Quelles sont les meilleures pratiques en matière de suggestion de mot de passe sécurisé ?
14 décembre 2018
Les administrateurs de site Web ne doivent en aucun cas se fier à la vigilance des utilisateurs pour créer des mots de passe sécuritaires.
À peine 13% des Milléniaux se donnent la peine de créer un mot de passe différent pour chacun de leur compte en ligne, selon un sondage récent de la firme Keeper. En 2016, un sondage de la firme Gigya avait déjà démontré que seulement 33 % des Milléniaux prenaient soin d’imaginer un mot de passe sécuritaire, en évitant les « 1234 », le prénom ou la date de fête.
Face à de tels chiffres, la responsabilité de sécuriser les mots de passe des utilisateurs de sites Web repose en grande partie sur les épaules des administrateurs, qui doivent renforcer leurs politiques de mots de passe.
Malheureusement, ce n’est pas tous les géants du Web qui montrent le bon exemple. Une analyse émanant de l’université Plymouth, effectuée par Steven Furnell, a démontré que de gros sites comme Amazon, Reddit et Wikipedia acceptaient tous les types de mot de passe, sans distinction.
Voici 4 éléments à intégrer dans une politique de suggestion de mots de passe digne de ce nom.
1. Interdiction de réutiliser un ancien mot de passe
Le blogue de sécurité informatique In the Trenches suggère d’activer un historique des mots de passe, gardant en mémoire jusqu’à 10 mots de passe déjà utilisés.
Cette politique découragera les utilisateurs de réutiliser un ancien mot de passe, les prévenant ainsi d’alterner entre plusieurs mots de passe communs », explique-t-on sur le blogue.
2. Demander des mots de passe avec un haut degré de complexité
Pour obtenir un « haut degré de complexité », on doit forcer l’utilisateur à varier les types de caractère qui composent son mot de passe. Alexandre Alves, spécialiste en Web marketing chez Collectif WEB, rappelle la prudence élémentaire :
Pour les sites sur lesquels on travaille, on demande des mots de passe sécurisés obligatoires avec un minimum de 1 majuscule, 1 chiffre, un symbole et 8 caractères. »
3. Créer une expérience utilisation qui favorise des mots de passe sécurisés
Chez eXolnet, une boîte en génie logiciel, on a créé un document interne établissant les directives à suivre dans la configuration de l’interface de saisie des mots de passe. Patrick Gagnon-Renaud, l’administrateur de système à l’origine du document, a pu nous partager ces trois conseils :
Ne jamais demander de confirmation de mot de passe. Au lieu de cela, permettre à l’utilisateur de révéler (afficher) le mot de passe à l’aide d’un bouton (autant à l’ordinateur que sur mobile) »
Toujours demander et valider le mot de passe courant lors d’un changement de mot de passe ou d’adresse courriel. »
Faciliter l’utilisation de gestionnaire de mot de passe en ne bloquant pas le copier-coller dans les champs d’un formulaire. »
4. Entreposer les mots de passe dans un endroit crypté
Si les mots de passe doivent être difficiles à « pirater », il est encore plus important qu’ils soient entreposés de manière sécuritaire. Autrement, tous les efforts précédents seront réduits à néant à la moindre brèche informatique.
Le document d’eXolnet donne quelques précisions sur le type de cryptage à privilégier :
Les mots de passe doivent être correctement stockés dans une base de données où ils seront salés, hachés selon une méthode à jour, avec un coût suffisamment élevé. »
D’autres articles qui pourraient vous intéresser :