Oui, dans certaines situations, vous souhaiterez modifier régulièrement vos mots de passe. Mais ceux-ci seront probablement l'exception plutôt que la règle. Dire aux utilisateurs informatiques types qu’ils doivent modifier régulièrement leurs mots de passe est une erreur.
La théorie des changements de mot de passe réguliers
Des modifications régulières du mot de passe sont théoriquement une bonne idée, car elles évitent que quelqu'un ne puisse obtenir votre mot de passe et l'utilise pour vous surveiller sur une longue période.
Par exemple, si quelqu'un a acquis votre mot de passe de messagerie, il peut se connecter régulièrement à votre compte de messagerie et surveiller vos communications. Si une personne a acquis votre mot de passe bancaire en ligne, elle peut surveiller vos transactions ou revenir dans plusieurs mois et tenter de transférer de l'argent sur leur propre compte. Si quelqu'un a acquis votre mot de passe Facebook, il peut se connecter en tant que vous et surveiller vos communications privées.
Théoriquement, changer vos mots de passe régulièrement - peut-être tous les quelques mois - aidera à éviter que cela ne se produise. Même si quelqu'un a obtenu votre mot de passe, il ne lui reste que quelques mois pour utiliser son accès à des fins néfastes.
Les inconvénients
Les changements de mot de passe ne doivent pas être considérés en vase clos. Si les êtres humains avaient un temps infini et une mémoire parfaite, des modifications régulières du mot de passe seraient une bonne idée. En réalité, changer les mots de passe impose un fardeau aux gens.
Changer votre mot de passe régulièrement rend plus difficile la mémorisation de bons mots de passe. Plutôt que de créer un mot de passe fort et de le sauvegarder en mémoire, vous devez essayer de vous rappeler un nouveau mot de passe tous les quelques mois. Les utilisateurs qui sont obligés de changer régulièrement leur mot de passe par un système informatique peuvent finir par ajouter un numéro. Ils peuvent donc utiliser mot de passe1, mot de passe2, etc.
Il est déjà assez difficile de changer votre mot de passe régulièrement pour un seul compte et de vous souvenir de votre nouveau mot de passe à chaque fois. Mais nous avons tous beaucoup de mots de passe - imaginez avoir à changer votre mot de passe régulièrement et à vous souvenir constamment de mots de passe uniques et forts pour un grand nombre de services.
Il est déjà pratiquement impossible de choisir des mots de passe forts et uniques pour chaque site Web et de les mémoriser. C’est pourquoi nous vous recommandons d’utiliser un gestionnaire de mots de passe comme LastPass ou KeePass. Si vous modifiez votre mot de passe tous les quelques mois, vous finirez probablement par utiliser des mots de passe plus faibles et à les réutiliser sur plusieurs sites Web. Il est bien plus important d’utiliser des mots de passe forts et uniques partout que de changer votre mot de passe régulièrement.
Pourquoi la modification des mots de passe n’aide pas forcément
Changer régulièrement votre mot de passe ne vous aidera pas autant que vous ne le pensez. Si un attaquant parvient à accéder à vos comptes, il utilisera très probablement cet accès pour causer des dommages immédiatement. S'ils ont accès à votre compte bancaire en ligne, ils se connecteront et tenteront de transférer de l'argent plutôt que de rester assis à attendre. S'ils ont accès à un compte d'achat en ligne, ils se connecteront et tenteront de commander des produits avec vos informations de carte de crédit enregistrées. S'ils accèdent à votre courrier électronique, ils l'utiliseront probablement pour le courrier indésirable et l'hameçonnage ou tenteront de réinitialiser les mots de passe de ces sites. s’ils accèdent à votre compte Facebook, ils essaieront probablement de spammer ou de frauder vos amis immédiatement.
Les attaquants typiques ne conserveront pas vos mots de passe pendant une période prolongée et ne vous surveilleront pas. Ce n’est pas rentable - et les attaquants ne cherchent qu’un profit. Vous remarquerez que quelqu'un accède à vos comptes.
Il est également essentiel de modifier régulièrement votre mot de passe si vous utilisez le même mot de passe partout, car il est probable que votre mot de passe soit constamment divulgué lorsqu'un des services que vous utilisez est compromis. Plutôt que de changer ce mot de passe unique régulièrement, vous devriez traiter le véritable problème ici et utiliser des mots de passe uniques partout.
Quand vous voulez changer les mots de passe
Changer les mots de passe peut aider si une personne autre qu'un attaquant classique a accès à votre compte. Par exemple, supposons que vous partagiez vos informations de connexion Netflix avec un ex - vous souhaiterez changer votre mot de passe pour qu’ils ne puissent pas utiliser votre compte pour toujours. Ou bien, disons qu'un de vos proches a eu accès à votre email ou à votre mot de passe Facebook et a utilisé votre mot de passe pour vous espionner. Lorsque vous modifiez vos mots de passe, vous empêchez principalement ce type de partage de compte et d’espionnage, pas plus que d’empêcher une personne de l’autre bout du monde d’y avoir accès.
Des modifications régulières du mot de passe peuvent également être utiles pour certains systèmes de travail, mais elles doivent être utilisées avec réflexion. Les administrateurs informatiques ne doivent pas forcer les utilisateurs à modifier constamment leurs mots de passe, sauf pour une bonne raison: ils commenceront à utiliser des mots de passe faibles, à noter leurs mots de passe ou même à basculer entre deux mots de passe favoris.
Les changements de mot de passe en réponse à des événements spécifiques sont une bonne chose, bien sûr. C’est une bonne idée de changer vos mots de passe sur les sites Web vulnérables à Heartbleed mais qui ont maintenant été corrigés. La modification de votre mot de passe après le vol d'une base de données de mots de passe sur un site Web est également une bonne idée.
Si vous réutilisez des mots de passe pour différents sites Web, la modification de votre mot de passe sur tous ces sites est une bonne idée si l'un de ces sites est compromis. Mais c’est la pire chose à faire: la vraie solution consiste à utiliser des mots de passe uniques, sans changer constamment votre mot de passe partagé pour un nouveau sur tous les services que vous utilisez.
Focus sur des conseils utiles
Si on conseille aux gens de changer de mot de passe régulièrement, c’est que ces conseils sont tellement dérangeants. Utiliser des mots de passe forts et uniques partout est déjà un conseil presque impossible à faire si vous n’utilisez pas un gestionnaire de mot de passe pour vous en souvenir. L'authentification à deux facteurs est également utile car elle peut empêcher l'accès à vos comptes, même si quelqu'un vous vole vos mots de passe. Plutôt que de demander aux gens de changer régulièrement leurs mots de passe, nous devrions leur transmettre des conseils utiles tels que «utiliser des mots de passe uniques partout», ce que la plupart des gens ne font pas actuellement.
Ce n’est pas le seul conseil avec lequel nous ne sommes pas d’accord. Pour la plupart des utilisateurs à la maison, écrire certains mots de passe n’est en fait pas une mauvaise idée. C’est bien mieux que de réutiliser le même mot de passe partout.
Nous ne sommes pas les seuls à nous mettre en garde contre les modifications régulières et aveugles des mots de passe. Bruce Schneier, expert en sécurité, a expliqué pourquoi la modification régulière des mots de passe n’était pas un bon conseil. Microsoft Research a également conclu que la modification régulière des mots de passe était une perte de temps. Oui, dans certaines situations, vous souhaiterez peut-être procéder de la sorte, mais donner des conseils tels que «changer de mot de passe tous les trois mois» à des utilisateurs informatiques typiques fait plus de mal que de bien.
