Bien choisir son mot de passe

Vous avez tous une adresse mail, un facebook ou bien un compte en banque. Le point commun entre ses trois points est l’utilisation d’un compte sécurisé par un mot de passe. Si pour les banques, le mot de passe est la plupart du temps imposé, ce n’est pas le cas de vos comptes mail et si vous tenez à en garder le contenu privé il faut choisir un mot de passe conséquent.

Pour choisir un mot de passe, il faut d’abord identifier trois facteurs: la confidentialité (à moins d’un usage assez étrange, vous n’aurez pas besoin d’un mot de passe trop complexe pour votre compte deezer), le service (sur les comptes hotmail, il existe, à l’instar des portables, une limite de saisie avant de bloquer temporairement l’accès) et la menace (Votre petite sœur se lassera sûrement après trois essais, un logiciel non). En prenant en compte, ces trois facteurs, il convient de mettre en place une échelle de sécurité. Une identification sensible (accès bancaire ou Paypal) nécessitera un mot de passe complexe tandis q’un accès physique à votre ordinateur ne nécessitera jamais qu’un peu d’originalité, une simple recherche dans le dictionnaire avec un peu d’originalité est suffisante. Qui a déjà vu « Uniate sarcastiquE » comme mot de passe?

Une fois cette approche achevée, la construction d’un mot de passe fiable peut commencer. Il est inutile de se faire d’illusion, un mot de passe fiable est composé de majuscules, minuscules, nombres et symboles de préférence dans un ordre chaotique. Il s’agit alors d’en créer facile à mémoriser pour vous mais difficile à première vue.Pour cela prenez une phrase quelconque (réplique de film ou issue d’un texte) que vous retiendrez, puis sélectionnez la première ou la dernière lettre de chaque mot et transposez là de manière à former un mot de passe. Ainsi la célèbre phrase « Quand on attaque l’Empire, l’Empire contre-attaque! », peut donner « Qoal’E,c-a! » ou « DoelEx2e-e! » le x2 remplaçant évidemment le doublon.

Ces mots de passe présentent un niveau de protection optimale sauf à vouloir protéger face à des menaces étatiques ou mafieuses. L’usage de caractères accentués, spéciaux ou propres à certaines langues est recommandé mais peut-être dérangeant si vous devez le saisir sur internet ou sur un clavier étranger. Il ne faut JAMAIS noter ce mot de passe sur un post-it ou autre papier à porté du bureau. Dans certains bâtiments administratifs, j’ai pu découvrir le mot de passe de chaque machine noté sous le clavier … (on me souffle dans l’oreillette que ça se trouve aussi dans le privé.)

Un contre-exemple à la rédaction d’un mot de passe avec majuscules/minuscules/nombre est l’usage fréquent du modèle Prénom1999 ou tout dérivé similaire. Outre le fait qu’une attaque ciblée contre vous portera certainement sur ce type de valeur (et ne vous croyez pas plus malin d’avoir choisi Nom12/05), ce type de combinaison est aussi facillement trouvable avec certaines attaques par brute-force.

Si vous voulez un mot de passe à la fois simple à retenir et difficile à trouver, vous pouvez tenter de ne saisir qu’un seul caractère spécial (&@*\$çé…) ce qui en cas de test a peu de chance d’être tenté mais qui se révèle gênant quand quelqu’un regarde par dessus votre épaule ! Et surtout ce mot de passe ne résistera pas à une recherche poussée ou à une bonne politique de mot de passe du site.

Pour les mots de passe simple, il est préférable d’éviter les grands classique comme password, motdepasse, azerty, qwerty, 123456 sans parler des dates de naissance ou les noms des frères et sœurs ! L’attaquant essayera ces mots de passe en premier lieu.

Enfin si l’interface contrôlée par ce mot de passe autorise de nombreux caractères (plus de 12), une série de mots aléatoires représente une bonne solution. On appelle ça une passphrase.

 

En résumé, un bon mot de passe:

  • Doit être proportionné à la menace
  • Doit faire plus de 8 caractères contenir des nombres, majuscules, minuscules (et si possible signes de ponctuation) si l’interface est accessible à l’extérieur
  • Ne jamais être mis par écrit
  • Ne pas être trivial

Faites un geste, pensez aux gens qui essayeront de vous « piratez » votre compte, ne rendez pas ça trop facile! Merci.

Facebooktwitterlinkedin
Pierre d'Huy
Pierre d'Huy est un ingénieur spécialisé dans la sécurité des Systèmes d'Information. Il donne occasionnellement des conférences en école (ESE, ESGI Secure Day...) ou devant des publics non-techniques (Les matinées du droits Lamy, l'AFCDP). Amateur de cryptographie et de cartographie, il propose des articles sur de nombreux sujets qui le passionnent.

Leave a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *