Accueil >Blogs >Non aux hiéroglyphes !

Stop aux mots de passe absurdes : repensons la sécurité sur le web

Les standards actuels

Les critères actuels pour les mots de passe sont-ils vraiment efficaces ? Ces règles ont émergé au fil du temps pour contrer des attaques croissantes et variées, en s’appuyant sur des recommandations d’experts en cybersécurité. Cependant, elles reflètent souvent une approche datée qui ne prend pas toujours en compte les comportements des utilisateurs. Vous savez, ces fameuses règles imposées par la plupart des services en ligne : majuscules obligatoires, chiffres, caractères spéciaux, et au moins 8 caractères. Ces contraintes, loin de renforcer la sécurité, nous poussent à adopter des habitudes dangereuses. Voyons pourquoi ces standards ne fonctionnent pas et comment les remplacer par des solutions plus sécurisantes.

C’est pas bien d’avoir un mot de passe compliqué ?

On le réutilise partout

Face à ces contraintes, que faisons-nous tous instinctivement ? On recycle nos mots de passe. Une étude récente montre que près de 60 % des utilisateurs réutilisent le même mot de passe pour plusieurs services, augmentant ainsi les risques en cas de compromission. Car soyons honnêtes, comment se souvenir de dizaines de combinaisons incompréhensibles ? Le problème, c’est que cette habitude crée une immense vulnérabilité : si un seul service est compromis, c’est l’ensemble de nos comptes qui est à risque.

On base son mot de passe sur des aspects personnels

En cherchant à créer quelque chose de complexe mais mémorisable, on finit souvent par utiliser des éléments personnels : date de naissance, nom d’un animal, etc. Ces choix peuvent être facilement devinés par un attaquant.

Comment changer ça ?

Parlons de la force brute

Pour bien saisir l’importance d’un mot de passe long, il faut comprendre comment fonctionne une attaque par force brute. Cette technique, bien qu’efficace, n’est qu’une des nombreuses menaces. Les attaques par dictionnaire ou le phishing, qui exploitent des listes de mots courants ou des techniques de manipulation, représentent également des dangers importants. Cette technique consiste à tester toutes les combinaisons possibles jusqu’à trouver la bonne. Plus un mot de passe est court, plus il est rapide à casser. En revanche, une phrase longue de 20 caractères ou plus multiplie exponentiellement le temps nécessaire pour y parvenir. Exemple :
  • Mot de passe court : « P@ss123 »
  • Phrase longue : « LeChatNoirEstDansLeJardinAvecSaPatteEnL’Air »
La seconde option est bien plus sécurisée tout en étant intuitive.

Plus long = plus sécurisé ?

Pas forcément, si la phrase est prévisible : « MonMotDePasse123 » reste facile à deviner. Il est important de créer des phrases uniques et peu probables.

Et les OTP alors ?

Les mots de passe à usage unique (OTP), notamment via SMS, sont souvent présentés comme une alternative sécurisée. Ils sont populaires car ils offrent une couche supplémentaire de protection en cas de compromission du mot de passe principal. Cependant, le réseau mobile n’est pas infaillible, et des techniques comme le SIM swapping permettent de contourner cette protection. Cependant, le réseau mobile n’est pas infaillible, et des techniques comme le SIM swapping permettent de contourner cette protection.

Changer son mot de passe régulièrement

Une bonne pratique consiste à renouveler ses mots de passe périodiquement pour réduire les risques liés à une compromission prolongée.

Un petit mot pour mes amis devs

Repenser la complexité

Arrêtez de forcer des règles arbitraires sur les caractères spéciaux et concentrez-vous sur la qualité globale du mot de passe : sa longueur, son unicéité et sa difficulté à deviner.

Intégrer des rappels de changement

Mettez en place des systèmes qui rappellent aux utilisateurs de changer régulièrement leurs mots de passe, tout en les encourageant à utiliser des gestionnaires de mots de passe.

Pour un web plus sécurisé

Nous devons collectivement évoluer vers des pratiques de sécurité qui sont à la fois efficaces et accessibles. Par exemple, un système de gestion de mots de passe intégré à un navigateur ou à une application mobile permettrait aux utilisateurs de créer facilement des mots de passe longs et uniques, tout en les stockant en toute sécurité.
  • En tant qu’utilisateurs, faisons l’effort d’adapter nos mots de passe à ces nouveaux principes.
  • En tant que développeurs, intégrons des systèmes qui répondent aux réels besoins de sécurité sans compliquer inutilement la vie des utilisateurs.
Vous cherchez à construire un site web qui combine performance, esthétique et sécurité ? Contactez-moi. Ensemble, faisons du web un endroit plus sûr et plus convivial.

Et vous, qu'en pensez vous ?

Blogs Le RGPD et vous

Le RGPD et vous

Données personnelles, cookies, consentement et droits des utilisateurs : les points essentiels pour renforcer la conformité RGPD d'un site web.

Continuer la lecture
Blogs Docker, l'outil ultime

Docker, l'outil ultime

Pourquoi utiliser Docker pour un projet web ? Découvrez ses bénéfices, ses limites et son rôle dans une architecture fiable et reproductible.

Continuer la lecture
Blogs Ecolo dans le web ?

Ecolo dans le web ?

Performances, images, cache et hébergement : découvrez les leviers techniques pour réduire l'impact environnemental d'un site web.

Continuer la lecture
Blogs La dette technique

La dette technique

Comprenez les causes de la dette technique, ses effets sur un projet web et les actions à mener pour préserver sa performance dans le temps.

Continuer la lecture
Blogs Le NoCode

Le NoCode

Le no-code accélère certains projets, mais impose aussi des compromis. Découvrez comment choisir entre no-code, less-code et développement sur mesure.

Continuer la lecture
Blogs La révolution des PWA

La révolution des PWA

Découvrez comment une Progressive Web App combine les avantages d'un site web et d'une application mobile pour améliorer vitesse, fiabilité et engagement.

Continuer la lecture
Blogs L'IA dans le web

L'IA dans le web

L'intelligence artificielle transforme le développement web. Découvrez ses usages concrets, ses limites et les bonnes pratiques pour rester maître du projet.

Continuer la lecture
Blogs L'indispensable Varnish

L'indispensable Varnish

Découvrez comment Varnish, reverse proxy et cache HTTP, réduit les temps de réponse et améliore la performance d'une architecture Docker.

Continuer la lecture