Le renouvellement régulier ou l’ajout obligatoire de chiffres et de caractères spéciaux ne seraient que peu efficaces, tout en générant d’importantes contraintes.

L’Institut national des normes et de la technologie (NIST) des États-Unis a formulé, fin août 2024, ses nouvelles recommandations sur l’hygiène numérique des mots de passe. L’organisme de standardisation propose d’abandonner deux pratiques contre-productives, mais encore largement utilisées : le renouvellement régulier et les exigences de composition.

Changer un mot de passe génère en effet un court moment de vulnérabilité, qui peut être mis à profit par des cybercriminels. Le NIST le répète fermement : un tel renouvellement ne s’impose qu’en cas de compromission avérée du compte de l’internaute ou du site concerné.

La seconde recommandation invite à renoncer aux exigences de composition dans les mots de passe. Contraindre l’internaute à utiliser une majuscule, un chiffre et / ou un caractère spécial doit rendre son mot de passe plus complexe à deviner. Or, « les recherches ont montré que les utilisateurs réagissent de manière très prévisible aux exigences imposées par les règles de composition », précise le NIST.

Ainsi, un internaute qui a l’habitude d’utiliser un mot de passe simplissime se contentera d’y ajouter un « » et un « ! », rendant le nouvel identifiant à peine plus difficile à deviner. Des exigences de composition trop fortes incitent également à réutiliser davantage un même mot de passe pour plusieurs services.

L’avantage d’ajouter chiffre, symbole ou majuscule serait donc, selon le NIST, « moins important qu’on ne le pensait initialement ». En revanche, les effets néfastes sur la mémorisation et la facilité d’emploi « sont graves ». Le meilleur moyen de sécuriser ses accès numériques reste donc d’utiliser un gestionnaire de mots de passe, qui génère des combinaisons aléatoires et complexes que l’internaute n’a pas à mémoriser.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.