-- MAJ été 2021 --

Ordi, téléphone, messagerie, WiFi, (Apple ou Play)Store, banque, Ebay, Amazon ou toute sorte de magasin en ligne ...
Notre utilisation croissante des services en ligne nous amène à utiliser de très nombreux mots de passe.
Par simplicité et facilité, nous avons tendance à choisir des codes triviaux et courts et le plus souvent à utiliser toujours les mêmes clés.
Or nous allons voir qu'aujourd'hui la puissance des PCs modernes nous impose de faire un effort pour choisir convenablement un mot de passe afin que celui-ci ne soit pas découvert en quelques secondes par le premier utilisateur en herbe.

Il y a quelques années, on nous suggérait déjà d'utiliser des mots de passe complexes comportant minuscules, majuscules, chiffres et caractères spéciaux.
Aujourd'hui bien plus que la complexité, même s'il est suggéré de panacher au moins 2 critères énumérés précédemment (par exemple minuscule + majuscule ou minuscule + chiffres) c'est la longueur des mots de passe qui est mise en avant. Soyez-en conscient : un mot de passe de moins de 8 à 10 caractères est un mot de passe faible !!
Alors bien sur, il vous faudra trouver un compromis entre longueur et complexité parceque tout miser sur la longueur (on parle alors de « PassPhrase » plutôt que de « mot de passe ») devient vite très pénible voire insupportable à l'usage.
Mais en attendant une authentification généralisé sur des sites à l'aide de nos empreintes digitales (fingerprints) ou de scan de visage, il faudra bien encore, pendant quelques années, se résoudre à utiliser nos bons vieux mots de passe.

Donc voici quelques règles à suivre :

  1. Éviter les noms communs (dictionnaire) ou les informations personnelles.
    Pour trouver le mot de passe de quelqu'un, inutile d'avoir recours à des outils sophistiqués. Il suffit de se renseigner sur l'entourage de cette personne: noms des enfants, amis, animaux de compagnie, habitudes sociales … C'est souvent suffisant vu la simplicité des mots de passe utilisés par des utilisateurs, qui pour la plupart sont inconscients ou insuffisamment informés.
    Les exemples de piratage de ce type sont nombreux, même parmi des personnalités influentes et informées (un français sans grande connaissance qui a piraté, entre autres, le compte de Barrack Obama).
  2. Utiliser des mots de passe longs.
    Pour craquer un mot de passe par force brute, c'est à dire sans utiliser un dictionnaire ni chercher du côté des informations personnelles, il faut tester toutes les possibilités. Avec la puissance des ordinateurs d'aujourd'hui, deviner un mot de passe courts (inférieur à 6-8 caractères) est affaire de quelques secondes, quelques minutes au plus.
    On considère qu'un ordinateur moderne peut tester 10 millions de solutions par seconde (cas d'un ordi moderne multi-coeurs. On ne parle même pas de piratage organisé avec plusieurs dizaines ou centaines de machines travaillant de concert pour atteindre un même but). A partir de là, le calcul est simple : 26 possibilités pour les caractères normaux, 26 nouvelles pour les majuscules, 10 de plus pour les chiffres et 13 de plus pour prendre en compte les caractères spéciaux les plus communs.
    Dans le tableau du bas de page, est indiqué le temps en secondes pour trouver un mot de passe composé de 1 à 10 caractères. On voit bien qu'en dessous de 6 caractères, c'est un jeu d'enfants.
  3. Utiliser une authentification forte.
    L'authentification forte comme la double authentification (ou authentification à 2 facteurs) est une approche simple (basée, en plus de la saisie classique du mot de passe, sur la réception d'un SMS ou la génération d'un code aléatoire par une application située sur votre smartphone) qui vous permettra d'ajouter un gros niveau de sécurité à tous vos accès. Certains fournisseurs comme Apple, l'imposent déjà maintenant à ses utilisateurs.
  4. Utiliser un gestionnaire de mot de passe.
    Un gestionnaire de mots de passe est un type de logiciel ou de service en ligne qui permet à un utilisateur de gérer ses mots de passe, soit en centralisant l'ensemble de ses identifiants et mots de passe dans une base de données (portefeuille), soit en les calculant à la demande. Le gestionnaire de mots de passe est protégé par un mot de passe unique, afin de n'en avoir plus qu'un seul à retenir.
    A titre personnel j'utilise et recommande KeePassX (toujours pour les mêmes arguments : liberté et multi-plateforme)

forceMot2passe.png 

En savoir plus :

Share This Article

Article Précédent

14/08/21 • 08:08

Article Suivant

13/01/22 • 04:01

EXTRAITS DU BLOG