Les mots de passe

Un mot de passe doit être compliqué

Mais ça veut dire quoi compliqué ?

Est-ce que l33t$pe4k est plus compliqué que ChevalPoneyÉcureuil ? ou encore que : Ilétaitunefois_unefillederoi_aucoeurpleindetristesse ? En tout cas, il y en a qui sont plus facile à retenir !

Si on regarde les différentes attaques, on observe classiquement :

  • attaque par mots de passe couramment utilisés : genre 123456 ou 000000 ou encore password... et le pire, c'est que ça marche encore !
  • attaque par dictionnaire : on teste tous les mots des dictionnaires dans différentes langues
  • attaque par brute force : on essaye les combinaisons de caractères : aa, ab, ac... aaa, aab, aac... aaaa, aaaab, aaaac... en prenant en compte tous les caractères
  • attaque par social engineering : après enquête sur vous (c'est fou ce que les gens laissent sur les différents réseaux sociaux !), ou même en allant fouiller les poubelles de votre immeuble, on recherche les mots de passes que vous pourriez utiliser : nom du chien, de la copine, des gosses, dates de naissances, de mariage...
mdp
La complexité est plus faible que la longueur

Aujourd'hui, les ordinateurs faisant tellement de calculs en une seconde, que l'idée est de ralentir l'accès : le plus important c'est la longueur du mot de passe !

Les mots de passes doivent être différents sur chaque site

Très souvent, un utilisateur possède un super mot de passe (ou au mieux 3 ou 4) et le réutilise de partout.

Admettons que je crée un site pirate avec des super promesses de téléchargements, à condition que vous inscriviez (email + mdp), quel pourcentage de change ai-je que le mot de passe me permette aussi l'accès au mail ?

Et maintenant, le super mot de passe que vous avez mis sur le site super important pour bloquer l'accès aux méchants... est-ce que je ne peux pas demander un truc genre « mot de passe oublié » qui me renvoi un mail pour le réinitialiser ? Du moins, à celui qui a accès au mail ?

Et je ne parle pas des sites qui stockent en clair votre mot de passe dans leur base de données, n'est-ce pas Viapress ? (cf. TF1 qui s'est fait pirater en début d'année : 1,9 millions de données envolées). Un éditeur n'a pas à connaitre votre mot de passe, alors s'il vous le renvoi par mail lors de votre inscription, c'est déjà qu'il a tout faut... Ha ben si, j'en ai parlé...

Pour remplacer votre mémoire

Personnellement, j'utilise le logiciel Keepass qui crée et mémorise les mots de passe à ma place.

Le tout est enregistré dans un fichier encodé avec un accès protégé par un... mot de passe : mais un seul à retenir, ça peut être un super balaise (n'oubliez pas, c'est la taille qui compte) !

Les mots de passe c'est pas tout !

Abusez aussi des doubles authentifications : un mot de passe + un contrôle de possession (fichier, autre compte, matériel...).

Pour Keepass par exemple, vous pouvez faire en sorte qu'il faille le super mot de passe pour ouvrir la base, et en plus un petit fichier que vous stockez sur un disque ou une clé USB : il faudra impérativement les deux pour ouvrir votre base.

Ou encore Google Authenticator par exemple : il faut le mot de passe + un numéro généré toutes les minutes sur votre téléphone (votre smartphone étant lui même protégé par un mot de passe évidemment).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.