Actualités et Cultures Numériques

Créer un mot de passe parfait

  • web
  • Par Patrick Dudouit
  • |
  • Publié le , 04 Avril 2012 23:40:14
  • Réagir
Une étude scientifique révèle que partout dans le monde des internautes choisissent des mots de passe trop simples pour protéger des informations personnelles. Ce billet vous propose quelques pistes pour utiliser des mots de passe plus sûrs.
post
Credits
Image voir Notes de fin - Article: , Surfandbiz

Scientifique en cryptographie et candidat doctorant en sécurité informatique à l'université de Cambridge, Joseph Bonneau vient de terminer une étude titanesque sur la sécurité des mots de passe et nous livre d'ores et déjà quelques constats alarmants: 1% de l'ensemble des mots de passe peuvent être devinés en 10 essais, seuls les aînés suivent une attitude plus sécuritaire pour générer des mots de passe, ou pire encore, les personnes qui se font pirater leur mot de passe ne sont pas pour autant plus vigilants après cette mauvaise expérience. En bref, on peut mieux faire en matière de sécurité... et les résultats complets de ces recherches sur un échantillon de 70 millions de mots passe seront révélés en mai, lors d'une conférence sur la sécurité au Royaume Uni.

Fort de ces premières observations, ce vaste sujet apporte quelques pistes de réflexions sur les éléments à intégrer dans une démarche de génération de mots de passe pour les outils numériques. Les données et les enjeux sont simples, vous avez besoin de consulter régulièrement vos divers comptes en ligne avec des mots de passe créés par vos soins, mais si des intrus subtilisent ces informations tout peut arriver ensuite. L'étude de Joseph Bonneau révèle un élément sécuritaire essentiel, la plupart des mots de passe ne sont pas assez forts, donc il est primordial de réfléchir en priorité à des mots de passe plus sûrs.

Autres particularités importantes : le niveau de sécurité d'un mot de passe est proportionnel à sa longueur et la diversité des caractères qui le compose. Souvent, on choisit un mot du langage courant, par peur de l'oublié, or c'est justement dans ce contexte que le niveau de sécurité est le plus faible. Un mot de passe avec un niveau de sécurité normal devrait se composer de caractères spéciaux (é,è,ç,à...), de symboles (#,%,µ,*...), de chiffres, et bien sûr de lettres minuscules et majuscules. Enfin, il doit apparaitre comme une chaîne aléatoire incompréhensible avec un minimum de 12 caractères ou plus, pour renforcer sa robustesse et sa longévité sécuritaire.

Une astuce pour rendre aléatoire un mot, est d'utiliser, un inverseur de mots en ligne. Par exemple ici, pour « chemin constantini » on obtient : nimehc#nitinatsnoc. Notez l'utilisation du symbole #, dont on se sert ici comme séparateur pour marquer l'espace, mais qui est en fait une clé supplémentaire de sécurité. Plus de 95 symboles, chiffres et lettres sont proposés sur un clavier numérique, ce qui aide à compliquer le décryptage des mots de passe. Pour paré au plus pressé, il existe aussi des générateurs de mots de passe en ligne. En prenant quelques mesures simples et surtout en les combinants, vous multipliez à chaque fois le degré de protection de vos mots de passe et c'est toujours mieux que rien. On considère par exemple qu'une combinaison unique de 15 chiffres ou de lettres choisies aléatoirement, est 33000 fois plus sûr qu'un mot de passe de 8 caractères issus du clavier.

Une autre méthode simple, est de convertir une phrase de la littérature classique en mot de passe. Prenez la première lettre de chaque mot de la phrase, pour créer un nouveau mot, puis la deuxième lettre de chaque mot pour en créer un autre, et ainsi de suite. Vous pouvez inventer d'autres règles de ce type, et c'est un système souvent plus facile à retenir que plusieurs mots de passe à choisir dans un calendrier. Il est important aussi d'éviter les mots des dictionnaires quelque soit la langue, le format date de naissance, les noms de communes et tout ce qui peut rentrer immédiatement dans la logique de recherche d'un algo pour un but malveillant. Avec l'évolution des nouvelles technologies et l'accélération de la vitesse de traitement des données, les experts recommandent d'ailleurs de plus en plus de choisir de longs mots de passe sous la forme de phrases mnémotechniques assez courtes et faciles à retenir.

Le quotidien Wall Street Journal a établi la liste des 50 mots de passe les plus populaires et les moins sécurisés, mais toujours dans l'ère du temps. On y retrouve les séquences de caractères, « 123456 », « abc123 », « 111111 », des noms trop connus, par exemple « password », « superman », « football », « qwerty », qui sont des mots de passe faibles et faciles à deviner. Ces choix sont vraiment étonnants, car il est important de garder à l'esprit qu'un mot de passe n'est pas indéchiffrable dans le temps, donc s'il est trop simple à trouver, sa longévité est forcément en péril. Selon certaines recherches en sécurité numérique, la durée de vie de mots de passe triviaux de 8 caractères est de 7 jours, alors qu'il faudrait plus de 17 000 ans pour découvrir un mot de passe plus complexe de 12 caractères.

Bien sûr, d'autres règles sont a creuser pour réhausser le niveau de sécurité d'un système d'information, par exemple, changer son mot de passe régulièrement, ne pas le taper au clavier mais le copier/coller, ou bien encore, éviter de le faire retenir par son navigateur. Loin de démontrer toutes les failles d'un système, ces quelques pistes, débuts de réponses et suggestions, ont pour but de sensibiliser les utilisateurs sur l'intérêt de renforcer les mots de passe pour s'assurer un minimum de sécurité en ligne.

Notes

[1] Crédits photo : Ron Bennetts (Creative Commons By-SA)

Patrick Dudouit

Perspectiviste et agitateur de dynamisme numérique, Patrick partage ses découvertes sur le web, les startups et les applications... codeur, consultant webmarketing, éditeur de Surfandbiz, testdeprix et de sites e-commerce.

  • A la Une en ce moment sur le réseau

       Suivez sur Twitter les gazouillis et l'info en continue sur les tags :
A lire aussi
Ajouter un commentaire
Sylvain
Ecrit le 05 06 2013

Après avoir lu cet article je ne me sens plus du tout en sécurité et je pense modifier mes mdp.Je ne pensais pas que ça prenait aussi peu de temps pour les trouver ..

Ecrit le 05 04 2012

Oula, je me rappelle dans les années 2000, je n'utilisais qu'un mot de passe, et celui-ci est cité dans votre article, ca ne m'étonne donc pas que plein de mondes les utilises ceux-ci. Mais je suis content d'avoir pris le temps de tous les modifier il y a quelques années...

ghislain guay
Ecrit le 06 04 2012

bonjour à vous, je suis tout à fait d'accord avec ça !!! ps: je fais circuler à bon entendeur salut!!! bien à vous ghislain guay

Gabby
Ecrit le 05 04 2012

On y pense pas forcément, mais pour se préserver d'un attaque dico, il vaut mieux supprimer les mots provenant d’un dictionnaire, je retiens aussi l'idée de séparer les mots par un nombre et insérer un symbole par exemple, finalement l'internaute lambda apprécie l'évolution technologique mais a tendance à oublier qu'il faut aussi s'adapter aux problèmes de sécurité.

Ecrit le 19 04 2012

Merci, cet article est très intéressant, pour ma part, j'avais l'habitude d'utiliser le même mot de passe dans plusieurs sites et comptes depuis longtemps jusqu'au jour ou je me suis fait pirater, du coup j'ai changé de stratégie et j'adopte des mots de passe très longs composés de lettres et de chiffres et de symboles combinés entre eux.

Ecrit le 04 05 2012

Le problème avec les mots de passe type "jklreJKk##12" c'est qu'ils sont impossibles à mémoriser... Que font les utilisateurs ? Ils les écrivent sur un post it dans leur portefeuille ou collé sur l'écran del'ordinateur !En fait l'important pour un mot de passe c'est surtout sa longueur. Un autre article proposait de plutôt utiliser une phrase du type "Je me suis marié le 17 septembre". Même si les mots utilisés sont simples, la longueur le rend inattaquable en "force brute".

indra
Ecrit le 06 03 2013

Très juste Damien, c'est dans l'article d'ailleurs : les experts recommandent d'ailleurs de choisir de longs mots de passe sous la forme de phrases mnémotechniques. Mais il faut bien remplacer les espaces, donc on peut très bien décider un fois pour toute de remplacer l'espace par un symbole # par exemple, alos pour finir cela donne Je#me#suis#marié#17#septembre. C'est peut-être costaud mais un peu lourd tout de même, on peut faire plus court !

Ecrit le 13 06 2012

Créer un mot de passe différent pour chaque site peut s'avérer compliqué. Personnellement j'utilise Lastpass, un outil qui génère et sauvegarde un mot de passe pour chaque site ou l'on s'inscrit. C'est vraiment utile !

Ecrit le 05 06 2013

Vous n'avez encore rien vu. L'imprudence qui vous pousse à mettre votre mot de passe sur les réseaux sociaux vous causera plus de tord que de bien.

Ecrit le 23 08 2012

Je pense que le mieux serait d'éviter d'utiliser ses mots de passe dans les réseaux sociaux et sites du genre.

Ecrit le 03 09 2012

La politique de confidentialité des Réseaux sociaux devrait aussi être repensée.

Ecrit le 27 09 2012

Cela devrait être repensé, mais les internautes aussi devraient savoir sécuriser leur mot de passe aussi.

Ecrit le 28 11 2012

Le mot de passe est aujourd'hui devenu aussi vulnérable. Le plus grave aujourd'hui est que les internautes utilisent un seul mot de passe pour les réseaux sociaux et même pour leur courriel professionnel

Ecrit le 10 12 2012

pour moi il n'existe pas de mot de passe parfait, il faut le changer périodiquement, les mots passe trop faible sont certes à éviter mais quand c'est trop fort aussi, on risque d'avoir des problèmes pour le retenir

Ecrit le 11 12 2012

J'ai pas moi aussi idée de ce que veut dire un mot de passe parfait. Même s'il est long est complêxe, les pirates ont leurs techniques. Donc...

Ecrit le 13 01 2013

La protection de mot de passe, un sujet toujours d'actualité.

Ecrit le 11 02 2013

il faut aussi changer de mot de passe au moins tous les mois, il n'y a pas de mot de passe parfait pour moi, surtout avec l'existance des logiciels espions

Ecrit le 18 03 2013

Le mot passe parfait n'existe pas si l'on a besoin de cracké un mot de passe peut importe le temps qu'il faut on y arrive toujours au final...

Ecrit le 12 04 2013

il faut utiliser des mots de passe différents, des chiffres et des signes, pour que le niveau de sécurité soit un peu élevé, c'est le meilleur moyen de préveni le piratage.

Ecrit le 16 07 2013

Pour quelles raisons ne faut-il pas taper son mot de passe mais le coller ?Nous ne trouverons jamais le mot de passe parfait, il y aura toujours quelqu'un de patient qui trouvera le script permettant de le découvrir.

Ecrit le 07 05 2014

Je pense qu'il n'y pas de MDP efficace, un hacker si il souhaite allez sur un site protéger il sera quoi faire.Mais c'est clair qu'il faut éviter les MDP un peu "light" du genre 123456 ou encore AZERTY

A propos du bon usage des commentaires:
Cet espace d'expression est en Dofollow et ne nécessite pas d'inscription pour commenter. Bien entendu, chacun est invité à la discussion dans le respect de la Netiquette et des us et coutûmes en général. N'oubliez pas de répondre à la petite question de math anti-spam !