Mot de passe/Les règles d'or
Introduction
modifierLes mots de passe, (passwords en anglais), sont utilisés par tous les services nécessitant une identification. Ils sont un moyen efficace de protéger les informations personnelles, stockées dans une base de données par exemple.
Des personnes (techniquement des scripts et des bots) vont tenter de le voler, pouvant ainsi avoir accès à vos comptes, vos informations, se faire passer pour vous. Des règles essentielles sont à connaître pour mettre en sécurité vos données quelles soient sur internet comme sur votre ordinateur/smartphone.
Le meilleur mot de passe est celui qui ne peut être divulgué que par une seule personne (en l'occurrence vous). Or nous sommes humains, notre mémoire a une fonction qui s'appelle l'oubli. Tout comme la mémoire n'est pas infaillible, la sécurité l'est également. Néanmoins il existe des astuces pour augmenter la sécurité de nos données.
Un mot de passe :
- ne doit pas être écrit (que ce soit physique sur du papier ou numérique sur votre ordinateur/smartphone)
- ne doit pas se trouver dans un dictionnaire
- n'utilise pas d'information personnelle (comme votre date de naissance par exemple)
- doit être composé au minimum de douze caractères,
- doit être composé, autant que possible, de majuscules et de minuscules, de chiffres et de caractères spéciaux.
Il s'avère fastidieux de créer un mot de passe et de le mémoriser. Il existe différentes méthodes pour construire un mot de passe sans l'oublier.
Par exemple, on peut utiliser la première lettre de chaque mot d'une citation, d'un proverbe, une phrase tirée d'une chanson ou encore d'un poème : si l’on garde la première lettre de chaque mot du proverbe "Un tiens vaut mieux que deux, tu l'auras ! N'est-ce pas Clara ?", on obtient le mot de passe suivant : "1tvmq2tla!NecpC?".
Le mot de passe obtenu se retient facilement grâce au proverbe, ne se trouve pas dans le dictionnaire, il est facilement composé de plus de huit caractères, majuscules, minuscules et de caractères spéciaux (!?) ainsi que de chiffres.
Dans le cas où l'administrateur exige un changement régulier de mot de passe, il suffira de l'incrémenter. Ainsi, en considérant que le premier mot de passe n'a pas d'incrémentation, le 10e mot de passe de notre exemple deviendra : "1tvmq2tla!NecpC?9". Pour un changement de mot de passe mensuel, on pourra incrémenter celui-ci en fonction du numéro de mois. Par exemple, pour le changement du 1ᵉʳ novembre, l'incrémentation sera 11 et donc le mot de passe sera "1tvmq2tla!NecpC?11". Cela permet ainsi de se souvenir plus simplement du numéro d'incrémentation choisi. Cela n'est par contre pas possible avec tous les systèmes comme par exemple avec Linux où le système reconnaît l'ajout de numéros à la fin et vous demande de mettre un mot de passe plus complexe.
Bien choisir un mot de passe
modifierLe choix du mot de passe est primordial dans la protection des données[1]. En effet, si celui-ci est trop simple (exemple : le nom de son chien), une personne mal intentionnée n'aura aucun mal à le trouver, notamment grâce aux messageries instantanées.
Il est aussi préférable de ne pas choisir un mot du dictionnaire comme mot de passe, une attaque dictionnaire étant relativement simple à mettre en place. Ainsi, il est conseillé d’utiliser un mot de passe contenant des lettres, mais aussi un ou plusieurs chiffres et si c’est possible, mais malheureusement pour nous, certains sites ne le permettent pas, utiliser des caractères spéciaux (exemples : "!?*+=&<>:$") afin de rendre toute attaque beaucoup plus difficile.
Ne jamais communiquer celui-ci
modifierC'est sans doute la règle la plus importante, mais aussi la moins suivie : un mot de passe est personnel, ce qui veut dire qu'on ne le donne pas, même à son meilleur ami.
Nombreux sont ceux à partager un même mot de passe (exemple : partage de compte) et après une dispute avec le meilleur ami, se voient refuser l'accès à leur compte (dans le meilleur des cas) car votre (ex-) ami s'est simplement amusé à changer celui-ci (encore une fois, dans le meilleur des cas). Le problème est que si votre ami a utilisé votre compte à des fins plus ou moins légales, juridiquement, vous êtes responsable, puisque c’est votre nom qui a servi à l'inscription.
Ce n’est pas le seul cas dans lequel il ne faut pas donner son mot de passe : de plus en plus de sites utilisant le phishing voient le jour. Ces sites se font passer pour des sociétés qui, en prenant l'exemple des messageries instantanées, vous donnent la liste de tous les contacts qui vous ont bloqué si vous renseignez votre adresse et votre mot de passe. À priori rien de dangereux puisqu’ils affirment qu’ils ne stockent pas votre mot de passe, mais qui peut le confirmer ?... Une attaque de type Phishing bien plus dangereuse est celle effectuée par des sites malintentionnés se faisant passer pour votre banque. Ces sites vous envoient un mail vous demandant de confirmer vos informations bancaires et le mot de passe de votre compte en ligne et en profitent pour vider le compte. Il est par conséquent impératif de vérifier dans la barre d'adresse de votre navigateur Web que vous êtes bien sur la bonne page avant d'entrer votre mot de passe afin de vous assurer que vous n'avez pas été redirigés vers un site malintentionné.
Enfin, certains sites se proposent de vérifier la robustesse de votre mot de passe, la grande majorité de ces sites se servent de ce service pour compléter leur base de données de mots de passe qui leur servira ensuite à faire des recherches exhaustives ou des attaques par force brute, les rares autres le font à des fins pédagogiques pour expliquer le danger de ce genre de site[2].
En bref
modifierUn mot de passe sûr est un mot de passe :[3]
- Qui ne veut rien dire (i.e. qui n’est pas dans le dictionnaire)
- Qui comporte un ou plusieurs chiffres et caractères spéciaux
- Qui mesure, de préférence, 8 caractères ou plus (c'est à partir de 8 caractères que les attaques bruteforce deviennent longues)
- Qui n'est connu que par une personne, c'est-à-dire celle à qui il appartient
Références
modifier- ↑ « Recommandations relatives à l'authentification multifacteur et aux mots de passe | ANSSI », sur cyber.gouv.fr (consulté le 24 mars 2024)
- ↑ Julien Lausson, « Comment vérifier sans risque la solidité de son mot de passe ? », sur Numerama, (consulté le 24 mars 2024)
- ↑ François Manens, « Faut-il vraiment se forcer à créer un mot de passe compliqué ? », sur Numerama, (consulté le 24 mars 2024)
Liens externes
modifier- Tester la récurrence d'un mot de passe sur haveibeenpwned
- Tester la solidité d'un mot de passe sur Noting2Hide
- Tester la solidité d'un mot de passe du Service du Haut Fonctionnaire de Défense et de Sécurité des ministères économiques et financiers français