Tous les combien doit-on changer son mot de passe ? | Denis JACOPINI
Tous les combien doit-on changer son mot de passe ? |
Est-il vraiment utile de changer un mot de passe très régulièrement, comme le demandent de nombreuses entreprises ou conditions d’utilisations de certains services en ligne ? Ne vaut-il pas mieux se concentrer sur un bon code, suffisamment long ? Dans le guide « Recommandations de sécurité relatives aux mots de passe », l’ANSSI (Agence Nationale de la Sécurité des Système d’Information) conseille :
« Les mots de passe doivent avoir une date de validité maximale. A partir de cette date l’utilisateur ne doit plus pouvoir s’authentifier sur le système si le mot de passe n’a pas été changé. Ceci permet de s’assurer qu’un mot de passe découvert par un utilisateur mal intentionné, ne sera pas utilisable
indéfiniment dans le temps. »
En plus de conseiller de changer par un mot de passe complexe non lié à notre identité pour chaque service et chaque site Internet le mot de passe par défaut ou initialement communiqué, la durée de renouvellement de mot de passe recommandée dans ce guide est de 90 jours. La CNIL recommande quant à elle :
« Le responsable de traitement veille à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.«
Concrètement, tous les combien de temps devons nous changer de mot de passe.
En raison de la difficulté à retenir un nombre élevé de mots de passe complexes, il été remarqué que si nous obligions les utilisateurs à changer de mot de passe plusieurs fois par an, ces derniers finissaient par employer des mots de passe plus faibles mais plus faciles à retenir. En effet, il a été constaté qu’imposer les utilisateurs de changer trop souvent de mot de passe complexe les amenait à choisir un mot de passe « proche » d’un choix précédent par exemple en incrémentant un chiffre en fin du mot de passe précédent (1, 2, 3, 4,…)
En attendant que les informaticiens imposent couramment aux utilisateurs l’identification à double facteur et des services de traçabilité pour l’ensemble des usages quotidiens et principalement ceux qui concernent des données dans le Cloud (messagerie électronique comprise), en patientant que soient répandues des mesures de sécurité améliorées rendant ainsi moins essentiel l’utilisation de mots de passe complexes et différents pour chaque service par l’usage de « tokens » sous forme de porte clés, cartes à puces, ou applications mobiles d’authentification, il me semble aujourd’hui prudent d’adapter la fréquence de renouvellement des mots de passe au contexte.
Ainsi, tout en vous conseillant de bien respecter l’utilisation de mots de passe complexes et différents pour chaque service et vous recommandant fortement que vos mots de passe « utilisateurs » ne soient connus de personne, pas même de votre informaticien parfois imprudent sans le savoir, je vous recommande de changer immédiatement de mot de passe lorsque :
Pour faciliter l’usage de mots de passe différents et complexes, vous pouvez utiliser un gestionnaire de mots de passe, sorte de coffre-fort numérique dans lequel sont enfermés et fortement sécurisés les différents mots de passe longs et complexes auto-générés que vous n’aurez plus besoin de connaître. KeePass 2.0 est l’un de ces coffres-forts de mots de passe qui a obtenu la CSPN (Certification de Sécurité de Premier Niveau) de la part de l’ANSSI.
|
Est-il vraiment utile de changer un mot de passe très régulièrement, comme le demandent de nombreuses entreprises ou conditions d’utilisations de certains services en ligne ? Ne vaut-il pas mieux se concentrer sur un bon code, suffisamment long ? Dans le guide « Recommandations de sécurité relatives aux mots de passe », l’ANSSI (Agence Nationale de la Sécurité des Système d’Information) conseille :
« Les mots de passe doivent avoir une date de validité maximale. A partir de cette date l’utilisateur ne doit plus pouvoir s’authentifier sur le système si le mot de passe n’a pas été changé. Ceci permet de s’assurer qu’un mot de passe découvert par un utilisateur mal intentionné, ne sera pas utilisable
indéfiniment dans le temps. »
En plus de conseiller de changer par un mot de passe complexe non lié à notre identité pour chaque service et chaque site Internet le mot de passe par défaut ou initialement communiqué, la durée de renouvellement de mot de passe recommandée dans ce guide est de 90 jours. La CNIL recommande quant à elle :
« Le responsable de traitement veille à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.«
Concrètement, tous les combien de temps devons nous changer de mot de passe.
En raison de la difficulté à retenir un nombre élevé de mots de passe complexes, il été remarqué que si nous obligions les utilisateurs à changer de mot de passe plusieurs fois par an, ces derniers finissaient par employer des mots de passe plus faibles mais plus faciles à retenir. En effet, il a été constaté qu’imposer les utilisateurs de changer trop souvent de mot de passe complexe les amenait à choisir un mot de passe « proche » d’un choix précédent par exemple en incrémentant un chiffre en fin du mot de passe précédent (1, 2, 3, 4,…)
En attendant que les informaticiens imposent couramment aux utilisateurs l’identification à double facteur et des services de traçabilité pour l’ensemble des usages quotidiens et principalement ceux qui concernent des données dans le Cloud (messagerie électronique comprise), en patientant que soient répandues des mesures de sécurité améliorées rendant ainsi moins essentiel l’utilisation de mots de passe complexes et différents pour chaque service par l’usage de « tokens » sous forme de porte clés, cartes à puces, ou applications mobiles d’authentification, il me semble aujourd’hui prudent d’adapter la fréquence de renouvellement des mots de passe au contexte.
Ainsi, tout en vous conseillant de bien respecter l’utilisation de mots de passe complexes et différents pour chaque service et vous recommandant fortement que vos mots de passe « utilisateurs » ne soient connus de personne, pas même de votre informaticien parfois imprudent sans le savoir, je vous recommande de changer immédiatement de mot de passe lorsque :
Pour faciliter l’usage de mots de passe différents et complexes, vous pouvez utiliser un gestionnaire de mots de passe, sorte de coffre-fort numérique dans lequel sont enfermés et fortement sécurisés les différents mots de passe longs et complexes auto-générés que vous n’aurez plus besoin de connaître. KeePass 2.0 est l’un de ces coffres-forts de mots de passe qui a obtenu la CSPN (Certification de Sécurité de Premier Niveau) de la part de l’ANSSI.
|
CYBERARNAQUES - S'informer pour mieux se protéger (Le Livre) Denis Jacopini, expert judiciaire en informatique diplômé et spécialisé en cybercriminalité, raconte, décrypte et donne des parades contre toutes les cyberarnaques dont chacun peut être victime. Il est témoin depuis plus de 20 ans d'attaques de sites Internet, de piratages d'ordinateurs, de dépouillements de comptes bancaires et d'autres arnaques toujours plus sournoisement élaborées. Parce qu'il s'est rendu compte qu'à sa modeste échelle il ne pourrait sensibiliser tout le monde au travers des formations et des conférences qu'il anime en France et à l'étranger, il a imaginé cet ouvrage afin d'alerter tous ceux qui se posent la question : Et si ça m'arrivait un jour ? Plutôt que de présenter une longue liste d'arnaques Internet recensées depuis plusieurs années, Denis Jacopini, avec la collaboration de Marie Nocenti, auteur du roman Le sourire d'un ange, a souhaité vous faire partager la vie de victimes d'arnaques Internet en se basant sur des faits réels, présentés sous forme de nouvelles suivies de recommandations pour s'en prémunir. Et si un jour vous rencontrez des circonstances similaires, vous aurez le réflexe de vous méfier sans risquer de vivre la fin tragique de ces histoires et d'en subir les conséquences parfois dramatiques. Pour éviter de faire entrer le loup dans votre bergerie, il est essentiel de le connaître pour le reconnaître ! |
https://www.youtube.com/watch?v=lDw3kI7ra2s
06/04/2018 A l'occasion de la sortie de son livre "CYBERARNAQUES : S'informer pour mieux se protéger",Denis JACOPINI répond aux questions de Valérie BENHAÏM et ses 4 invités : 7 Millions de victimes de la Cybercriminalité en 2010 (Symantec) 13,8 Milions de victimes de la Cybercirminalité en 2016 (Symantec) 19,3 Millions de victimes de la Cybercriminalité en 2017 (Symantec) Plus ça va moins ça va ? Peut-on acheter sur Internet sans risque ? Si le site Internet est à l'étranger, il ne faut pas y aller ? Comment éviter de se faire arnaquer ? Comment on fait pour renifler une arnaque sur Internet ? Comment avoir un coup d'avance sur les pirates informatiques ? Quelle est l'arnaque qui revient le plus souvent ? Denis JACOPINI vous répond sur C8 avec Valérie BENHAÏM et ses invités.
https://youtu.be/usg12zkRD9I?list=UUoHqj_HKcbzRuvIPdu3FktA
12/04/2018 Denis JACOPINI est invité sur Europe 1 à l'occasion de la sortie du livre "CYBERARNAQUES S'informer pour mieux se protéger"
Comment se protéger des arnaques Internet
Je me présente : Denis JACOPINI. Je suis l'auteur de ce livre coécrit avec Marie Nocenti, romancière.
Pour ma part, je suis Expert de justice en informatique spécialisé en cybercriminalité depuis 1996 et en protection des Données à Caractère Personnel.
J'anime des formations et des conférences sur le RGPD et la Cybercriminalité pour aider les organismes à se protéger des pirates informatiques et à se mettre en conformité avec la réglementation autour du numérique (dont le RGPD : Règlement Général sur la Protection des Données).