. Ils se chargent de tout le travail de nettoyage des mots de passe, ce qui signifie que les autres attaques basées sur les mots de passe ont également beaucoup moins de chances de réussir.

★★★★★