L’exemple de politique de mot de passe ci-dessous tient compte de l’état des connaissances sur les performances et les possibilités de diverses attaques contre les systèmes cryptographiques en 2020. Dans la mesure du possible, je vais essayer de me mettre à niveau (quand il s’avère qu’il est déjà trop faible).
Les mots de passe statiques dans les systèmes informatiques doivent:
- être d’une longueur d’au moins 12 caractères;
- contiennent des marques d’au moins trois des quatre catégories suivantes:
- grands signes de A à Z
- petits signes de a à z
- chiffres de 0 à 9
- caractères spéciaux (par exemple !,.$^)
- être différents de ceux figurant sur la liste des 1000 mots de passe les plus populaires;
- ne contiennent pas de mots qui sont la connexion, le nom de l’entreprise, le nom de l’application, l’adresse e-mail, le nom, le nom de l’utilisateur;
- être stockés sous une forme sûre au moyen de fonctions telles que bcrypt ou PBKDF2;
Vous trouverez de nombreux renseignements utiles sur la politique de mot de passe et la mise en œuvre correcte et sûre du processus d’authentification dans les documents OWASP – Authentification Cheat Sheet
Dans la plupart des cas, vous ne savez pas comment vos mots de passe sont stockés sur les sites Web. L’administrateur n’a peut-être mis en place aucun mécanisme de protection de vos données. C’est pourquoi vous devez vous assurer de leur sécurité. Pour éviter que votre mot de passe ne soit divulgué à partir d’un site Web et que le attaquant n’utilise ce mot de passe sur un autre portail sur lequel vous avez un compte, vous devez utiliser un mot de passe différent sur chaque page. Compte tenu de la multitude de portails dans lesquels nous tournons de nos jours et du degré de complexité des mots de passe cités dans la politique ci-dessus, il n’est pas possible de les mé souvenir de tous. Ici, avec l’aide de nous vient le gestionnaire de mot de passe. Vous vous mécérez d’un mot de passe compliqué et il s’occupera déjà du reste. L’un des gestionnaires de mots de passe considérés comme sûrs et recommandés est KeePass.
L’utilisation de gestionnaires de mots de passe comporte un certain nombre d’avantages supplémentaires tels que:
- générer automatiquement des mots de passe complexes et sécurisés;
- sauvegarde automatique;
- accéder à vos mots de passe sur plusieurs appareils (par exemple via gdrive);
- la possibilité de synchroniser les données entre les appareils;
- cryptage automatique des données;
- remplir automatiquement les formulaires sur les sites Internet;
Pour améliorer encore la sécurité de nos données, il vaut la peine d’exécuter l’authentification à deux facteurs partout où cela est possible. Depuis de nombreuses années, ce service est disponible sur des sites tels que Facebook, Gmail et, plus récemment, des banques y ont adhéré en raison d’exigences légales. Un facteur d’authentification supplémentaire, par exemple sous la forme d’un code SMS qui arrive au téléphone, améliore considérablement la sécurité de votre compte.
Les slogans entourent notre pays. Avec la tendance croissante des attaques en ligne, il vaut la peine d’améliorer la sécurité de vos données. L’introduction d’une politique de mot de passe est un bon moyen de le faire.