De l'art du mot de passe
30 Dec 2019
Choisir un mot de passe n'est pas une mince affaire, et nombreuses sont les embûches pour arriver à quelque chose de robuste. Et non, azertyuiop123456789 a beau être très long, ça reste tout pourri.
Les pièges à éviter
Réutiliser le même mot de passe à plusieurs endroits
C'est la base et c'est pas pour autant que l'on évite de le faire.
Il est certain que c'est plus simple de retenir un mot de passe unique pour x comptes différents, surtout si l'on s'est embêté à en choisir un bien compliqué.
Sauf que si un seul de ces comptes se fait pirater (par exemple le site web se fait pirater sa base de données et il s'avère qu'il n'avait pas bien protégé les mots de passe de ses utilisateurs), la première chose que vont faire ces personnes mal intentionnées va être de tester votre login (souvent l'adresse mail) et mot de passe sur des centaines de sites web dans l'espoir que vous l'ayez réutilisé tel quel ou avec de simples variations (modification d'un caractère ou ajout d'un caractère en fin de mot passe).
Vous pouvez vérifier si votre adresse mail (login) a déjà fait partie d'une base de données piratée sur ce site.
Utiliser un mot de passe facile à deviner
Par "facile" à deviner, j'entends :
- déjà connu (voir ce site où vous pouvez le vérifier)
- mot/expression existant dans le dictionnaire ou sur wikipedia (nom propres compris)
- partant d'un mot/expression simple avec des remplacements évidents (a par 4, e par 3, s par $, i par 1…), par exemple "paris" devient "p4r1$"
- partant d'un mot simple avec juste un caractère spécial au début ou à la fin, par exemple "paris" devient "paris!", ou une suite de caractères ("paris" devient "paris123456")
- ou pire avec des informations personnelles comme votre date de naissance, votre lieu de naissance, un ancien numéro de téléphone, le nom de votre école…
Utiliser un mot de passe trop court
Contrairement aux idées reçues, la complexité du mot de passe (lettres + chiffres +
caractères spéciaux) a bien peu d'importance par rapport à la longueur du mot de passe. Voir cet article qui explique très bien ce principe.
Autrement dit, il est beaucoup plus sécurisé d'utiliser un mot de passe de 12 caractères avec seulements des lettres qu'un mot de passe de 8 caractères avec des lettres, chiffres et caractères spéciaux.
La question secrète
Petit aparté sur la fameuse "question secrète", qui était à la mode fut un temps mais qui n'est plus trop utilisée aujourd'hui : c'est un vraie brèche de sécurité. Lorsqu'elle est obligatoire je vous invite à répondre à cette question avec un autre mot de passe, et lorsqu'elle n'est pas obligatoire à ne pas l'activer.
Créer un mot de passe robuste
Une bonne méthode ci-dessous :
- Partir d'une phrase dont on se souviendra facilement, ou une réplique de film, un extrait d'un livre, peu importe tant qu'il y a peu de risque que quelqu'un utilise le même
- Concaténer la Xe lettre de chaque mot d'une phrase.
Par exemple on part de la phrase "Choisir un bon mot de passe, c'est quand même bien la lose !", et en prenant la 1e lettre de chaque mot (et la ponctuation), on obtient : "Cubmdp,c'eqmbll!".
Ou mieux : laisser les professionnels s'en charger
Je n'imagine pas devoir créer ET retenir un mot de passe différent pour les centaines de comptes que je possède. C'est là qu'intervient le fameux gestionnaire de mots de passe. Même si je reviendrais en détail dessus dans un autre article, le principe est très simple : vous n'avez besoin de retenir qu'un seul mot de passe (pour déverrouiller le gestionnaire de mot de passe qui stocke tous vos mots de passe), et il permet de générer des mots de passe aléatoires très robustes. Elle est pas belle la vie ?
Rajouter un niveau de sécurité
De nombreux sites proposent maintenant d'activer la double authentification, qui ajoute un niveau supplémentaire de sécurité. Là aussi, j'ai écrit un article spécifique sur le sujet.
Pour aller plus loin :
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html
https://www.nextinpact.com/news/100871-choisir-bon-mot-passe-regles-a-connaitre-pieges-a-eviter.htm