Créer un mot de passe parfait

post
Credits
Image voir Notes de fin - Article: , Surfandbiz
Une étude scientifique révèle que partout dans le monde des internautes choisissent des mots de passe trop simples pour protéger des informations personnelles. Ce billet vous propose quelques pistes pour utiliser des mots de passe plus sûrs.

Scientifique en cryptographie et candidat doctorant en sécurité informatique à l'université de Cambridge, Joseph Bonneau vient de terminer une étude titanesque sur la sécurité des mots de passe et nous livre d'ores et déjà quelques constats alarmants: 1% de l'ensemble des mots de passe peuvent être devinés en 10 essais, seuls les aînés suivent une attitude plus sécuritaire pour générer des mots de passe, ou pire encore, les personnes qui se font pirater leur mot de passe ne sont pas pour autant plus vigilants après cette mauvaise expérience. En bref, on peut mieux faire en matière de sécurité... et les résultats complets de ces recherches sur un échantillon de 70 millions de mots passe seront révélés en mai, lors d'une conférence sur la sécurité au Royaume Uni.

Fort de ces premières observations, ce vaste sujet apporte quelques pistes de réflexions sur les éléments à intégrer dans une démarche de génération de mots de passe pour les outils numériques. Les données et les enjeux sont simples, vous avez besoin de consulter régulièrement vos divers comptes en ligne avec des mots de passe créés par vos soins, mais si des intrus subtilisent ces informations tout peut arriver ensuite. L'étude de Joseph Bonneau révèle un élément sécuritaire essentiel, la plupart des mots de passe ne sont pas assez forts, donc il est primordial de réfléchir en priorité à des mots de passe plus sûrs.

Autres particularités importantes : le niveau de sécurité d'un mot de passe est proportionnel à sa longueur et la diversité des caractères qui le compose. Souvent, on choisit un mot du langage courant, par peur de l'oublié, or c'est justement dans ce contexte que le niveau de sécurité est le plus faible. Un mot de passe avec un niveau de sécurité normal devrait se composer de caractères spéciaux (é,è,ç,à...), de symboles (#,%,µ,*...), de chiffres, et bien sûr de lettres minuscules et majuscules. Enfin, il doit apparaître comme une chaîne aléatoire incompréhensible avec un minimum de 12 caractères ou plus, pour renforcer sa robustesse et sa longévité sécuritaire.

Une astuce pour rendre aléatoire un mot, est d'utiliser, un inverseur de mots en ligne. Par exemple ici, pour « chemin constantini » on obtient : nimehc#nitinatsnoc. Notez l'utilisation du symbole #, dont on se sert ici comme séparateur pour marquer l'espace, mais qui est en fait une clé supplémentaire de sécurité. Plus de 95 symboles, chiffres et lettres sont proposés sur un clavier numérique, ce qui aide à compliquer le décryptage des mots de passe. Pour paré au plus pressé, il existe aussi des générateurs de mots de passe en ligne. En prenant quelques mesures simples et surtout en les combinants, vous multipliez à chaque fois le degré de protection de vos mots de passe et c'est toujours mieux que rien. On considère par exemple qu'une combinaison unique de 15 chiffres ou de lettres choisies aléatoirement, est 33000 fois plus sûr qu'un mot de passe de 8 caractères issus du clavier.

Une autre méthode simple, est de convertir une phrase de la littérature classique en mot de passe. Prenez la première lettre de chaque mot de la phrase, pour créer un nouveau mot, puis la deuxième lettre de chaque mot pour en créer un autre, et ainsi de suite. Vous pouvez inventer d'autres règles de ce type, et c'est un système souvent plus facile à retenir que plusieurs mots de passe à choisir dans un calendrier. Il est important aussi d'éviter les mots des dictionnaires quelque soit la langue, le format date de naissance, les noms de communes et tout ce qui peut rentrer immédiatement dans la logique de recherche d'un algo pour un but malveillant. Avec l'évolution des nouvelles technologies et l'accélération de la vitesse de traitement des données, les experts recommandent d'ailleurs de plus en plus de choisir de longs mots de passe sous la forme de phrases mnémotechniques assez courtes et faciles à retenir.

Le quotidien Wall Street Journal a établi la liste des 50 mots de passe les plus populaires et les moins sécurisés, mais toujours dans l'ère du temps. On y retrouve les séquences de caractères, « 123456 », « abc123 », « 111111 », des noms trop connus, par exemple « password », « superman », « football », « qwerty », qui sont des mots de passe faibles et faciles à deviner. Ces choix sont vraiment étonnants, car il est important de garder à l'esprit qu'un mot de passe n'est pas indéchiffrable dans le temps, donc s'il est trop simple à trouver, sa longévité est forcément en péril. Selon certaines recherches en sécurité numérique, la durée de vie de mots de passe triviaux de 8 caractères est de 7 jours, alors qu'il faudrait plus de 17 000 ans pour découvrir un mot de passe plus complexe de 12 caractères.

Bien sûr, d'autres règles sont a creuser pour réhausser le niveau de sécurité d'un système d'information, par exemple, changer son mot de passe régulièrement, ne pas le taper au clavier mais le copier/coller, ou bien encore, éviter de le faire retenir par son navigateur. Loin de démontrer toutes les failles d'un système, ces quelques pistes, débuts de réponses et suggestions, ont pour but de sensibiliser les utilisateurs sur l'intérêt de renforcer les mots de passe pour s'assurer un minimum de sécurité en ligne.

Notes

[1] Crédits photo : Ron Bennetts (Creative Commons By-SA)


à lire aussi