«Des chiffres et des lettres ; des majuscules et des minuscules. Au moins huit caractères». Les instructions pour élaborer les mots de passe foisonnent.
Ils sont omniprésents pour accéder à son compte bancaire en ligne, lire un journal en ligne, accéder à Netflix, pour ouvrir une adresse e-mail, etc. En plus, les mots de passe sont de plus en plus complexes au point de se transformer en casse-tête pour les utilisateurs.
Selon une étude de 2020 citée par notre confrère Les Echos, chaque personne utiliserait en moyenne des dizaines de mots de passe aussi différents les uns que les autres. Comme personne n’est capable d’en retenir autant, chacun cherche des voies de contournement.
Ne pas garder toujours les mêmes mots de passe
Certaines personnes utilisent toujours les mêmes mots de passe, ce qui est déconseillé par les experts en cybersécurité car en cas de fuites de données, les pirates pourront avoir accès à tous les comptes protégés par le même mot de passe. D’autres les notent dans un carnet à proximité de leur ordinateur ou les stocke dans leur compte cloud sur le smartphone. Ceux qui le peuvent ont recours à un gestionnaire de mots de passe, sorte de coffre-fort numérique contenant l’ensemble des mots de passe d’un utilisateur.
Selon Les Echos (21 juin 2022), des géants du net comme Apple ou Google en proposent, aux côtés d’acteurs spécialisés comme Dashlane, NordPass un Password, etc. Leurs outils connectent automatiquement l’utilisateur aux sites ou aux applications, et sont eux-mêmes protégés par un mot de passe unique qui déverrouille l’ensemble des comptes.
Réduire les mots de passe, réponse aux cyberattaques
Certains acteurs de la cybersécurité veulent aller plus loin en proposant de supprimer simplement les mots de passe. C’est l’objectif de Fido (Fast IDentity Online), un groupement d’industriels du numérique lancé depuis dix ans. L’idée est que réduire la dépendance aux mots de passe permettrait de limiter les cyberattaques. La forme du visage ou l’empreinte digitale serviront de sésame. Après une décennie de recherche, les travaux sont en passe d’aboutir. Le mois dernier, Apple, Microsoft et Google ont annoncé leur soutien à une nouvelle technologie d’identification, appelée «Multi-device Fido».
La technologie «Multi-device Fido» repose sur des outils de cryptographie et sur les capteurs biométriques des smartphones. L’échange de mot de passe entre un internaute et un serveur est remplacé par une paire de clés cryptées.
La clé publique est stockée sur le serveur, et la clé privée sur un terminal appartenant à l’utilisateur. Pour se connecter, l’utilisateur doit activer sa clé privée, qui communique avec la clé publique du serveur pour autoriser l’accès. Il le fait en utilisant la technologie de biométrie de son terminal. Selon le modèle, cela peut être la reconnaissance du visage, de l’iris ou de l’empreinte digitale. Si l’appareil n’a pas de capteur biométrique, ou si celui-ci ne fonctionne pas, l’utilisateur peut activer sa clé privée avec un code numérique ou un mot de passe, mais celui-ci n’est jamais échangé sur le réseau.
