Le fait de travailler avec des utilisateurs "standard", c'est à dire non-informaticiens, m'a amené à me poser des questions sur le fonctionnement des mots de passe. Nous devons en utiliser des dizaines, pourquoi pas même des centaines, donc comment les mémoriser ? Les power-user auront leurs outils (Keepass) ou moyens mnémotechniques. Mais quand on traite avec un utilisateur non-averti, on observe des comportements qui sont inverses du but recherché.

Dans l'entreprise où je travaille, les utilisateurs doivent gérer littéralement des dizaines de mots de passe, parce que certaines applications ne peuvent pas être intégrées à l'annuaire, ou simplement parce que d'autres sont sous forme SaaS (service web hébergé et géré par un prestataire). On me remonte souvent la difficulté de mémoriser ces mots de passe, et bien souvent je remarque que les gens les écrivent dans un cahier posé sur le bureau, voire même un post-it. D'autres utilisent leurs initiales (2 lettres) lorsque le système le permet. Une application métier récemment arrivée impose l'utilisation d'un mot de passe très complexe incluant des majuscules, chiffres, caractères spéciaux.

Un mot de passe plus complexe apporte-t-il plus de sécurité alors qu'il incite les gens à le noter sur un post-it pour pouvoir s'en souvenir ?

La réponse que je donne souvent aux gens est la suivante : la sécurité n'est pas assurée directement par le mot de passe, mais par la responsabilisation de l'utilisateur. Un mot de passe est associé à un compte, qui est personnel, et qui donne accès à un système d'informations. Donc il est de la responsabilité de l'utilisateur de garder confidentiel son mot de passe, ne pas le laisser en vue, ne pas le donner aux collègues comme je l'ai souvent vu.

J'explique également que les applications métier peuvent contenir des données client importantes, et je cite les cas de nombreuses fuites de données qui font la une des journaux. Les gens comprennent que des mauvais comportements peuvent propulser l'entreprise à la une des journaux en cas de fuite.

En conclusion les mots de passe sont une nécessité et doivent être complexes, mais il faut également former et responsabiliser les utilisateurs, car un système ne se protège pas de lui-même. On peut avoir un coffre fort inviolable avec un niveau 0 de sécurité si le propriétaire cache la clé sous le paillasson.