Mots de passe & Sécurité

Les entreprises se font pirater constamment. Quand ça arrive, les hackers essaient ces mêmes combinaisons email/mot de passe sur d’autres sites. Ça s’appelle le « credential stuffing ».

Si vous utilisez le même mot de passe partout — un seul piratage donne aux criminels accès à tout.

La solution : Utilisez un mot de passe différent pour chaque compte.

Comment gérer ça : Utilisez un gestionnaire de mots de passe.

• Génère des mots de passe aléatoires forts
• Les retient tous
• Remplit automatiquement à la connexion
• Vous ne retenez qu’UN mot de passe maître

Ça semble risqué, mais les gestionnaires utilisent un chiffrement sérieux. Vos mots de passe sont bien plus sûrs là que réutilisés sur internet.

Voir : Gestionnaires de mots de passe

La 2FA ajoute un second verrou à vos comptes. Mot de passe + quelque chose que vous avez (généralement votre téléphone).

Types :

• Codes SMS — Mieux que rien, mais peuvent être interceptés
• Apps d’authentification — Bien meilleur, codes changent toutes les 30 secondes
• Clés matérielles — Plus sécurisé, appareil physique requis

Pourquoi s’embêter ?

La 2FA arrête la plupart des prises de contrôle de compte, même si quelqu’un a votre mot de passe. La plupart des piratages touchent des comptes SANS 2FA.

Activez-la d’abord sur :

• Email (contrôle toutes les réinitialisations de mot de passe)
• Banque
• Réseaux sociaux

Voir : Recommandations 2FA

C’est LE mot de passe que vous ne pouvez pas oublier. La plupart des gestionnaires n’ont pas d’option « mot de passe oublié » — c’est une fonction de sécurité.

Prévenir le désastre :

• Notez-le et rangez-le en sécurité (pas sur un post-it)
• Utilisez une phrase secrète mémorable : « cheval-violet-danse-mardi »
• Configurez des clés de récupération à la création du compte
• Désignez un contact d’urgence si votre gestionnaire le permet

Déjà oublié ?

Vérifiez si vous êtes encore connecté quelque part — exportez les mots de passe avant d’être verrouillé. Cherchez des clés de récupération que vous auriez sauvegardées.

Pire cas :

Recommencez à zéro et réinitialisez tous les mots de passe manuellement. Douloureux, mais c’est pour ça que ces systèmes sont sécurisés.

Oui, bien plus sûrs que l’alternative (réutiliser des mots de passe ou les noter).

Comment ils vous protègent :

• Chiffrement fort (même l’entreprise ne peut pas voir vos mots de passe)
• Une fuite n’expose pas tout (contrairement aux mots de passe réutilisés)
• Génère des mots de passe que les humains ne peuvent pas deviner
• Vous alerte sur les mots de passe compromis

Préoccupations traitées :

« Tous les œufs dans le même panier ? » Oui, mais c’est un panier très sécurisé. L’alternative est des dizaines de mots de passe faibles et réutilisés.

« Et s’ils se font pirater ? » Les bons gestionnaires chiffrent tout localement. Même si leurs serveurs sont piratés, les hackers n’obtiennent que du charabia chiffré.

« L’entreprise peut-elle voir mes mots de passe ? » Avec le chiffrement à connaissance nulle, non. Vous seul avez la clé.

Voir : Recommandations de gestionnaires

La longueur compte le plus. Une longue phrase secrète bat un mot court et complexe.

Bon :

• « cheval-violet-danse-mardi » (longs mots aléatoires)
• 20+ caractères aléatoires d’un gestionnaire

Mauvais :

• « M0t2p@sse! » (substitutions courantes, facile à craquer)
• Votre anniversaire, nom d’animal ou quelque chose de devinable
• Mots du dictionnaire seuls

Les maths :

Un mot de passe aléatoire de 12 caractères prend des millions d’années à craquer par force brute. Un de 8 caractères ? Des heures.

Meilleure approche :

Laissez votre gestionnaire les générer. Vous n’avez pas besoin de retenir « xK#9mP2$vL@n » — c’est le travail du gestionnaire.

Pour les quelques mots de passe que vous DEVEZ mémoriser (mot de passe maître, code téléphone), utilisez de longues phrases avec des mots aléatoires.