Ajouter des chiffres et des symboles à vos mots de passe ? Pas la meilleure pratique selon les experts

Fini les casse-têtes pour créer un mot de passe ! Le National Institute of Standards and Technology (NIST) chamboule les règles du jeu et s’explique.

Depuis des années, on nous martèle qu’un bon mot de passe doit contenir des majuscules, des chiffres et des symboles. Mais selon les nouvelles recommandations du NIST, cette approche serait devenue obsolète. L’organisme américain, référence en matière de sécurité informatique, propose une vision radicalement différente de ce qui fait un mot de passe efficace.

La longueur, nouvelle reine de la sécurité

Première surprise : le NIST affirme que la longueur d’un mot de passe est bien plus importante que sa complexité. Un exemple concret ? Un mot de passe de 12 caractères composé uniquement de lettres prendrait environ 2000 ans à être piraté. En comparaison, un mot de passe de 8 caractères mélangeant chiffres, symboles et majuscules ne résisterait que… 17 ans !

« Les vérificateurs et les CSP ne devraient pas imposer d’autres règles de composition pour les mots de passe« , indique clairement le NIST dans ses nouvelles directives. Exit donc l’obligation d’utiliser des caractères spéciaux ou des majuscules.

Fini les changements réguliers

Autre révolution : le NIST déconseille désormais de forcer les utilisateurs à changer régulièrement leur mot de passe. « Les vérificateurs et les CSP n’exigeront pas que les utilisateurs changent périodiquement leur mot de passe« , peut-on lire dans les recommandations.

Pourquoi ce changement ? L’organisme estime que cette pratique pousse souvent les utilisateurs à créer des mots de passe plus faibles, simplement parce qu’ils seront plus faciles à retenir. À l’inverse, un mot de passe stable dans le temps a plus de chances d’être robuste.

Ces nouvelles directives s’inscrivent dans un contexte plus large d’évolution de nos pratiques en ligne. « La façon dont nous naviguons sur le Web a considérablement changé ces dernières années« , rappelle le NIST. Avec la multiplication des services en ligne, les mots de passe ne sont plus la seule méthode d’authentification disponible.

Certaines entreprises, comme Microsoft, permettent même de se passer totalement de mot de passe. D’autres misent sur les « clés d’accès » comme alternative. Dans ce nouveau paysage, la sécurité repose davantage sur une approche globale que sur la seule complexité d’un mot de passe.

Pour aller plus loin
Comment configurer une clé d’accès (passkey) sur votre compte Google pour en finir avec les mots de passe

La double authentification, rempart ultime

Malgré ces changements, le NIST insiste sur un point crucial : l’importance de la vérification en deux étapes. Cette méthode, qui ajoute une couche de sécurité supplémentaire, reste fortement recommandée pour tous les comptes importants.

Pour aller plus loin
Double authentification (2FA) : pourquoi et comment sécuriser ses comptes Google, Facebook, iCloud, Steam…

L’organisme précise toutefois qu’il est préférable d’éviter les SMS comme second facteur d’authentification. Mieux vaut privilégier une application dédiée, plus sûre.

Vers une adoption progressive

Il est important de noter que ces recommandations du NIST ne sont pas contraignantes pour les entreprises privées. Seuls les services liés au gouvernement américain sont tenus de les suivre. Néanmoins, l’influence du NIST dans le domaine de la cybersécurité est telle qu’on peut s’attendre à une adoption progressive de ces nouvelles pratiques.

En attendant, que retenir pour vos propres mots de passe ? Privilégiez la longueur à la complexité, optez pour des phrases faciles à retenir (comme des paroles de chanson), et surtout, activez la double authentification sur tous vos comptes importants. La sécurité en ligne évolue, à nous de suivre le mouvement !

Notre conseil : passez sur un gestionnaire de mots de passe, ça va vous simplifier la vie.

Pour aller plus loin
Quels sont les meilleurs gestionnaires de mots de passe gratuits et payants ?