Blog
Articles sur les mots de passe, la sécurité et pourquoi presque tout ce qu’on nous a appris était faux.
Ce qu’est un mot de passe, et pourquoi on se trompe depuis soixante ans
Le mot de passe informatique est né au MIT en 1961. La première fuite est arrivée un an plus tard, et ce n’était pas un criminel : c’était un étudiant qui voulait plus de temps machine. Voici pourquoi les règles qu’on nous a toutes apprises étaient mauvaises — et d’où elles venaient.
Pourquoi password.es n'envoie votre mot de passe nulle part
N'importe quel site peut écrire « nous ne conservons pas votre mot de passe » sur sa page. C'est gratuit, ça n'engage à rien et ça ne se vérifie pas. La seule issue honnête, c'est de ne pas avoir besoin de la donnée : tout se passe dans votre navigateur, et voici comment ouvrir l'inspecteur pour le constater sans nous faire confiance.
Votre gestionnaire contre votre mémoire : la seule règle qui a survécu
De tout ce qu'on nous a enseigné sur les mots de passe, une seule règle a survécu : un mot de passe différent par site. Et c'est justement celle que personne n'applique, parce que votre mémoire n'en a pas les moyens. Un gestionnaire n'est pas un confort : c'est ce qui rend cette règle possible.
Passkeys : le mot de passe qui n'existe pas
Pendant des décennies, on a cherché à rendre le mot de passe plus difficile à deviner. Les passkeys font autre chose : elles retirent du décor le secret que le serveur devait conserver. Le site ne garde qu'une clé publique qui ne vaut rien si on la lui vole, et le phishing cesse de fonctionner. Ça ne règle pas tout.
Les questions de sécurité sont un mot de passe que vous n'avez pas choisi
Une question de sécurité est un mot de passe affligé de trois défauts : vous ne l'avez pas choisi, il se devine, et il est souvent écrit quelque part en public. En 2015, Google l'a mesuré sur des données réelles et le verdict est accablant deux fois plutôt qu'une : ces réponses se devinent et, en prime, elles s'oublient. Qui ment pour se protéger finit devant sa porte, dehors.
2FA : pourquoi le SMS est le pire des bons
Activer le 2FA par SMS est l'une des meilleures décisions que vous puissiez prendre aujourd'hui, et la première que vous devrez reconsidérer. Son point faible n'est ni dans le chiffrement ni dans votre mobile : il est chez la personne qui décroche chez votre opérateur. Voici l'escalier complet, du SMS à la clé physique.