Tous les combien doit-on changer son mot de passe ? | Denis JACOPINI

Depuis 2012 Denis JACOPINI et son équipe LeNetExpert vous proposent des formations sur le RGPD, des audits RGPD pour vous accompagner dans votre mise en conformité et des formations en Cybercriminalité pour vous apprendre à vous protéger des pirates informatiques.

Générer un mot de passe indéchiffrable, possible ? - Data Security BreachData Security Breach

Tous les combien doit-on changer son mot de passe ?


Est-il vraiment utile de changer un mot de passe très régulièrement, comme le demandent de nombreuses entreprises ou conditions d’utilisations de certains services en ligne ? Ne vaut-il pas mieux se concentrer sur un bon code, suffisamment long ? 

Dans le guide « Recommandations de sécurité relatives aux mots de passe », l’ANSSI (Agence Nationale de la Sécurité des Système d’Information) conseille : 
« Les mots de passe doivent avoir une date de validité maximale. A partir de cette date l’utilisateur ne doit plus pouvoir s’authentifier sur le système si le mot de passe n’a pas été changé. Ceci permet de s’assurer qu’un mot de passe découvert par un utilisateur mal intentionné, ne sera pas utilisable
indéfiniment dans le temps. »

En plus de conseiller de changer par un mot de passe complexe non lié à notre identité pour chaque service et chaque site Internet  le mot de passe par défaut ou initialement communiqué, la durée de renouvellement de mot de passe recommandée dans ce guide est de 90 jours.

La CNIL recommande quant à elle :
« Le responsable de traitement veille à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.« 
Concrètement, tous les combien de temps devons nous changer de mot de passe.
En raison de la difficulté à retenir un nombre élevé de mots de passe complexes, il  été remarqué que si nous obligions les utilisateurs à changer de mot de passe plusieurs fois par an, ces derniers finissaient par employer des mots de passe plus faibles mais plus faciles à retenir. En effet, il a été constaté qu’imposer les utilisateurs de changer trop souvent de mot de passe complexe les amenait à choisir un mot de passe « proche » d’un choix précédent par exemple en incrémentant un chiffre en fin du mot de passe précédent (1, 2, 3, 4,…)
En attendant que les informaticiens imposent couramment aux utilisateurs l’identification à double facteur et des services de traçabilité pour l’ensemble des usages quotidiens et principalement ceux qui concernent des données dans le Cloud (messagerie électronique comprise), en patientant que soient répandues des mesures de sécurité améliorées rendant ainsi moins essentiel l’utilisation de mots de passe complexes et différents pour chaque service par l’usage de « tokens » sous forme de porte clés, cartes à puces, ou applications mobiles d’authentification, il me semble aujourd’hui prudent d’adapter la fréquence de renouvellement des mots de passe au contexte.

Ainsi, tout en vous conseillant de bien respecter l’utilisation de mots de passe complexes et différents pour chaque service et vous recommandant fortement que vos mots de passe « utilisateurs » ne soient connus de personne, pas même de votre informaticien parfois imprudent sans le savoir, je vous recommande de changer immédiatement de mot de passe lorsque :

  • Vous constatez quelque chose d’anormal associé à votre compte ;
  • Vous perdez ou lorsque vous est volé un appareil dans lequel ont été cochés l’enregistrement des mots de passe réseau ou dans les navigateurs ;
  • Le fournisseur de service vous avertit s’être fait pirater son système informatique (encore faut-il qu’il l’ait équipé de sondes de détection d’intrusion et de détecteurs de fuites de données).
Pour faciliter l’usage de mots de passe différents et complexes, vous pouvez utiliser un gestionnaire de mots de passe, sorte de coffre-fort numérique dans lequel sont enfermés et fortement sécurisés les différents mots de passe longs et complexes auto-générés que vous n’aurez plus besoin de connaître. KeePass 2.0  est l’un de ces coffres-forts de mots de passe qui a obtenu la CSPN (Certification de Sécurité de Premier Niveau) de la part de l’ANSSI.
Est-il vraiment utile de changer un mot de passe très régulièrement, comme le demandent de nombreuses entreprises ou conditions d’utilisations de certains services en ligne ? Ne vaut-il pas mieux se concentrer sur un bon code, suffisamment long ? 

Dans le guide « Recommandations de sécurité relatives aux mots de passe », l’ANSSI (Agence Nationale de la Sécurité des Système d’Information) conseille : 
« Les mots de passe doivent avoir une date de validité maximale. A partir de cette date l’utilisateur ne doit plus pouvoir s’authentifier sur le système si le mot de passe n’a pas été changé. Ceci permet de s’assurer qu’un mot de passe découvert par un utilisateur mal intentionné, ne sera pas utilisable
indéfiniment dans le temps. »

En plus de conseiller de changer par un mot de passe complexe non lié à notre identité pour chaque service et chaque site Internet  le mot de passe par défaut ou initialement communiqué, la durée de renouvellement de mot de passe recommandée dans ce guide est de 90 jours.

La CNIL recommande quant à elle :
« Le responsable de traitement veille à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.« 
Concrètement, tous les combien de temps devons nous changer de mot de passe.
En raison de la difficulté à retenir un nombre élevé de mots de passe complexes, il  été remarqué que si nous obligions les utilisateurs à changer de mot de passe plusieurs fois par an, ces derniers finissaient par employer des mots de passe plus faibles mais plus faciles à retenir. En effet, il a été constaté qu’imposer les utilisateurs de changer trop souvent de mot de passe complexe les amenait à choisir un mot de passe « proche » d’un choix précédent par exemple en incrémentant un chiffre en fin du mot de passe précédent (1, 2, 3, 4,…)
En attendant que les informaticiens imposent couramment aux utilisateurs l’identification à double facteur et des services de traçabilité pour l’ensemble des usages quotidiens et principalement ceux qui concernent des données dans le Cloud (messagerie électronique comprise), en patientant que soient répandues des mesures de sécurité améliorées rendant ainsi moins essentiel l’utilisation de mots de passe complexes et différents pour chaque service par l’usage de « tokens » sous forme de porte clés, cartes à puces, ou applications mobiles d’authentification, il me semble aujourd’hui prudent d’adapter la fréquence de renouvellement des mots de passe au contexte.

Ainsi, tout en vous conseillant de bien respecter l’utilisation de mots de passe complexes et différents pour chaque service et vous recommandant fortement que vos mots de passe « utilisateurs » ne soient connus de personne, pas même de votre informaticien parfois imprudent sans le savoir, je vous recommande de changer immédiatement de mot de passe lorsque :

  • Vous constatez quelque chose d’anormal associé à votre compte ;
  • Vous perdez ou lorsque vous est volé un appareil dans lequel ont été cochés l’enregistrement des mots de passe réseau ou dans les navigateurs ;
  • Le fournisseur de service vous avertit s’être fait pirater son système informatique (encore faut-il qu’il l’ait équipé de sondes de détection d’intrusion et de détecteurs de fuites de données).
Pour faciliter l’usage de mots de passe différents et complexes, vous pouvez utiliser un gestionnaire de mots de passe, sorte de coffre-fort numérique dans lequel sont enfermés et fortement sécurisés les différents mots de passe longs et complexes auto-générés que vous n’aurez plus besoin de connaître. KeePass 2.0  est l’un de ces coffres-forts de mots de passe qui a obtenu la CSPN (Certification de Sécurité de Premier Niveau) de la part de l’ANSSI.


CYBERARNAQUES - S'informer pour mieux se protéger (Le Livre)
Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Livre CyberArnaques - Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Denis Jacopini, expert judiciaire en informatique diplômé et spécialisé en cybercriminalité, raconte, décrypte et donne des parades contre toutes les cyberarnaques dont chacun peut être victime.

Il est témoin depuis plus de 20 ans d'attaques de sites Internet, de piratages d'ordinateurs, de dépouillements de comptes bancaires et d'autres arnaques toujours plus sournoisement élaborées.

Parce qu'il s'est rendu compte qu'à sa modeste échelle il ne pourrait sensibiliser tout le monde au travers des formations et des conférences qu'il anime en France et à l'étranger, il a imaginé cet ouvrage afin d'alerter tous ceux qui se posent la question : Et si ça m'arrivait un jour ?

Plutôt que de présenter une longue liste d'arnaques Internet recensées depuis plusieurs années, Denis Jacopini, avec la collaboration de Marie Nocenti, auteur du roman Le sourire d'un ange, a souhaité vous faire partager la vie de victimes d'arnaques Internet en se basant sur des faits réels, présentés sous forme de nouvelles suivies de recommandations pour s'en prémunir. Et si un jour vous rencontrez des circonstances similaires, vous aurez le réflexe de vous méfier sans risquer de vivre la fin tragique de ces histoires et d'en subir les conséquences parfois dramatiques.

Pour éviter de faire entrer le loup dans votre bergerie, il est essentiel de le connaître pour le reconnaître !

Commandez sur Fnac.fr

 


https://www.youtube.com/watch?v=lDw3kI7ra2s

06/04/2018 A l'occasion de la sortie de son livre "CYBERARNAQUES : S'informer pour mieux se protéger",Denis JACOPINI répond aux questions de Valérie BENHAÏM et ses 4 invités : 7 Millions de victimes de la Cybercriminalité en 2010 (Symantec) 13,8 Milions de victimes de la Cybercirminalité en 2016 (Symantec) 19,3 Millions de victimes de la Cybercriminalité en 2017 (Symantec) Plus ça va moins ça va ? Peut-on acheter sur Internet sans risque ? Si le site Internet est à l'étranger, il ne faut pas y aller ? Comment éviter de se faire arnaquer ? Comment on fait pour renifler une arnaque sur Internet ? Comment avoir un coup d'avance sur les pirates informatiques ? Quelle est l'arnaque qui revient le plus souvent ? Denis JACOPINI vous répond sur C8 avec Valérie BENHAÏM et ses invités.

Commandez sur Fnac.fr


https://youtu.be/usg12zkRD9I?list=UUoHqj_HKcbzRuvIPdu3FktA

12/04/2018 Denis JACOPINI est invité sur Europe 1 à l'occasion de la sortie du livre "CYBERARNAQUES S'informer pour mieux se protéger"
Comment se protéger des arnaques Internet

Commandez sur amazon.fr

 


Je me présente : Denis JACOPINI. Je suis l'auteur de ce livre coécrit avec Marie Nocenti, romancière.
Pour ma part, je suis Expert de justice en informatique spécialisé en cybercriminalité depuis 1996 et en protection des Données à Caractère Personnel.
J'anime des formations et des conférences sur le RGPD et la Cybercriminalité pour aider les organismes à se protéger des pirates informatiques et à se mettre en conformité avec la réglementation autour du numérique (dont le RGPD : Règlement Général sur la Protection des Données).

Commandez sur Fnac.fr

image_pdfimage_print

Aucun commentaire jusqu'à présent.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Accès direct aux Thèmes

Derniers articles


Le Net Expert - 1, les Magnolias - 84300 Cavaillon
Paris - Lille - Marseille - Avignon
Contactez-nous - Newsletter - Mentions légales
Connexion à distance