Mots de passe : connaissez-vous la méthode des trois mots aléatoires ?

Le NCSC du Royaume-Uni a publié un article sur son blog au sujet des mots de passe, et plus particulièrement de la sécurité des mots de passe. D'après eux, il serait préférable d'utiliser un mot de passe composé de trois mots aléatoires plutôt qu'un mot de passe avec des caractères aléatoires. Légitimement, on peut se demander pourquoi ?

Tout d'abord, rappelons que le NCSC pour National Cyber Security Center, c'est l'équivalent de l'ANSSI (Agence Nationale de la Sécurité d'Information) en France. À l'instar de l'ANSSI, le NCSC publie régulièrement des recommandations en matière de sécurité informatique.

La méthode des trois mots aléatoires

Dans ce nouvel article, il est question de la génération des mots de passe. D'après le NCSC, l'utilisation de la méthode des trois mots aléatoires peut permettre la création de combinaisons suffisamment complexes pour se protéger. Alors bien sûr, les mots de passe basés sur des caractères totalement aléatoires restent très robustes, il n'est pas question de remettre en cela en cause.

Par contre, en utilisant des mots de passe constitués de trois mots aléatoires, l'idée est la suivante : utiliser des mots de passe suffisamment complexes pour éviter les attaques, tout en permettant à l'utilisateur de le mémoriser plus facilement. Ce point est important et différencie en grande partie cette méthode de celle basée sur les caractères aléatoires.

Le NCSC met en avant quatre arguments pour encourager les utilisateurs à utiliser ce type de mots de passe :

• Longueur

Les mots de passe générés à partir de plusieurs mots seront naturellement (et généralement) plus longs que les mots de passe basés sur un seul mot. Et comme la longueur fait partie des recommandations lorsqu'il s'agit de choisir un bon mot de passe, l'utilisation de plusieurs mots est une bonne idée. Cela évite également d'avoir recours à des méthodes prédictives en ajoutant un "!" à la fin du mot de passe.

• Impact

Le NCSC parle de l'impact de cette méthode d'un point de vue de la communication auprès des utilisateurs. Pourquoi ? La méthode des "trois mots aléatoires" est facile à expliquer, facile à comprendre, ce qui peut encourager les utilisateurs à l'adopter.

• Nouveauté

Historiquement, le mot de passe stéréotypé est constitué d'un seul mot voire même d'un nom d'une marque, dans lequel on va venir remplacer certains caractères : le "a" va devenir "@" tandis que le "E" va devenir un "3". Sans compter sur le point d'exclamation qui trouve très souvent sa place à la fin des mots de passe. Tout cela est prédictif, et c'est un réel problème.

Avec la méthode des trois mots aléatoires, on ne rentre pas dans la case du mot de passe stéréotypé et les possibilités sont beaucoup plus importantes.

• Utilisabilité

Les mots de passe complexes sont robustes certes, mais au quotidien ils peuvent représenter un véritable calvaire : très difficile à tenir, et à saisir, cela va encourager les utilisateurs à réutiliser plusieurs fois le même mot de passe. Avec la méthode des trois mots aléatoires, les mots de passe sont lisibles, compréhensibles, ce qui facilite la saisie et l'utilisation au quotidien. Le NCSC précise même "qu'une sécurité qui n'est pas utilisable ne fonctionne pas".

Enfin, l'organisme britannique n'oublie pas de rappeler qu'il existe des algorithmes de recherche optimisés pour cette méthode des trois mots aléatoires. Par ailleurs, il faut rester méfiant, car cette méthode peut donner lieu à des mots de passe faibles comme "Pa55word!", que l'on peut retrouver dans de nombreux dictionnaires. Préférez "AnimalFélinJaguar", c'est plus sûr. 😉

Le gestionnaire de mots de passe

Pour stocker ses mots de passe, inutiles de recourir à un post-it ou à un cahier (même si le cahier c'est déjà mieux que le post-it) ! Vous n'êtes pas sans savoir que l'on peut utiliser un gestionnaire de mots de passe, et il existe de nombreuses solutions sur ce marché. Certaines solutions sont disponibles dans le Cloud, en mode SaaS, alors que certaines sont disponibles en locales. Pourtant, d'après le NCSC, peu d'utilisateurs ont adopté un gestionnaire de mots de passe pour stocker les précieux sésames.

Au-delà de stocker les mots de passe, un gestionnaire de mots de passe peut s'intégrer à votre système et à vos navigateurs préférés pour vous simplifier la vie. En effet, il va pouvoir remplir automatiquement les formulaires de connexion sur les sites que vous visitez et pour lesquels vous avez un identifiant qui correspond. Ainsi, le calvaire au quotidien pour saisir les mots de passe complexes n'est plus qu'un lointain souvenir...

À mon sens, le gestionnaire de mots de passe est un outil indispensable au quotidien, surtout si l'on veut respecter les recommandations en matière de sécurité.

La méthode des trois mots de passe aléatoires est à prendre en considération lorsque vous allez choisir votre prochain mot de passe. N'oubliez pas qu'il vaut mieux cumuler plusieurs mots plutôt que de remplacer, de manière prédictive, un ou plusieurs caractères dans un seul mot. En complément, pour bien se protéger il est essentiel de diversifier ses mots de passe. Et surtout, n'oubliez pas d'utiliser un gestionnaire de mots de passe si ce n'est pas déjà fait. 😉

Retrouvez l'article du NCSC sur cette page.