Découvrir le Web/Choisir un bon mot de passe

Un mot de passe n'est pas et ne sera certainement jamais une garantie absolue de sécurité. Néanmoins ils peuvent être plus ou moins robustes face à un pirate informatique. Cette fiche montre les moyens utilisés les plus fréquemment par les pirates et leurs "contres".

Les différentes attaques et les "contres"

modifier

Les logiciels espions (keyloggers) et l'hameçonnage

modifier

Ce sont des logiciels qui enregistrent à votre insu les mots de passe que vous tapez (parfois même ils existent sous forme matérielle, intégrés dans les claviers, et sont dans ce cas indétectables). Il n'existe pas de solution magique pour se prémunir de ce genre d'attaque. La meilleure solution est la vigilance : n'installez pas de logiciels inconnus ou d'extension non-officielle à une quelconque application. L'hameçonnage consiste à faire croire à l'utilisateur qu'il a affaire à un tiers de confiance de manière à lui faire dévoiler diverses informations : code bancaire, mot de passe, etc. Méfiez-vous de tout courriel et site suspect.

Attaque par dictionnaire

modifier

Les mots de passe de la plupart des utilisateurs sont composés de mots courants. Ainsi l'attaque par dictionnaire consiste à tester une série préenregistrée de mots de passe usuels (les mots du dictionnaire, prénoms, etc) en espérant qu'un de ces mots corresponde au dit mot de passe.

Bref, éviter de prendre un prénom, le mot d'un dictionnaire, d'un lieu/personnage célèbre comme mot de passe.

Attaque par force brute

modifier

Cette méthode consiste à tester une à une chaque combinaison possible pour le mot de passe (un ordinateur personnel peut en essayer plusieurs millions par seconde). Théoriquement cette méthode peut venir à bout de n'importe quel mot de passe mais si le mot de passe est robuste, cette méthode peut mettre des années.

Les contres sont :

  • utiliser des lettres majuscules, minuscules et des chiffres. Pour un mot de passe de 6 caractères, il y aura ainsi 180 fois plus de combinaisons possibles qu'en utilisant seulement des minuscules.
  • allonger le mot de passe. Plus il y a de caractères, plus il y a de combinaisons possibles.
  • changer de mot de passe régulièrement (une authentification forte l'impose tous les trois mois au moins).

Des applications limitent le nombre d'essai maximum en un certain temps ou alors mettent un temps de latence entre l'entrée du mot de passe et son évaluation. Ces méthodes sont les meilleures pour une sécurité maximale mais ne dépendent malheureusement que rarement de vous.

Notes :

  • la longueur des clés est souvent donnée en bits. Le nombre de combinaisons possibles est alors d'environ 2n avec n le nombre de bits. En France, le cryptage maximum légal fut de 128 bits jusqu'en Juin 2004. Depuis, en vertu de l'article 30-I de la loi 2004-575 du 21 juin 2004, l'utilisation des moyens de cryptologie est libre.
  • les attaques par force brute sont souvent combinées avec celles d'un dictionnaire.


Conclusion

modifier

Un "bon" mot de passe doit être :

  • composé de lettres majuscules, minuscules, de chiffres et de caractères spéciaux ;
  • long (dans la mesure du possible) ;
  • dénué de sens (les prénoms et noms propres célèbres sont abolis) ;
  • renouvelé régulièrement ;
  • unique pour chaque site.

Exemple de stratégie de mot de passe pour débuter : faites un dessin virtuel sur le clavier, un rond, un carré, un W... un rond à partir de "6" dans le sens des aiguilles d'une montre et le password sera "678ikjHY" en alternant minuscule et majuscule. (ou des barres parallèles \\\ "ju7HY6gt5") il ne suffit que de retenir la première touche et le dessin.

Vous pouvez aussi lui ajouter une règle pour le renouvellement régulier à cette technique un code comme le numéro de la semaine de l'année ou le numéro de jour + un chiffre...

Certains marient aussi l'initiale des chiffres : u=1 d=2 t=3 q=4 c=5 x=6 s=7 h=8 n=9 z=0 ... "526" = "cdx" "ju7HY6gt5"+ "cdx"... trouvez votre propre astuce : la règle est qu'elle doit être pour vous facile à mémoriser et difficile à trouver pour qu'elle soit utilisable.

Pour utiliser un mot de passe différent suivant le site web qui demande un accès, pour éviter le mal de tête, on peut utiliser le nom du site. Exemple "Google" : "g" + "9I" + "oo" + 8U +"gle" = "g9Ioo8Ugle" ou des touches voisines : google = hpphmr... h9Ipp8Uhmr (SF)

Cette stratégie vous évitera l'exposition d'un mot de passe unique. Surtout sur des sites qui stockent visiblement les mots de passe.

De plus :

  • Méfiez-vous des sites inconnus qui vous réclament des codes secrets (mot de passe de votre boite mail, numéro de carte de crédit, etc.);
  • N'installez pas d'extensions et/ou de greffons non-officiels à vos applications.

Liens externes

modifier