De nombreux services en ligne, en particulier ceux qui existent depuis un certain temps, vous demanderont de créer des indices de mot de passe lors de la création d’un compte.
Les indices de mot de passe sont une mauvaise idée, et vous ne devriez pas les utiliser. Voyons pourquoi et ce que vous pouvez faire à la place.
Qu’est-ce qu’un indice de mot de passe ?
Si vous étiez là au début d’Internet, vous êtes probablement plus familiarisé avec les indices de mot de passe que les plus jeunes d’entre nous. À l’époque, la plupart du temps, lorsque vous créiez un compte, vous deviez également préparer quelques questions et leurs réponses au cas où vous auriez besoin de réinitialiser votre mot de passe. Lorsque vous demandiez une réinitialisation de votre mot de passe, vous deviez répondre à ces questions avant de continuer.
L’objectif de ces questions de réinitialisation de mot de passe, également connues sous le nom de questions de sécurité ou d’indices de mot de passe, était de disposer d’une méthode de secours pour authentifier un utilisateur. Évidemment, il s’agit souvent de questions que vous êtes le seul à connaître les réponses. Pensez à des choses comme le nom de votre premier animal de compagnie, le nom de jeune fille de votre mère, la rue où vous avez grandi, etc.
Il existe également des variantes où vous créez vos propres questions, mais le risque est alors d’oublier la réponse. Pire encore, les indices de mot de passe vous aident à vous rappeler le mot de passe – cela encourage directement l’utilisation de mots de passe non aléatoires (et donc non sécurisés).
Pourquoi les indices de mot de passe constituent-ils un risque pour la sécurité ?
Aussi pratiques qu’ils puissent paraître – vous ne pouvez pas obtenir une réinitialisation de votre mot de passe sur simple demande, vous devez d’abord prouver qui vous êtes – les indices de mot de passe sont une mauvaise idée, et vous ne devriez jamais les utiliser. En effet, ils n’ajoutent pas une couche de sécurité, mais une couche de vulnérabilité.
Pour améliorer la sécurité, il faut réduire la surface d’attaque, c’est-à-dire les endroits où un pirate peut essayer d’accéder. Les mots de passe eux-mêmes augmentent votre surface d’attaque, mais ils sont une nécessité inévitable, car sans eux, vous ne pourriez pas vous connecter, même dans un futur qui prétend supprimer les mots de passe. Les indices de mots de passe augmentent encore la surface d’attaque, car ils donnent aux attaquants un moyen de découvrir vos mots de passe.
En effet, les mots de passe forts sont des mots de passe aléatoires. Les indices de mots de passe ne sont pas aléatoires, vous pouvez trouver les réponses assez facilement. Le nom de jeune fille de votre mère, le nom de votre animal de compagnie, la rue où vous avez grandi sont autant de faits extrêmement faciles à découvrir ou à obtenir.
La plupart des médias sociaux contiennent des informations de ce type, et même si ce n’est pas le cas, un simple tour de force d’ingénierie sociale peut permettre d’obtenir ces informations de vous ou de quelqu’un que vous connaissez. Après tout, si peu d’entre nous confieraient volontiers leurs mots de passe, nous partagerions probablement l’adresse de notre enfance si on nous demandait quelque chose comme « hé, je viens aussi de ce quartier ! J’ai grandi dans la rue Pasteur, et toi ? ». Si vous répondez honnêtement, comme le ferait n’importe qui, vous donnez à quelqu’un l’accès à la fonction de réinitialisation de votre mot de passe.
Que faut-il utiliser à la place des indices de mot de passe ?
La seule façon d’éviter ce problème est de ne pas utiliser les indices de mot de passe ou les questions de réinitialisation de mot de passe. Malheureusement, certaines entreprises – Microsoft par exemple – ne semblent pas se préoccuper du risque énorme qu’elles représentent et exigent que vous les utilisiez. Tout ce que vous pouvez faire dans ce cas, c’est ajouter une réponse en charabia (vous pouvez même l’enregistrer dans un endroit sûr, si vous voulez être encore plus sûr).
Il reste donc à savoir comment sécuriser vos comptes. Après tout, sans indices, vous ne pourrez probablement pas réinitialiser votre mot de passe. Les gestionnaires de mots de passe résolvent ce problème : ces programmes, par exemple Keepass, pratiques génèrent, stockent et remplissent automatiquement vos mots de passe pour vous. En les utilisant, vous n’aurez probablement jamais besoin de réinitialiser vos mots de passe et, par conséquent, vous ne risquez pas d’être lésé si vous donnez des réponses approximatives.
Les gestionnaires de mots de passe sont un outil formidable qui rend obsolètes les indices de mots de passe. Ils se chargent de l’hygiène des mots de passe, ce qui signifie que les autres attaques basées sur les mots de passe ont beaucoup moins de chances de réussir.