Plutôt que d’utiliser une variation de chiffres, de lettres et de symboles, le National Cyber Security Center (NCSC), une agence dépendant du gouvernement britannique, préconise d’utiliser comme mot de passe une combinaison de trois mots “choisis au hasard, mais facile à retenir”.
La fraude en ligne a augmenté de plus de 70% au Royaume-Uni en 2020 selon les données de l’Office for National Statsics. La NCSC, dans l’optique de freiner ce phénomène, a publié sur son blog, le 6 août 2021, un article recommandant d’utiliser des mots de passe faciles à retenir. L’agence gouvernementale britannique prévient que les mots de passe complexes, souvent recommandés par les sites Internet, sont bien trop souvent inefficaces car des logiciels pirates peuvent facilement les deviner.
Pourquoi trois mots au hasard ?
La NCSC fait la promotion de cette stratégie des “trois mots aléatoires” pour quatre raisons.
La première est d’avoir plus d’impact. En effet, cette technique est compréhensible par le plus grand nombre. “Trois mots au hasard” : tout est là, l’information essentielle se trouve dans le titre et peut être expliquée facilement, même à ceux qui se débrouillent moins bien en informatique.
La deuxième raison est de favoriser un mot de passe long. La plupart des sites Internet le recommandait déjà précédemment. Les mots de passe composés de trois mots sont souvent plus longs que les mots de passe habituellement utilisés.
En troisième raison, l’agence avance l’originalité : les mots de passe sont souvent composés d’un seul mot du dictionnaire avec des changements prévisibles de caractère (par exemple “pa55w0rd”).
Et puis, comme quatrième raison, l’agence recommande l’usage de “trois mots au hasard” car c’est plus facile pour l’utilisateur à retenir et à utiliser.
L’agence, qui admet que cette méthode n’est pas entièrement sûre, conseille d’utiliser différents mots de passe pour chaque site Internet, et si cela est trop difficile à mémoriser, elle recommande d’utiliser des applications de gestion de mot de passe.
Les mots de passe les plus utilisés
La NCSC recommande de ne pas utiliser les suites de lettres présentes dans les listes de mots de passe les plus faibles. Nous retrouvons en France “123456” par exemple, qui a été exposé plus de 23 millions de fois, ou encore “123456789”, “azerty”, “qwerty”, etc..