Choisir un bon mot de passe

Date: 

Août 2017

Ordi, téléphone, messagerie, WiFi, (Apple ou Play)Store, banque, Ebay, Amazon ou toute sorte de magasin en ligne ...
Notre utilisation croissante des services en ligne nous amène à utiliser de très nombreux mots de passe.
Par simplicité et facilité, nous avons tendance à choisir des codes triviaux et courts et le plus souvent à utiliser toujours les mêmes clés.
Or nous allons voir qu'aujourd'hui la puissance des PCs modernes nous impose de faire un effort pour choisir convenablement un mot de passe afin que celui-ci ne soit pas découvert en quelques secondes par le premier utilisateur en herbe.

Il y a quelques années, on nous suggérait déjà d'utiliser des mots de passe complexes comportant minuscules, majuscules, chiffres et caractères spéciaux.
Cependant aujourd'hui bien plus que la complexité, c'est la longueur des mots de passe qui est mise en avant. Soyez-en conscient : un mot de passe de moins de 8 à 10 caractères est un mot de passe faible !!
Alors bien sur, il vous faudra trouver un compromis entre longueur et complexité parceque tout miser sur la longueur (on parle alors souvent de « PassPhrase » plutôt que de « mot de passe ») devient vite très pénible voire insupportable à l'usage.
Mais en attendant une authentification généralisé à l'aide de nos empreintes digitales (fingerprints) ou de scan de visage, il faudra bien encore, pendant quelques années, se résoudre à utiliser nos bons vieux mots de passe.

Donc voici quelques règles à suivre :

  • 1. Éviter les noms communs (dictionnaire) ou les informations personnelles.
    Pour trouver le mot de passe de quelqu'un, inutile d'avoir recours à des outils sophistiqués.
    Il suffit de se renseigner sur l'entourage de cette personne: noms des enfants, amis, animaux de compagnie, habitudes sociales …
    C'est souvent suffisant vu la simplicité des mots de passe utilisés par des utilisateurs, qui pour la plupart sont inconscients ou insuffisamment informés.
    Les exemples de piratage de ce type sont nombreux, même parmi des personnalités influentes et informées (un français qui a piraté, entre autres, le compte de Barrack Obama.
     
  • 2. Utiliser des mots de passe longs.
    Pour craquer un mot de passe par force brute, c'est à dire sans utiliser un dictionnaire ni chercher du côté des informations personnelles, il faut tester toutes les possibilités.
    Avec la puissance des ordinateurs d'aujourd'hui, deviner un mot de passe courts (inférieur à 6-8 caractères) est affaire de quelques secondes, quelques minutes au plus.
     
    On considère qu'un ordinateur moderne peut tester 10 millions de solutions par seconde (cas d'un ordi moderne multi-coeurs. On ne parle même pas de piratage organisé avec plusieurs dizaines ou centaines de machines travaillant de concert pour atteindre un même but).
    A partir de là, le calcul est simple : 26 possibilités pour les caractères normaux, 26 nouvelles pour les majuscules, 10 de plus pour les chiffres et 13 de plus pour prendre en compte les caractères spéciaux les plus communs.
    Dans le tableau du bas de page, est indiqué le temps en secondes pour trouver un mot de passe composé de 1 à 10 caractères.
    On voit bien qu'en dessous de 6 caractères, c'est un jeu d'enfants.
     
  • 3. Utiliser une authentification forte
    L'authentification forte comme la double authentification (ou authentification à 2 facteurs) est une approche simple (basée, en plus de la saisie classique du mot de passe, sur la réception d'un SMS ou la génération d'un code aléatoire par une application située sur votre smartphone) qui vous permettra d'ajouter un gros niveau de sécurité à tous vos accès. Certains fournisseurs comme Apple, l'imposent déjà maintenant à ses utilisateurs.
     

En savoir plus :

 
Temps mis, à un ordi moderne, pour parcourir tous les mots de passe possibles
Temps pour cracker un mot de passe