Créer un mot de passe parfait
Une étude scientifique révèle que partout dans le monde des internautes choisissent des mots de passe trop simples pour protéger des informations personnelles. Ce billet vous propose quelques pistes pour utiliser des mots de passe plus sûrs.
Scientifique en cryptographie et candidat doctorant en sécurité informatique à l'université de Cambridge, Joseph Bonneau vient de terminer une étude titanesque sur la sécurité des mots de passe et nous livre d'ores et déjà quelques constats alarmants: 1% de l'ensemble des mots de passe peuvent être devinés en 10 essais, seuls les aînés suivent une attitude plus sécuritaire pour générer des mots de passe, ou pire encore, les personnes qui se font pirater leur mot de passe ne sont pas pour autant plus vigilants après cette mauvaise expérience. En bref, on peut mieux faire en matière de sécurité... et les résultats complets de ces recherches sur un échantillon de 70 millions de mots passe seront révélés en mai, lors d'une conférence sur la sécurité au Royaume Uni.
Fort de ces premières observations, ce vaste sujet apporte quelques pistes de réflexions sur les éléments à intégrer dans une démarche de génération de mots de passe pour les outils numériques. Les données et les enjeux sont simples, vous avez besoin de consulter régulièrement vos divers comptes en ligne avec des mots de passe créés par vos soins, mais si des intrus subtilisent ces informations tout peut arriver ensuite. L'étude de Joseph Bonneau révèle un élément sécuritaire essentiel, la plupart des mots de passe ne sont pas assez forts, donc il est primordial de réfléchir en priorité à des mots de passe plus sûrs.
Autres particularités importantes : le niveau de sécurité d'un mot de passe est proportionnel à sa longueur et la diversité des caractères qui le compose. Souvent, on choisit un mot du langage courant, par peur de l'oublié, or c'est justement dans ce contexte que le niveau de sécurité est le plus faible. Un mot de passe avec un niveau de sécurité normal devrait se composer de caractères spéciaux (é,è,ç,à...), de symboles (#,%,µ,*...), de chiffres, et bien sûr de lettres minuscules et majuscules. Enfin, il doit apparaitre comme une chaîne aléatoire incompréhensible avec un minimum de 12 caractères ou plus, pour renforcer sa robustesse et sa longévité sécuritaire.
Une astuce pour rendre aléatoire un mot, est d'utiliser, un inverseur de mots en ligne. Par exemple ici, pour « chemin constantini » on obtient : nimehc#nitinatsnoc. Notez l'utilisation du symbole #, dont on se sert ici comme séparateur pour marquer l'espace, mais qui est en fait une clé supplémentaire de sécurité. Plus de 95 symboles, chiffres et lettres sont proposés sur un clavier numérique, ce qui aide à compliquer le décryptage des mots de passe. Pour paré au plus pressé, il existe aussi des générateurs de mots de passe en ligne. En prenant quelques mesures simples et surtout en les combinants, vous multipliez à chaque fois le degré de protection de vos mots de passe et c'est toujours mieux que rien. On considère par exemple qu'une combinaison unique de 15 chiffres ou de lettres choisies aléatoirement, est 33000 fois plus sûr qu'un mot de passe de 8 caractères issus du clavier.
Une autre méthode simple, est de convertir une phrase de la littérature classique en mot de passe. Prenez la première lettre de chaque mot de la phrase, pour créer un nouveau mot, puis la deuxième lettre de chaque mot pour en créer un autre, et ainsi de suite. Vous pouvez inventer d'autres règles de ce type, et c'est un système souvent plus facile à retenir que plusieurs mots de passe à choisir dans un calendrier. Il est important aussi d'éviter les mots des dictionnaires quelque soit la langue, le format date de naissance, les noms de communes et tout ce qui peut rentrer immédiatement dans la logique de recherche d'un algo pour un but malveillant. Avec l'évolution des nouvelles technologies et l'accélération de la vitesse de traitement des données, les experts recommandent d'ailleurs de plus en plus de choisir de longs mots de passe sous la forme de phrases mnémotechniques assez courtes et faciles à retenir.
Le quotidien Wall Street Journal a établi la liste des 50 mots de passe les plus populaires et les moins sécurisés, mais toujours dans l'ère du temps. On y retrouve les séquences de caractères, « 123456 », « abc123 », « 111111 », des noms trop connus, par exemple « password », « superman », « football », « qwerty », qui sont des mots de passe faibles et faciles à deviner. Ces choix sont vraiment étonnants, car il est important de garder à l'esprit qu'un mot de passe n'est pas indéchiffrable dans le temps, donc s'il est trop simple à trouver, sa longévité est forcément en péril. Selon certaines recherches en sécurité numérique, la durée de vie de mots de passe triviaux de 8 caractères est de 7 jours, alors qu'il faudrait plus de 17 000 ans pour découvrir un mot de passe plus complexe de 12 caractères.
Bien sûr, d'autres règles sont a creuser pour réhausser le niveau de sécurité d'un système d'information, par exemple, changer son mot de passe régulièrement, ne pas le taper au clavier mais le copier/coller, ou bien encore, éviter de le faire retenir par son navigateur. Loin de démontrer toutes les failles d'un système, ces quelques pistes, débuts de réponses et suggestions, ont pour but de sensibiliser les utilisateurs sur l'intérêt de renforcer les mots de passe pour s'assurer un minimum de sécurité en ligne.
Notes
[1] Crédits photo : Ron Bennetts (Creative Commons By-SA)
A lire aussi
- Le moteur de recherche DDG séduit de plus en plus d'utilisateurs
Lorsque l'on doit faire des recherches sur Internet, on utilise souvent les mêmes outils, et pourtant, il existe encore quelques perles digitales à découvrir sur le web. Créé en février... - Facility Télécom - gestion financière des télécoms
- Scales Up, le site d'achats groupés pour les TPE et PME
Lancé en Mars 2012, par trois anciens de Microsoft, Scales Up est à la fois une plateforme d'achats groupés et un site de deals destiné aux... - Achetez vos bijoux personnalisés en ligne !
Marque de joaillerie sur le Net, Adamence vend des bijoux de qualité, des diamants et pierres précieuses, entre 20 et 40% moins cher que la bijouterie... - Entreprise recherche prestataire internet freelance
« Entreprise cherche codeur pour développer une application iphone...» C'est le profil d'appel d'offres que vous pouvez publier ou trouver au quotidien sur la place de marché des freelances...
Ajouter un commentaire
Après avoir lu cet article je ne me sens plus du tout en sécurité et je pense modifier mes mdp.Je ne pensais pas que ça prenait aussi peu de temps pour les trouver ..
Oula, je me rappelle dans les années 2000, je n'utilisais qu'un mot de passe, et celui-ci est cité dans votre article, ca ne m'étonne donc pas que plein de mondes les utilises ceux-ci. Mais je suis content d'avoir pris le temps de tous les modifier il y a quelques années...
bonjour à vous, je suis tout à fait d'accord avec ça !!! ps: je fais circuler à bon entendeur salut!!! bien à vous ghislain guay
On y pense pas forcément, mais pour se préserver d'un attaque dico, il vaut mieux supprimer les mots provenant d’un dictionnaire, je retiens aussi l'idée de séparer les mots par un nombre et insérer un symbole par exemple, finalement l'internaute lambda apprécie l'évolution technologique mais a tendance à oublier qu'il faut aussi s'adapter aux problèmes de sécurité.
C'est vrai, c'est pourquoi j'utilise jamais mon email pro sur les réseaux sociaux.
Merci, cet article est très intéressant, pour ma part, j'avais l'habitude d'utiliser le même mot de passe dans plusieurs sites et comptes depuis longtemps jusqu'au jour ou je me suis fait pirater, du coup j'ai changé de stratégie et j'adopte des mots de passe très longs composés de lettres et de chiffres et de symboles combinés entre eux.
Le problème avec les mots de passe type "jklreJKk##12" c'est qu'ils sont impossibles à mémoriser... Que font les utilisateurs ? Ils les écrivent sur un post it dans leur portefeuille ou collé sur l'écran del'ordinateur !En fait l'important pour un mot de passe c'est surtout sa longueur. Un autre article proposait de plutôt utiliser une phrase du type "Je me suis marié le 17 septembre". Même si les mots utilisés sont simples, la longueur le rend inattaquable en "force brute".
Très juste Damien, c'est dans l'article d'ailleurs : les experts recommandent d'ailleurs de choisir de longs mots de passe sous la forme de phrases mnémotechniques. Mais il faut bien remplacer les espaces, donc on peut très bien décider un fois pour toute de remplacer l'espace par un symbole # par exemple, alos pour finir cela donne Je#me#suis#marié#17#septembre. C'est peut-être costaud mais un peu lourd tout de même, on peut faire plus court !
Créer un mot de passe différent pour chaque site peut s'avérer compliqué. Personnellement j'utilise Lastpass, un outil qui génère et sauvegarde un mot de passe pour chaque site ou l'on s'inscrit. C'est vraiment utile !
Vous n'avez encore rien vu. L'imprudence qui vous pousse à mettre votre mot de passe sur les réseaux sociaux vous causera plus de tord que de bien.
Je pense que le mieux serait d'éviter d'utiliser ses mots de passe dans les réseaux sociaux et sites du genre.
La politique de confidentialité des Réseaux sociaux devrait aussi être repensée.
Cela devrait être repensé, mais les internautes aussi devraient savoir sécuriser leur mot de passe aussi.
Le mot de passe est aujourd'hui devenu aussi vulnérable. Le plus grave aujourd'hui est que les internautes utilisent un seul mot de passe pour les réseaux sociaux et même pour leur courriel professionnel
pour moi il n'existe pas de mot de passe parfait, il faut le changer périodiquement, les mots passe trop faible sont certes à éviter mais quand c'est trop fort aussi, on risque d'avoir des problèmes pour le retenir
J'ai pas moi aussi idée de ce que veut dire un mot de passe parfait. Même s'il est long est complêxe, les pirates ont leurs techniques. Donc...
il faut aussi changer de mot de passe au moins tous les mois, il n'y a pas de mot de passe parfait pour moi, surtout avec l'existance des logiciels espions
Le mot passe parfait n'existe pas si l'on a besoin de cracké un mot de passe peut importe le temps qu'il faut on y arrive toujours au final...
il faut utiliser des mots de passe différents, des chiffres et des signes, pour que le niveau de sécurité soit un peu élevé, c'est le meilleur moyen de préveni le piratage.
Blogueur, codeur, consultant dans le domaine du marketing digital et fondateur du portail Surfandbiz et de sites e-commerce. Le blogue bilingue traite de l'actualité high-tech, de l'Internet Mobile, du e-marketing, du social media et des dernières tendances du Web.