Fini les casse-têtes pour créer un mot de passe ! Le National Institute of Standards and Technology (NIST) chamboule les règles du jeu et s’explique.
Depuis des années, on nous martèle qu’un bon mot de passe doit contenir des majuscules, des chiffres et des symboles. Mais selon les nouvelles recommandations du NIST, cette approche serait devenue obsolète. L’organisme américain, référence en matière de sécurité informatique, propose une vision radicalement différente de ce qui fait un mot de passe efficace.
La longueur, nouvelle reine de la sécurité
Première surprise : le NIST affirme que la longueur d’un mot de passe est bien plus importante que sa complexité. Un exemple concret ? Un mot de passe de 12 caractères composé uniquement de lettres prendrait environ 2000 ans à être piraté. En comparaison, un mot de passe de 8 caractères mélangeant chiffres, symboles et majuscules ne résisterait que… 17 ans !
« Les vérificateurs et les CSP ne devraient pas imposer d’autres règles de composition pour les mots de passe« , indique clairement le NIST dans ses nouvelles directives. Exit donc l’obligation d’utiliser des caractères spéciaux ou des majuscules.
Fini les changements réguliers
Autre révolution : le NIST déconseille désormais de forcer les utilisateurs à changer régulièrement leur mot de passe. « Les vérificateurs et les CSP n’exigeront pas que les utilisateurs changent périodiquement leur mot de passe« , peut-on lire dans les recommandations.
Pourquoi ce changement ? L’organisme estime que cette pratique pousse souvent les utilisateurs à créer des mots de passe plus faibles, simplement parce qu’ils seront plus faciles à retenir. À l’inverse, un mot de passe stable dans le temps a plus de chances d’être robuste.
Ces nouvelles directives s’inscrivent dans un contexte plus large d’évolution de nos pratiques en ligne. « La façon dont nous naviguons sur le Web a considérablement changé ces dernières années« , rappelle le NIST. Avec la multiplication des services en ligne, les mots de passe ne sont plus la seule méthode d’authentification disponible.
Certaines entreprises, comme Microsoft, permettent même de se passer totalement de mot de passe. D’autres misent sur les « clés d’accès » comme alternative. Dans ce nouveau paysage, la sécurité repose davantage sur une approche globale que sur la seule complexité d’un mot de passe.
Pour aller plus loin
Comment configurer une clé d’accès (passkey) sur votre compte Google pour en finir avec les mots de passe
La double authentification, rempart ultime
Malgré ces changements, le NIST insiste sur un point crucial : l’importance de la vérification en deux étapes. Cette méthode, qui ajoute une couche de sécurité supplémentaire, reste fortement recommandée pour tous les comptes importants.
Pour aller plus loin
Double authentification (2FA) : pourquoi et comment sécuriser ses comptes Google, Facebook, iCloud, Steam…
L’organisme précise toutefois qu’il est préférable d’éviter les SMS comme second facteur d’authentification. Mieux vaut privilégier une application dédiée, plus sûre.
Vers une adoption progressive
Il est important de noter que ces recommandations du NIST ne sont pas contraignantes pour les entreprises privées. Seuls les services liés au gouvernement américain sont tenus de les suivre. Néanmoins, l’influence du NIST dans le domaine de la cybersécurité est telle qu’on peut s’attendre à une adoption progressive de ces nouvelles pratiques.
En attendant, que retenir pour vos propres mots de passe ? Privilégiez la longueur à la complexité, optez pour des phrases faciles à retenir (comme des paroles de chanson), et surtout, activez la double authentification sur tous vos comptes importants. La sécurité en ligne évolue, à nous de suivre le mouvement !
Notre conseil : passez sur un gestionnaire de mots de passe, ça va vous simplifier la vie.
Pour aller plus loin
Quels sont les meilleurs gestionnaires de mots de passe gratuits et payants ?
Des invités passionnants et des sujets palpitants ! Notre émission UNLOCK est à retrouver un jeudi sur deux en direct, de 17 à 19h sur Twitch. Pensez aussi aux rediffusions sur YouTube !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix