Pour en finir avec les mots de passe!

Faciles à oublier, les mots de passe sont pourtant essentiels pour protéger notre vie numérique et l’accès aux services en ligne. Heureusement, une nouvelle façon de faire plus simple et plus sécuritaire commence déjà à les remplacer.

Pour qu’un mot de passe soit sécuritaire, il doit être difficile à deviner pour un pirate informatique. S’il s’agit de notre date de naissance ou du nom d’un de nos enfants, il sera facile à deviner si cette info est affichée sur notre page Facebook. D’où le fait que l’utilisation d’au moins huit caractères, de lettres minuscules et majuscules, de chiffres et de symboles est exigée au moment de la création du mot de passe.

L’inconvénient? Les mots de passe complexes sont impossibles à mémoriser pour les utilisateurs.

Pourquoi tant de mots de passe différents?

On pourrait être tenté d’utiliser le même mot de passe pour plusieurs comptes. C’est une très mauvaise idée! Au fil des ans, les pirates ont mis la main sur des listes d’utilisateurs et, surtout, sur des mots de passe associés. Avec ces informations en main, il leur suffit d’essayer notre mot de passe favori (comme celui de notre compte de courriel ou de Facebook) pour se connecter à un autre de nos comptes (celui de notre banque, par exemple). D’où l’importance de ne jamais réutiliser les mots de passe et d’en créer un différent pour chaque compte.

Mais comment retenir tout ça?

Gestionnaires de mots de passe à la rescousse

On peut toujours prendre en note sur une feuille nos différents mots de passe pour s’en rappeler, au besoin. Et on ne laisse pas cette liste en vue à côté de notre ordinateur!

Heureusement, il existe une solution plus techno pour nous simplifier la vie: un gestionnaire de mots de passe. C’est une application qui conserve nos mots de passe et qui remplit au besoin les champs requis dans les sites qu’on visite: notre identifiant et notre mot de passe, mais aussi notre adresse et les informations de notre carte de crédit. Bref, l’équivalent d’un trousseau de clés pour nos identifiants et nos mots de passe numériques. C’est plus sécuritaire et ça évite beaucoup de pertes de temps.

Pas besoin d’installer quoi que ce soit pour en profiter. Il y a des gestionnaires de mots de passe intégrés dans les navigateurs Web et dans les appareils iOS, Android, et Windows. On nous demande si nous voulons sauvegarder les informations de connexion d’un site ; si nous acceptons, il sera conservé. Il n’y aura plus qu’à se connecter à notre compte Google, Android ou Microsoft pour y avoir accès. Comme un seul identifiant donne accès à tous ces différents mots de passe, Il est doublement important de trouver un bon mot de passe pour ces identifiants de compte.

L’authentification multifacteur

Cela dit, nous ne sommes pas encore au bout de nos peines. Des malfaiteurs pourraient exploiter une faille de sécurité d’un site pour obtenir les mots de passe de ses utilisateurs. Ils pourraient aussi récolter des informations avec un site piraté ou frauduleux – par exemple un site qui imite celui d’une banque ou d’une boutique en ligne. Avec notre mot de passe et notre identifiant, le fraudeur aura alors accès à notre compte!

C’est pourquoi il est recommandé depuis un moment d’utiliser la double authentification (aussi appelée authentification à deux facteurs ou 2FA). Si une tentative de connexion d’un endroit inhabituel (nouvel appareil, autre pays, etc.), est détectée, on nous demande d’entrer un code qui vient d’un autre de nos appareils ou envoyé par courrier électronique ou message texte. Ce code servira à déterminer s’il s’agit bien de nous.

La double authentification est proposée par la plupart des services (courriels, boutiques en ligne, etc.). Il sera aussi possible de s’identifier avec une application qui génère un code (comme Google Authenticator), ou encore avec une clé physique comme la YubiKey (autour de 75$, selon le modèle, à yubico.com). C’est une petite clé USB qui contient une signature numérique, qu’on peut utiliser pour s’identifier et accéder à nos comptes en cas de bris, de vol ou de perte d’un appareil. Il faut donc garder cette clé physique en lieu sûr.

Ce que l’avenir nous réserve

Pour faciliter l’authentification, Apple, Google, Microsoft et plusieurs autres grandes entreprises technologiques se sont entendues sur un système clé d’accès (Passkey), basé sur un protocole appelé FIDO (sans lien avec l'opérateur cellulaire).

Le principe est simple: une fois qu’on se connecte à un appareil, il n’est plus nécessaire de s’identifier de nouveau. Pour s’identifier à notre appareil, il n’y a qu’à utiliser un mot de passe, notre empreinte digitale ou la reconnaissance faciale (comme le FaceID d’Apple). Si on visite un site, on sera reconnu sans avoir à taper de mot de passe. C’est plutôt une signature électronique stockée dans notre appareil qui sert à nous identifier automatiquement. Plus facile et presque magique!

Si on change d’appareil, on pourra s’identifier d’un seul clic en approuvant la connexion dans un message qui apparaîtra dans notre téléphone ou notre tablette. C’est beaucoup plus simple!