Les changements de mot de passe fréquents sont-ils réellement bons pour votre sécurité?

Publicité

À quelle fréquence changez votre mot de passe Comment changer votre mot de passe sur n'importe quel ordinateur de bureau ou appareil mobileVotre mot de passe est la seule chose entre un étranger et vos données les plus privées. À quand remonte la dernière fois que vous avez mis à jour le mot de passe de votre appareil? Nous vous montrons comment le changer dès maintenant. Lire la suite ? Nous parions que certaines de vos informations d'identification ont plus d'une décennie.

En fait, la plupart d'entre nous ne changeons nos mots de passe que lorsqu'une situation nous y oblige. Généralement, c'est soit lorsque vous ne vous en souvenez plus, soit qu'une application ou votre entreprise vous oblige à en créer une nouvelle tous les quelques mois.

Alors, quelle approche est la bonne? Devez-vous laisser votre mot de passe intact pendant des années, ou devez-vous le changer aussi souvent que les saisons? Voici les avantages et les inconvénients d'un changement de mot de passe trop fréquent.

Cela rend votre compte (un tout petit peu) plus sécurisé

La sagesse généralement reçue est que changer fréquemment de mot de passe sécurise votre compte Votre compte Yahoo Mail est-il sûr? 10 façons de rester en sécuritéSi vous êtes un utilisateur de Yahoo, vous devez vous assurer que votre compte est sécurisé. Voici 10 éléments à vérifier pour vous assurer que la sécurité de votre compte est en ordre. Lire la suite .

L'argument suggère que si vous êtes le victime involontaire d'une fuite Vérifiez maintenant et voyez si vos mots de passe ont déjà été divulguésCet outil astucieux vous permet de vérifier n'importe quel mot de passe pour voir s'il a déjà fait partie d'une fuite de données. Lire la suite , la modification régulière de votre mot de passe peut rapidement annuler les informations qu'un éventuel pirate informatique aurait dans son dossier.

De même, si quelqu'un accède à votre mot de passe à votre insu, cela l'empêche de vous espionner pendant une période prolongée. C’est pourquoi les responsables informatiques du pays sont tellement obsédés par l’imposition de réinitialisations forcées toutes les deux semaines.

L'argument est-il valable? Oui, mais ce n'est pas aussi clair qu'on pourrait s'y attendre. Même en supposant que vos nouveaux mots de passe sont aussi forts que les précédents (plus d'informations à ce sujet sous peu), la pratique présente un avantage minimal.

Dans un Document de l'Université Carleton, les chercheurs ont expliqué que les attaquants qui ont accès à un fichier de mot de passe haché peuvent effectuer des attaques en mode hors connexion. Ils peuvent donc tester un grand nombre de mots de passe en peu de temps. Les mots de passe de faible et moyenne puissance sont en danger.

Le document continue de prouver mathématiquement que même des changements de mot de passe forts et fréquents ne faisaient qu'entraver les attaques de manière négligeable. L'avantage ne vaut certainement pas le désagrément qu'il apporte aux utilisateurs.

Au lieu de cela, le document recommande aux administrateurs système d'utiliser des fonctions de hachage lentes telles que bcrypt. Les utilisateurs ne seraient pas gênés et le processus rend plus difficile pour les attaquants de deviner rapidement un grand nombre de mots de passe.

Votre nouveau mot de passe est susceptible d'être non sécurisé

Je suis sûr que tu n'as pas besoin de nous pour te le dire Comment créer un mot de passe sécurisé, mais les informations méritent toujours d'être répétées:

• Votre mot de passe doit utiliser un mélange de lettres et de chiffres.
• Il doit utiliser des majuscules et des minuscules.
• Idéalement, il devrait contenir des caractères spéciaux.
• Il doit comporter plus de 12 caractères.

Ces quatre points sont plus faciles à dire qu'à faire. Créer des mots de passe qui répondent à toutes les exigences - puis s'en souvenir - demande beaucoup d'énergie mentale.

Alors, que se passe-t-il lorsque les gens changent trop souvent leurs informations d'identification? Bref, ils deviennent paresseux.

J'ai manqué d'idées de mot de passe, j'ai donc dû changer d'emploi.

- Busty Rusty (@RaylaRimpson) 30 janvier 2018

Encore une fois, c'est un phénomène scientifiquement prouvé. En 2010, des chercheurs de l'Université de Caroline du Nord ont publié un article intitulé «La sécurité de l'expiration des mots de passe modernes: un cadre algorithmique et une analyse empirique. " Dans ce document, ils ont étudié l'historique des mots de passe de comptes disparus à l'université.

L'étude a examiné plus de 10 000 anciens comptes et 51 141 mots de passe. Les chercheurs ont effectué une attaque de hachage hors ligne et ont finalement craqué 60% des informations d'identification. Sur les 60%, 7 752 mots de passe n'étaient pas le mot de passe final utilisé sur le compte.

Ils ont ensuite utilisé cet ensemble de données pour voir s'ils pouvaient extrapoler d'autres mots de passe connectés au compte. Les résultats ont été incroyables. Dans 17% des cas, le prochain mot de passe utilisé sur le compte pourrait être deviné en moins de cinq secondes.

Mais pourquoi? L'étude a conclu que les gens avaient tendance à apporter des modifications très mineures lors du changement fréquent d'un mot de passe. Par exemple, Saucisse123 pourrait devenir $ ausage123, hellocheese! deviendrait hellocheese !!, etc.

Quand devez-vous changer votre mot de passe?

Au début, j'ai plaisanté en disant que vous avez probablement des mots de passe qui approchent de leur dixième anniversaire. Mais est-ce une blague?

Les preuves que nous avons examinées jusqu'à présent semblent suggérer que les mots de passe de longue date pourraient en fait être une bonne chose. Quelle est la vérité? Vous avez juste besoin d'un peu de bon sens.

Bien sûr, si vous pensez quelqu'un accède à votre compte Comment vérifier si quelqu'un d'autre accède à votre compte FacebookC'est à la fois sinistre et inquiétant si quelqu'un a accès à votre compte Facebook à votre insu. Voici comment savoir si vous avez été violé. Lire la suite sans votre autorisation, vous devez changer votre mot de passe. Si vous pensez que quelqu'un regardait lorsque vous saisissiez vos identifiants bancaires en ligne, vous devez changer votre mot de passe. Si vous deviez «prêter» votre mot de passe à quelqu'un, vous devriez le changer.

Et si vous pensez que vous êtes accidentellement devenu le victime d'une arnaque par phishing Ne soyez pas victime de ces attaques de phishing courantes Lire la suite , vous devez modifier votre mot de passe.

Dans tous les cas, vous devez vous assurer que votre nouveau mot de passe n'a aucune ressemblance avec l'ancien. N'utilisez pas le même mot clé. Ne placez pas les mêmes caractères spéciaux dans les mêmes positions. Et n'essayez pas d'écrire votre ancien mot de passe à l'envers.

Et rappelez-vous, vous devez également modifier votre mot de passe sur tous les autres comptes en utilisant des informations d'identification similaires. Par exemple, si votre mot de passe Facebook est flowerpot1 et votre mot de passe Twitter est 1flowerpot, vous devez les modifier tous les deux.

Si vous n'êtes pas sûr, suivez simplement les quatre directives fondamentales dont nous avons discuté plus haut dans l'article lorsque vous créez un nouveau mot de passe.

Qu'en est-il des réinitialisations forcées de mots de passe?

Mais qu'en est-il des réinitialisations de mot de passe forcées? Est-ce une bonne idée pour une application ou votre employeur de vous forcer un nouveau mot de passe? Probablement pas.

En 2009, L'Institut national des normes et de la technologie a déclaré que les changements de mot de passe réguliers étaient "bénéfiques pour réduire l'impact de certains compromis sur les mots de passe", mais étaient «inefficaces pour les autres». Et, bien sûr, les utilisateurs étaient souvent frustrés par la changement. Les entreprises doivent parvenir à un compromis entre sécurité et convivialité.

The Bottom Line

Les arguments peuvent sembler complexes, mais ils sont faciles à résumer.

• Les changements de mot de passe fréquents initiés par l'utilisateur peuvent rendre les utilisateurs légèrement plus sûrs, à condition que le nouveau mot de passe soit très robuste.
• Les fréquents changements de mot de passe appliqués ont souvent un effet négatif, les utilisateurs choisissant des informations d'identification moins sécurisées.

Nous voulons maintenant entendre vos réflexions sur le débat. Êtes-vous confiant dans votre capacité à choisir régulièrement un mot de passe sécurisé? Ou êtes-vous heureux d'utiliser un mot de passe vieux de dix ans sur tous vos comptes?

N'oubliez pas que si vous créez fréquemment de nouveaux mots de passe complexes, vous utilisez une application de gestion des mots de passe comme LastPass. Vous n'aurez pas besoin de vous rappeler les mots de passe.