Peut-on utiliser des variantes du même mot de passe pour différents comptes ?

Les règles d'hygiène en matière de cybersécurité stipulent qu'il ne faut pas réutiliser le même mot de passe pour différents comptes. Cela crée un maillon faible unique permettant à des cybercriminels de compromettre toute votre vie numérique d'un coup.

Mais ne nous voilons pas la face. Peu de gens veulent (ou peuvent) se souvenir d'une douzaine de mots de passe différents pour leurs réseaux TikTok, Instagram, Snapchat, Facebook, pour réserver des billets d'avion et des chambres d'hôtel, pour payer des factures, etc.

Certains délèguent cette tâche à leur navigateur web et utilisent le remplissage automatique pour se connecter. Certains prennent la sage décision d'utiliser un gestionnaire de mots de passe fiable - qui permet également de renforcer chaque mot de passe. Mais ce n'est pas le cas de tout le monde. En vérité, la plupart des gens font exactement le contraire.

Selon une étude de Bitdefender, la moitié des internautes utilisent le même mot de passe pour tous leurs comptes en ligne. Un tiers admet créer quelques mots de passe et les réutiliser, et environ un quart utilise des mots de passe simples (c'est à dire faibles) pour l'ensemble de leurs comptes. Certains adoptent toutefois une approche différente : ils remixent le même mot de passe pour tous les comptes, en utilisant diverses variantes ou transformations. Par exemple,

TikTok -> T1kT0kpassword

Facebook -> Fac3b00kpassword

Twitter (maintenant X) -> Tw1tt3rpassword

...etc.

C'est certainement plus intelligent que d'utiliser le même mot de passe partout, mais cela comporte une bonne dose de risque. Voici pourquoi :

Un attaquant motivé peut trouver le modèle

L'utilisation de la logique pour remixer vos mots de passe nécessite un modèle - le plus simple étant l'exemple ci-dessus, qui implique une partie statique et une partie dynamique. L'ancien développeur web Mac Pence, sur Quora, propose un exemple plus complexe dans le même cadre.

Si quelqu'un découvre votre schéma, il peut utiliser la logique pour craquer vos autres mots de passe. Dans un sens, c'est presque aussi risqué que d'utiliser le même mot de passe partout, ce qui signifie que vous créez un point de défaillance unique que les pirates peuvent exploiter.

Par exemple, si vous exposez accidentellement une variante lors d'une escroquerie par hameçonnage, le pirate peut repérer votre ligne de base et essayer de trouver votre modèle pour découvrir les mots de passe de vos autres comptes.

Verrouillage des comptes

L'idée d'utiliser des variantes du même mot de passe est de faciliter la mémorisation de mots de passe uniques. Cependant, pour ceux qui gèrent des dizaines de comptes différents sur le web, la méthode de remixage peut devenir déroutante et vous risquez d'oublier la variante que vous avez utilisée pour un compte particulier. Cela peut conduire à des scénarios de réinitialisation de mot de passe et à des blocages de compte.

Certaines applications et certains services ont des politiques de compte qui verrouillent votre compte après un certain nombre de tentatives de connexion infructueuses. Si vous vous enfoncez dans la spirale en essayant de vous souvenir de vos variantes de mot de passe, un trop grand nombre de tentatives incorrectes sur un compte pourrait vous bloquer, et peut-être aussi d'autres comptes. La dernière chose que vous souhaitez, c'est de vous retrouver exclu d'un compte sur lequel vous comptez pour l'authentification à deux facteurs.

Le bourrage d'identifiants et la force brute

Les pirates utilisent souvent des listes de noms d'utilisateur et de mots de passe connus provenant de violations de données pour mener des attaques par bourrage d'identifiants sur des sites web populaires utilisés par tout le monde, comme les plateformes de réseaux sociaux. S'ils trouvent une variante de votre mot de passe, ils peuvent tenter d'utiliser des variantes similaires pour accéder à vos autres comptes.

De même, si un attaquant vous cible spécifiquement, il peut tenter de forcer votre mot de passe en essayant systématiquement des variantes.

Lisible à l'œil nu

Si vous utilisez des variantes de mots de passe, cela signifie très probablement que vos mots de passe sont lisibles - et pas du "charabia", comme les mots de passe générés par une machine (1!4@5#HG$L&^%... etc). Cela signifie que si quelqu'un voit votre écran pendant que vous vous connectez, il verra non seulement votre mot de passe tel que vous le tapez, mais il pourra également remarquer le motif. Si le mot de passe était facile à retenir, il peut essayer d'en comprendre la logique et de pirater vos autres comptes.

En bref, évitez

L'utilisation de variantes de mots de passe est pratique et certainement préférable à l'utilisation d'un seul et même mot de passe partout. Cependant, comme décrit dans les scénarios ci-dessus, cette pratique introduit divers risques de sécurité qui pourraient conduire à la compromission de plusieurs comptes - et même au verrouillage de comptes. Les mots de passe sont un atout important et doivent être gardés précieusement. Veillez à utiliser des mots de passe uniques et forts pour chaque compte, idéalement gérés par un gestionnaire de mots de passe, et activez l'authentification multifactorielle pour chaque compte.

Restez protégés !