Pourquoi les mots de passe réutilisés sont dangereux
Une personne moyenne jongle avec plus de 100 comptes mais ne peut mémoriser qu'une poignée de mots de passe — alors elle les réutilise ou s'appuie sur des variantes faibles comme « password1 » et « password2 ». Lorsqu'un seul site est compromis (ce qui arrive des milliers de fois par an), des robots rejouent ce couple e-mail/mot de passe sur les banques, l'e-mail et les réseaux sociaux en quelques heures. C'est le credential stuffing, et un mot de passe unique par compte est la seule véritable défense. (Pour comprendre ce qui rend réellement un mot de passe robuste et comment fonctionne le stockage à divulgation nulle, consultez l'article Learn sur la sécurité des mots de passe.)
Configurer un gestionnaire de mots de passe en 4 étapes
- 1Choisissez puis installez un gestionnaire de mots de passe. PrivaPass fonctionne entièrement dans votre navigateur, sans qu'aucun compte ne soit requis. Parmi les autres options possibles figurent Bitwarden (open source, avec une offre gratuite), 1Password, ou encore le gestionnaire intégré directement à votre navigateur.
- 2Importez ou créez vos entrées. Commencez par enregistrer vos mots de passe au fur et à mesure que vous vous connectez aux différents sites. La plupart des gestionnaires proposent également d'importer les mots de passe déjà enregistrés dans votre navigateur. Pensez à générer en priorité de nouveaux mots de passe aléatoires pour vos comptes les plus importants.
- 3Auditez et remplacez vos mots de passe faibles et réutilisés, en commençant par les comptes capables de réinitialiser tout le reste — votre e-mail principal d'abord, puis la banque et les finances. Vérifiez vos adresses sur haveibeenpwned.com et changez tout ce qui apparaît dans une fuite connue.
- 4Activez l'authentification à deux facteurs (2FA) sur tous les comptes critiques — en particulier l'e-mail, la banque et tout ce qui peut servir à réinitialiser d'autres mots de passe. Même si votre mot de passe maître est compromis d'une façon ou d'une autre, la 2FA bloque l'accès non autorisé ; préférez une application d'authentification ou une passkey aux SMS.
Conseils d’expert pour la sécurité des mots de passe
Optez pour une phrase de passe comme mot de passe maître — une séquence de 4 à 5 mots aléatoires s'avère plus sûre qu'un mot de passe complexe mais court, tout en étant nettement plus facile à mémoriser. Ne stockez jamais votre mot de passe maître sous forme numérique, où que ce soit. Notez-le plutôt sur papier et conservez ce papier dans un endroit sûr, hors ligne. Consultez régulièrement des services comme Have I Been Pwned (haveibeenpwned.com) afin de vérifier si l'une de vos adresses e-mail apparaît dans des violations de données connues. Changez vos mots de passe de manière proactive dès qu'un service que vous utilisez signale une fuite — n'attendez surtout pas qu'il vous impose lui-même une réinitialisation.