CRÉER DES MOTS DE PASSE SOLIDES

C’est le rêve de bon nombre d’entre nous ! Ces fameux mots de passe, les « sésame ouvre-toi » de notre monde moderne ! 

Nous avons tous des mots de passe plus ou moins compliqués, enregistrés sur différents sites en ligne.

Peuvent-ils néanmoins résister longtemps face à la dextérité des pirates informatiques chevronnés (les hackers) ?

Existe t-il des astuces pour créer des mots de passe « incassables » ?

Tout le monde a sa petite idée. Je vous propose la mienne…

Mise à jour : avril 2019

 

CRÉER DES MOTS DE PASSE SOLIDES

Les cyberattaques ne cessent de croître de nos jours. Elles touchent non seulement les entreprises et les administrations gouvernementales, mais également les particuliers, dans une moindre mesure.

Si vous êtes propriétaire d’un site internet, d’un compte Facebook, ou d’un blog, il serait judicieux, pour ne pas dire vivement conseillé, de prendre le temps nécessaire pour créer un mot de passe solide pour accéder à votre site.

Ce mot de passe devra être très complexe afin de résister pendant suffisamment longtemps aux tentatives d’attaques par force-brute, de plus en plus répandues chez les hackers.

Ces attaques par force-brute visent à craquer les mots de passe, en testant une à une toutes les combinaisons possibles pour espérer tomber juste.

Et en fonction de la longueur ou de la complexité du mot de passe, le craquage pourra prendre entre quelques secondes ou… plusieurs années. Et même plusieurs siècles, selon les dires de Kaspersky !

 

RESPECTEZ CES RÈGLES DE BASE 

  • Votre mot de passe doit être le plus long possible. Lorsque cela est permis, faites en sorte que celui-ci soit même excessivement long… 30 caractères minimum, pouvant aller jusqu’à 40, voire au-delà pour des mots de passe MAÎTRE ! Je préconise toujours d'utiliser un minimum de 60 caractères sous la forme d'une suite de mots sans aucun rapport les uns avec les autres, connus et compréhensibles de vous seul(e).
  • Être le plus compliqué possible sur les sites « sensibles » (Impôts, Sécurité Sociale, CAF, Carsat, etc), avec un mot de passe d'une longueur « indécente ».
  • Mélangez les caractères alphanumériques (lettres, chiffres, minuscules et majuscules), entrecoupés de caractères spéciaux et de symboles. La richesse de la langue française, et par extension, du clavier AZERTY, possède cet immense avantage de posséder des caractères accentués. Alors n'hésitez surtout pas à les solliciter !
  • Étant d'origine vietnamienne, je signale, pour mes compatriotes, que les caractères vietnamiens ont également de très nombreux caractères accentués. Rien ne vous empêche de les utiliser dans la composition de vos mots de passe, si cela est autorisé, bien sûr ! 
  • Et pour compliquer encore plus la chose, faites délibérément des « fautes d'orthographe » dans vos phrases. Vous pouvez aussi mettre des accents sur des mots qui n'en possèdent pas, et qui plus est, sur des consonnes !

 

Certains pirates utilisent l’attaque par dictionnaire en parcourant des listes de mots les plus utilisés. Mais si vous utilisez des mots qui n’existent pas dans ces dictionnaires, ces pirates seront bien embêtés pour les trouver !

 

RÈGLES SUPPLÉMENTAIRES

  • N'incluez pas d’informations sur votre vie privée (dates de naissance de vos enfants, nom de votre chien, code de votre porte, numéro de votre carte grise, etc).
  • Dans la mesure du possible, changez-le régulièrement. Dans l’idéal, cela devrait être tous les trois mois
  • Et si vous craignez de ne pouvoir mémoriser vos mots de passe les plus complexes, faites donc appel à un gestionnaire de mots de passe qui les mémorisera à votre place, de manière sécurisée, dans un « coffre-fort virtuel ». Et l'accès à tous vos autres mots de passera devra d'abord passer par la saisie du mot de passe MAÎTRE qui sera le « Sésame, ouvre-toi » de ce coffre-fort. Vous n'aurez alors à retenir que ce seul et unique mot de passe.

De plus, ce gestionnaire saisira automatiquement vos mots de passe sur tous vos sites répertoriés. Il faudra, pour cela, installer l'extension appropriée dans le navigateur de votre choix.

Grâce à ces quelques consignes de sécurité, et compte tenu de la puissance des ordinateurs actuels, le temps nécessaire pour casser le mot de passe sera déjà très long. Il se compterait peut être en dizaine d’années, voire davantage encore…

En conséquence, vos informations ne seront peut être plus confidentielles au bout de tout ce temps. Vos mots de passe seront-ils alors encore nécessaires ?

Un bon mot de passe est donc celui qui résistera suffisamment longtemps pour que, ce qu’il protège, n’ait plus besoin d’être protégé lorsque ce mot de passe sera cassé.

 

QUELQUES SUGGESTIONS POUR BÉTONNER VOS MOTS DE PASSE

1 - LA MÉTHODE APPLE

Pour créer un mot de passe « en béton », faites-vous aider du Trousseau d’accès (Applications │ Utilitaires │ Trousseau d’accès). Pour ce faire, vous avez 2 options :

  1. Créer le mot de passe vous-même
  2. Demander à Trousseau d’accès de vous en suggérer, et à choisir dans sa liste déroulante.

Par contre, si vous en avez déjà un, testez-le pour connaître sa force. La couleur (du vert clair au vert foncé) et la longueur de la jauge indique sa solidité et sa résistance aux attaques.

Qualité du mot de passeQualité du mot de passe

Créer des mots de passe solides avec Trousseau d'accès  :

  • Ouvrez Trousseau d’accès, puis cliquez sur le « + » en bas de l'écran pour créer un nouveau mot de passe.
  • Tapez votre mot de passe dans le champ prévu à cet effet. Pour vérifier sa robustesse, une jauge affiche le niveau de sécurité qui devrait aller de « bonne » à « parfaite ».
  • Si vous manquez d’inspiration, cliquez sur la « clé » génératrice de mots de passe, à droite du champ de saisie.
  • Vous aurez alors un menu déroulant avec plusieurs options pour définir votre mot de passe. Evitez absolument la norme FIPS-181 qui se réfère au standard américain (Federal Information Processing Standards) car leurs mots de passe sont trop faibles. Les mots de passe « aléatoires » ou « mémorisables » offrent une force de chiffrement supérieure. A vous de choisir votre sésame…

Créer mots de passe solides-Trousseau d'accès

2 - LA MÉTHODE MNÉMOTECHNIQUE

Comment vous souvenir d’un mot de passe difficile à trouver et qui n'est répertorié nulle part ? Tout simplement en créant une phrase liée à des évènements personnels de votre vie dont vous seul avez le souvenir.

Si de plus, votre phrase est totalement « loufoque » et n’a aucun sens, elle sera difficile à deviner, même pour vos proches et ceux qui vous connaissent bien.

  • Choisissez une phrase suffisamment longue pour n’en garder ensuite que 12 caractères « minimum », voire davantage.
  • A partir de cette phrase, ne conservez que les initiales des 6 premiers mots et intercalez-y des chiffres. Mais pas n’importe quels chiffres. Seulement le nombre de caractères qui compose chaque mot.

Exemple de phrase pour mieux visualiser et comprendre.

« Tante Lucie a barbouillé son chat de peinture orange pour s’amuser ! ».

Tante = 5 ;

Lucie = 5 ;

a = 1 ;

barbouillé = 10 ;

son = 3 ;

chat = 4 ;

de = 2 ;

peinture = 8 ;

orange = 6 ;

pour = 4 ;

s = 1 ;

amuser = 6 ;

! = 1. 

Ce qui donnera au final : T5L5a1b10s3c4d2p8o6p4s1a6!1

Ce mot de passe possède 27 caractères, avec chiffres et lettres intercalés + une ponctuation.

  • Il est solide car difficile à deviner, peut-être pas impossible à craquer, mais sûrement après un délai très très long !
  • Il n’est pas « facilement mémorisable », mais le but premier est surtout de le rendre le plus compliqué possible.

Cela semble compliqué, mais la sécurité est à ce point… Et un utilisateur lambda aura du mal mémoriser cette combinaison, puis à le taper « à l’aveugle » dans le Terminal par exemple, à moins de l’avoir sous les yeux pour le faire…

Créer mots de passe-Force parfaiteSolidité  du mot de passe dans Trousseau d'accès.

3 - LA MÉTHODE DES MOTS « PAR GROUPE DE TROIS »

Plusieurs études ont démontré que la façon de créer des mots de passe solides par groupe de 3 lettres, séparées par « - » (le trait d’union) à certains endroits, avec des caractères alphanumériques et des symboles intercalés, produit un mot de passe relativement costaud. Il est même plus robuste encore que celui composé de caractères aléatoires et spéciaux.

Reprenons l’exemple de notre phrase « Tante Lucie a barbouillé son chat de peinture orange pour s’amuser! ».

Avec cette méthode, cela va donner : Tan-te£-u©Ï-eab∞ARß-oui-llé-søn<529◊cH@-tde-Pei-ntµreO\ran#gep-our-s’a•MÙS≈ser!

Vous arrivez à lire la phrase et, de plus, à la mémoriser. Mais vous aurez peut-être un peu plus de difficulté à la taper rapidement et sans fautes.

 

TESTER LA SOLIDITÉ DE VOS MOTS DE PASSE

Vous voulez tester la qualité de vos mots de passe ? Certains sites proposent des outils de vérification pour créer des mots de passe solides. Restez cependant prudents et n’allez pas sur n’importe quels sites, mais seulement sur des sites reconnus pour leur sécurité.

Je vous propose 3 applications qui vous aideront à le faire.

  1. Trousseau d’accès, comme nous l’avons vu plus haut.
  2. Panoptipass : téléchargez cette petite application (en fonction de la version de votre système) sur votre ordinateur. Et avant de l’installer, faites-la vérifier par Virus Total ou par votre anti-virus.
  3. Kaspersky vous propose de tester vos mots de passe via ce lien : https://blog.kaspersky.com/password-check/ Attention cependant… Comme il est précisé, ne rentrez jamais votre vrai mot de passe. Modifiez-le « plus ou moins » avant de le rentrer dans cet espace, ou testez un mot de passe « similaire ». Vous aurez néanmoins un aperçu de sa solidité…

 

Créer mot de passe-Test KasperskyRésultat de test d’un mot de passe très long…

Selon Kaspersky, ce mot de passe nécessiterait dix mille siècles pour être cassé, et ce, malgré la puissance des ordinateurs actuels !!!

Cela vous laissera un peu de temps pour souffler…

 

One more thing…

A la suite du piratage des comptes d’utilisateurs Adobe en octobre 2013 concernant l’accès illégal aux données client, le site Have I been pwned avait été créé.

Ce site recense la base de données de tous les comptes piratés et qui ont été rendu public sur le web.

Si vous avez le moindre doute sur l’un de vos comptes enregistrés sur un site dont la base de données aurait été compromise, n’hésitez pas à aller sur https://haveibeenpwned.com pour vérifier si votre adresse mail a été piratée, ce qui pourrait mettre « en danger » vos données personnelles.

Et si l’une de vos adresses email est présente sur cette liste, par prudence, changez les mots de passe de tous vos comptes.

 

 

CONCLUSION

LE RISQUE ZÉRO N'EXISTE PAS

Mais rendre ses mots de passe complexes, inintelligibles, et difficiles à craquer permettra de renforcer encore davantage la sécurité de ses comptes individuels !

N’oubliez surtout pas une chose essentielle : Même si vous pensez avoir déniché LA perle rare en béton…

arrow

 

N'UTILISEZ JAMAIS le même mot de passe pour TOUS VOS COMPTES ! 

 

 

PARTAGEZ CET ARTICLE 🙂

Vous avez aimé cet article ? Partagez-le avec vos collègues ou amis. 

Merci