Un avenir sans eux approche peut-être plus que jamais pour les sites et applications, mais les mots de passe sont pour le moment encore bien présents. Il vaut mieux y prêter attention.
Les fins d'année sont propices à la publication de classements. Il en existe donc également un désormais traditionnel référençant les mots de passe les plus utilisés... qui sont aussi les pires en matière de robustesse.
Avec ses variantes, l'horrible et fameux mot de passe 123456 semble indéboulonnable, quels que soient les pays. Si des comptes en ligne sont censés proscrire ce type de sésame, le constat hautement surprenant s'appuie sur des fuites de données connues et des analyses statistiques.
Globalement, c'est malheureusement un palmarès qui varie peu au fil des années, malgré la sensibilisation incessante d'experts en cybersécurité. Il existe même la Journée mondiale du mot de passe en mai et ce dernier demeure une composante essentielle afin de protéger les informations personnelles.
La quantité de hasard doit primer
Récemment, la Commission nationale de l'informatique et des libertés (CNIL) a mis à jour sa recommandation pour les mots de passe. Une mise à jour de la recommandation de 2017 et avec quelques conseils qui concernent notamment les particuliers.
L'accent est mis sur l'entropie, en référence à l'introduction du désordre et la quantité de hasard dans le cadre d'une génération aléatoire du mot de passe. Une notion intimement liée au degré de complexité du mot de passe qui aura alors une meilleure capacité à résister à des attaques par dictionnaire et par force brute.
Une longueur n'est pas la clé. Les préconisations sont au moins 12 caractères avec des majuscules, des minuscules, des chiffres et des caractères spéciaux. Une variante est un minimum de 14 caractères avec des majuscules, des minuscules et des chiffres. Pour la phrase de passe que certains préfèrent pour la mémorisation, elle devra être composée d'au moins 7 mots.
Une évolution de la recommandation de la CNIL concerne le renouvellement des mots de passe qui peut parfois être imposé trop régulièrement. L'effet peut être délétère. Hormis des modifications à la marge de l'utilisateur, il y a au final le risque d'un abaissement du niveau de sécurité en poussant indirectement l'utilisateur vers des mots de passe moins robustes par commodité.
L'avènement des passkeys en 2023 ?
L'utilisateur ne devra en tout cas pas hésiter à opter pour des solutions à plusieurs facteurs par exemple quand elles sont proposées, même si elles peuvent être d'abord perçues comme une contrainte. Le gestionnaire de mots de passe est aussi à envisager avec une génération automatique de mots de passe forts, sans évidemment négliger de faire soi-même un effort pour le mot de passe maître.
La Journée mondiale du mot passe en 2022 avait été marquée par une annonce forte d'Apple, Google et Microsoft pour un avenir sans les mots de passe en matière d'authentification en ligne. Une ambition commune sous la houlette des clés d'identification passkey.
L'Alliance FIDO rappelle que les passkeys sont actuellement disponibles sur les plateformes d'Apple. Une disponibilité complète sur Android, Google Chrome et Windows est prévue pour le début de l'année prochaine.
