Mots de passe et Sécurité

laptop-thief.jpg

Mots de passe et Sécurité

(choisir un mot de passe sûr et facile à retenir)


Les enjeux liés aux mots de passe

Que vous soyez particulier ou professionnel, certains principes liés à la sécurité restent les mêmes:

  • Vous êtes la première sécurité de votre ordinateur
  • Ne jamais utiliser le même mot de passe pour deux choses différentes
  • Un mot de passe compromis peut engendrer d'immenses coûts

En effet, la personne du service informatique qui vous demande de changer vos mots de passe régulièrement et d'enlever le post-it caché sous votre clavier avec tous vos mots de passe ne le fait pas par plaisir mais parce que, croyez le ou non, le mots de passe Azerty1234est une immense faille de sécurité qui peut finir par coûter des millions à une entreprise ou la forcer à fermer.

Les mots de passe à base de "azerty", "Comptabilité2021", "Bonjour1!" ou autres "NomDEntreprise2021" sont litteralement les premiers qu'un intrus essaiera.

Vous allez me dire "Il est bien gentil le gars de WeeeFund, mais moi j'ai 15 mots de passe à retenir et puis l'informatique c'est pas mon métier à la base etc...", qu'à cela ne tienne, voici un guide pour vous aider à choisir des mots de passe sécurisés ET faciles à retenir.

Un jeu assez interessant est d'utiliser le site howsecureismypassword.net 
Ce site permet d'évaluer combien de temps il faudrait à l'ordinateur d'un hacker pour trouver votre mot de passe automatiquement. Il se sert de la longueur du mot de passe et de sa complexité.

Ne tapez jamais vos vrais mots de passe sur un site inconnu.

Exemples:
Le mot de passe tchoupi69 ne tiendra que 42 minutes. Pour un ordinateur de hacker qui tournerait en permanence ça voudrait dire  qu'entre le moment où vous avez quitté le bureau à 17h et quand vous y retournez le matin à 9h, votre mot de passe a pu être craqué 25 fois

Screenshot-20210809083809-738x249.png

En revanche avec un mot de passe comme IlJou4!tDuP!4noDebout, on arrive tout de suite à des durées immenses et ridicules. Et même si les hackers ont des méthodes plus poussées pour deviner ce genre de mot de passe, nous sommes déjà à des années lumières de tchoupi69qui est craquable au moins 25 fois en une nuit et azerty qui est litteralement le premier mot de passe qui sera essayé à chaque fois.

Screenshot-20210809084431-727x240.png

(soit 1 000 000 000 000 000 000 000 000 000 000 000 000 années)


Les 3 règles pour choisir un bon mot de passe

Pas une, ni deux, ni quatre mais bien 3 règles pour créer un bon mot de passe.

  1. Votre mot de passe doit faire au moins 12 caractères de long.
  2. Votre mot de passe doit contenir des caractères spéciaux ($%*#), des majuscules, des minuscules et des chiffres.
  3. Votre mot de passe doit être facile à retenir.

Les deux premières règles peuvent sembler contradictoire avec la 3è mais pas du tout.

Dans un monde parfait, un bon mot de passe ça ressemble moins à tchoupi69 et plus à ça: g2myk5WVX5FwVj%dfJXa#3dMotiiauLXxA@ZzcR#7uWpjfv3rHHvKNzmTgzpyMTb%oWtn$U8C#9wgcBjp3Tb9jqA&EdHFskRY^XNSinmi9z!nR6E*$RRp&ufMuWJJb4@mais on a bien conscience du fait que c'est impossible à retenir et à taper, c'est pour ça qu'on a inventé d'autres méthodes.


Inventer un bon mot de passe

Une méthode simple est de prendre une phrase facile à retenir et qui vous marque (une pass-phrase) comme:

Je n'ai qu'une philosophie, être acceptée comme je suis.

Et de la modifier en deux étapes:

  1. On enlève les espaces etc... et on met des majuscules à chaque mot
    JeNAiQuUnePhilosophieEtreAcceptéeCommeJeSuis
  2. On choisit certaines lettres que l'on va remplacer systématiquement par des chiffres ou des caractères spéciaux
    Par exemple, on prend les A et on en fait des 4, les E deviennent des €, les i deviennent des ! et les S deviennt des 5
    JeN4iQuUn€Ph!lo5oph!€€tr€4cc€pté€Comm€J€5u!5

En se fixant des règles comme celles-ci, on peut facilement transformer une phrase facile à retenir en un mot de passe très sécurisé:
Screenshot-20210809085955-734x247.png

(Soit 100 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 années)

Si pour x ou y raison la deuxième étape est trop compliquée: privilégiez la longueur de votre mot de passe

Il vaudra toujours mieux avoir comme mot de passe:

LeMondeSeDiviseEnDeuxCatégoriesCeuxQuiOntUnFlingueChargéEtCeuxQuiCreusentToiTuCreuses@69 que tchoupi69.

Ces méthodes sont particulièrement sensibles aux attaques faites à l'aide d'un dictionnaire.


Utiliser un gestionnaire de mots de passe

Si vous êtes en entreprise, demandez à votre service informatique si vous avez le droit d'en utiliser un ou si votre entreprise en utilise déjà un.

Comme dit plus haut, un vrai bon mot de passe ça ressemble plutôt à:
g2myk5WVX5FwVj%dfJXa#3dMotiiauLXxA@ZzcR#7uWpjfv3rHHvKNzmTgzpyMTb%oWtn$U8C#9wgcBjp3Tb9jqA&EdHFskRY^XNSinmi9z!nR6E*$RRp&ufMuWJJb4@

Le seul petit souci c'est que c'est impossible à retenir pour un humain... et ça tombe bien car on a des ordinateurs.
Un gestionnaire de mot de passe est un logiciel qui va retenir vos mots de passes pour vous, les chiffrer et vous permettre de simplement les copier-coller quand vous voulez vous connecter. Vous devrez simplement retenir le mot de passe de votre gestionnaire pour acceder à tous les autres.

Les avantages:
  • Permet d'utiliser des mots de passes très longs et compliqués
  • Un seul mot de passe à retenir
  • Permet de changer régulièrement ses mots de passe sans les oublier
  • Certains gestionnaires s'intègrent dans votre navigateur
  • Certains gestionnaires se synchronisent dans le cloud et avec votre téléphone
Les inconvénients:
  • Si quelqu'un trouve le mot de passe de votre gestionnaire, tous vos mots de passe seront compromis
  • Si vous perdez le mot de passe de votre gestionnaire, vous perdez tous vos mots de passe
  • Pour la plupart des gestionnaires, les mots de passe sont stockés dans un fichier chiffré sur votre ordinateur, si vous perdez ce fichier vous perdez tous vos mots de passe
  • Sans synchronisation automatique, l'utilisation d'un gestionnaire sur plusieurs postes devient compliquée si vous ne les tenez pas à jour

Quelques gestionnaires de mots de passe

Il est préferable d'utiliser un gestionnaire de mot de passe certifié par l'ANSSI, surtout si vous êtes une entreprise.
Screenshot-20210809093809-568x291.png

  • KeePass (Open Source et gratuit | Certifié CSPN ANSSI pour sa version portable 2.10)
  • LockPass (Français et payant | Synchronisable | Certifié par l'ANSSI)
  • BitWarden (Gratuit pour les particuliers et Open Source)
  • Dashlane (Payant)

Liens annexes: