Les mots de passe

Nous avons vu au cours des diverses pages sur la sécurité, l'importance d'utiliser des "mots de passe". Ce n'est pas la peine de parler ou de dire que votre système est bien sécurisé parce que vous utilisez une armada de logiciels de protection, alors que votre session utilisateur n'utilise aucun mot de passe, c'est comme si vous aviez fermé les fenêtres et laissé la porte d'entrée de votre maison ouverte!

Vous l'avez compris, les mots de passe sont très importants dans une démarche de "sécurité". L'inconvénient majeur, c'est qu'aujourd'hui on est amené à utiliser des mots de passe dans de nombreux domaines en informatique, en voici quelques exemples :
- le BIOS
- l'ouverture de session (1 pour chaque session existante)
- la connexion internet
- la protection du firewall
- la protection du routeur (si vous en avez un)
- vos boîtes de messagerie
- vos comptes bancaires sur internet
- vos comptes sur les forums
- vos documents confidentiels
- vos diverses bases de données ou pages de votre site que vous protégez
- etc...

Mémoriser et se souvenir de tous ces mots de passe devient rapidement difficile. Il est donc évident à première vue que de créer un mot de passe en utilisant quelque chose de connu comme : les dates de naissance, les numéros de téléphone, le nom des enfants, du chien ou du président, qui rendront ces mots de passe plus faciles à retenir.
Hélas, c'est trop simple et en faisant cela vous jouez le jeu des pirates, qui arriveront à usurper votre identité en un minimum de temps avec des crackers de mot de passe que l'on trouve sur internet très facilement.
Ce n'est pas la peine non plus de mettre ces mots de passe sur un post-it sous votre clavier, dans vos tiroirs, c'est archi-connu !
N'oubliez pas vos logiciels de surf qui conservent vos données personnelles afin de vous aider, si un pirate accède à votre ordinateur, il aura toutes les portes ouvertes et ceci sans aucun souci!

Pour savoir si vos mots de passe sont solides, il est important de se poser ces questions :

1. Avez-vous écrit sur un bout de papier votre mot de passe ?
2. Votre mot de passe est-il un mot commun que l'on peut trouver dans le dictionnaire ?
3. Votre mot de passe est-il un mot commun suivi de 2 chiffres ?
4. Votre mot de passe est-il un nom de personne, de lieu ou d'animal ?
5. Quelqu'un d'autre connaît-il votre mot de passe ?
6. Utilisez-vous le même mot de passe pour plusieurs comptes et pour une longue période ?
7. Utilisez-vous le mot de passe par défaut du constructeur ou de l'éditeur ?

Si vous avez répondu "oui" à au moins l'une de ces questions, on peut considérer que vos mots de passe ne sont pas efficaces, le choix et l'entretien de ses mots de passe représentent le 1er rempart de la sécurité et de la protection de sa vie privée dans le domaine de l'informatique.

Oui, mais alors, comment faire pour créer de bons mots de passe et pour ensuite les retenir ?

Les règles d'or d'un bon mot de passe

Un mot de passe est strictement personnel :

Ne le confiez à personne, c'est un secret entre vous et votre machine qui ne doit être partagé par personne d'autre. Si vous le confiez à quelqu'un, même à votre ami(e) ou encore à un proche, ce n'est plus un secret et le mot de passe ne joue plus son rôle d'authentifiant. Vous mettez de ce fait en échec la sécurité du système dans son fondement ; dès lors, toutes les mesures que vous pourriez prendre par ailleurs, ne servent plus à rien

Un mot de passe est unique :

n'utilisez pas votre code deux fois, sur deux systèmes ou services différents. Ne réutilisez pas vos mots de passe, créez-en un unique pour chaque compte, service, etc.

Un mot de passe doit être changé régulièrement :

Les mots de passe circulent en clair sur les réseaux. Des techniques simples (sniffers, espions, chevaux de Troie ...), peuvent être mises en oeuvre pour capter le couple (identifiant, mot de passe) à l'insu des utilisateurs et administrateurs. Ces dispositifs peuvent rester en place pendant des mois avant d'être découverts. Pendant ce temps, tapis à l'écoute du réseau, ils captent tous les mots de passe qui circulent. C'est pourquoi, même robuste, un mot de passe doit être modifié régulièrement - au moins tous les trois mois.

Il ne faut pas écrire ses mots de passe :

Mettre ses mots de passe sur un support (carnet, papier volant, etc.) n'est pas une bonne idée, c'est la première chose que tentera de trouver le "pirate", fouiller les tiroirs, vérifier sous le tapis de la souris ou sous le clavier, néanmoins, la méthode de Vazkor à ce propos est intéressante et apporte une autre approche.

Un mot de passe doit être difficile à trouver, mais facile à retenir :

Ne l'inscrivez nulle part, ne le stockez pas dans un fichier électronique, et n'activez pas l'option permettant d'enregistrer votre mot de passe (parfois traduit par "se souvenir" ou "se rappeler" du mot de passe) dans un logiciel de communication en réseau. Ne pas stocker ou mémoriser vos mots de passe sous une forme non cryptée sur votre ordinateur. Ceci inclut bien sûr les fonctions de mémorisation des mots de passe du navigateur, de l'accès réseau ou du système d'exploitation,etc...
Mais cette exigence pose un problème de mémorisation, qui devient insurmontable lorsqu'on a plusieurs mots de passe à se rappeler et qu'on applique scrupuleusement les règles ci-dessus. C'est pourquoi un mot de passe ne peut être un pur aléa. Il faut avoir une règle de constitution mnémotechnique que nous verrons par la suite

Un mot de passe ne doit pas pouvoir être trouvé dans un dictionnaire :

Votre mot de passe doit contenir un mélange de caractères alphanumériques et de caractères spéciaux (- + #ù|! § %, ...), il doit être composé d'au minumum 8 caractères ou voire plus en fonction de ce que vous souhaitez protéger.

Créer et retenir ses mots de passe

Il existe plusieurs moyens, méthodes pour retenir les mots de passe sans les noter, en voici quelques-uns

Utilisez des acronymes :

Prenez un livre ou un document que vous avez souvent à portée de main. Ouvrez le à une page (vous aurez avec le numéro de la page les chiffres à utiliser dans le mot de passe). Prenez ensuite la première lettre des huit premières lignes de texte sur la page, et ajoutez y le premier signe de ponctuation présent sur la page. Vous aurez un mot de passe du type (en prenant cet article comme exemple)
Résultat : 7lnouvo--,
La seule chose dont vous devez vous souvenir c'est le titre du livre et le numéro de la page pour retrouver facilement le mot de passe. Lorsque vous aurez à changer de mot de passe il suffira de tourner la page pour avoir un nouveau mot de passe.

Utiliser un procédé mnémotechnique

En retenant les initiales d'une formule
Exemple : « Zut j'ai encore oublié !»
Résultat : Zj'aeo!

Méthode poétique ou les phrases clés:

Elle consiste à apprendre un vers, une citation ou un dicton par coeur et à constituer le mot de passe en prenant un caractère de chaque mot. Exemple : « Les gens bien portants sont des malades qui s'ignorent ». Pour chaque mot de la citation qui possède plus de trois caractères, vous prenez le premier caractère. Les autres mots sont ignorés. vous alternez 1 minuscule, une virgule, 2 majuscules, un point-virgule, 2 minuscules, 1 majuscule, pour que la chaîne fasse 8 caractères ou voir plus
Résultat : g,BP;smI
Maintenant on peut aussi prendre la 3ème lettre de chaque mot, en alternant une majuscule et une minuscule et en incluant un caractère spéciale de votre choix "[" à la quatrième position du mot de passe
Résultat : SnEr[NsLiG

Méthode par substitution

Vous apprenez par coeur une chaîne {C} de caractères spéciaux. Par exemple : {| + $ / ? £ @ }. Vous prenez un mot ou un nom que vous pouvez retenir facilement. Par exemple : Maurice. Vous remplacez les voyelles par les caractères successifs de la chaîne {C}. Vous mettez une majuscule à chaque bout du mot et vous le complétez, si nécessaire, à 8 caractères avec le reste de la chaîne {C}.
Résultat avec 8 caractères : M|+r$C/?
On peut faire la même chose avec 10 caractères, en ajoutant un caractère spécial au début et à la fin du mot (le 1er et le dernier caractère de votre chaîne)
Résultat avec 10 caractères: |M+$r/C?@
Quand vous changez votre mot de passe, vous ne changez que la « graine » (ici Maurice) et vous gardez toujours la même chaîne {C} que vous mémorisez définitivement. Avec un peu d'entraînement, l'opération de composition du mot de passe se fait facilement mentalement. Les mots ainsi obtenus sont très robustes.
La même chose en changeant le nom : germaine : |G+rm$/N?@

A vous de faire votre choix, de mélanger le tout ou de trouver d'autres solutions en laissant libre cours à votre imagination !

La méthode qu'utilise Vazkor pour ses mots de passe

Pour ceux qui ne connaissent pas Vazkor, il est modérateur sur le site d'assiste.com, il a écrit un post sur la façon de créer ses mots de passe très intéressant, avec son accord, j'ai repris l'intégralité de son post : ici et dont je vous fais profiter.

Posté le: Lun 04 10 2004 à 17 46 Sujet du message: Se créer un mot de passe solide

Vous pouvez utiliser un générateur de mots de passe et en choisir un qui à l'air de vous plaire, mais ce mot de passe sera complètement aléatoire et vous serez obligé de le noter quelque part, ce qui est une autre faille dans votre sécurité.

Si vous devez noter des mots de passe, faites-le dans un carnet (pas sur feuilles volantes) que vous rangez quelque part, de préférence pas à côté du PC et sous clé si nécessaire. Et profitez de ce même carnet pour y noter les coordonnées, login et mot de passe utilisés sur différents sites et les codes des programmes que vous avez payés, tant que vous y êtes.

Certains programmes permettent de conserver ces mots de passe sur votre PC en les cryptant et en protégeant le tout par un seul mot de passe. C'est très bien, sauf si vous avez un crash et que vous n'y avez plus accès. Même une disquette peut être impossible à relire. Rien ne remplace donc le papier, le crayon et la gomme, ce qui permet de corriger/modifier/supprimer sans raturer.

Revenons à nos moutons, comment choisir un mot de passe à la fois solide mais facile à retenir?

Vous savez sûrement que pour être solide un mot de passe doit être composé d'un minimum de 8 caractères et ne pas être facile à deviner ou trouver dans un dictionnaire. Donc pas de prénom, nom de famille, date de naissance qui ont un rapport avec vous. Pas de Admin, Dieu, Moi, etc.
Il vous faut créer un mot de passe qui ait tout à fait l'air aléatoire et utilise tout le jeu de caractères disponible sur votre clavier, donc des minuscules, majuscules, chiffres et caractères spéciaux.
Une attaque par force brute sera d'autant plus difficile (plus longue voire impensable) que le mot de passe sera long et qu'il utilisera des caractères parmi tout le jeu étendu disponible sur votre clavier.

Avec six caractères:

- rien que des chiffres, 0 à 999.999 -> 1 million de possibilités (10^6). Statistiquement, après 10^6/2 soit 500 000 essais, votre mot de passe sera découvert, càd en quelques secondes sur un PC moderne.
- rien que des minuscules, aaaaaa à zzzzzz -> 26^6 possibilités ~ 309 millions
- en utilisant tous les caractères affichables facilement disponibles:
10 chiffres, 52 lettres, la quarantaine de signes de ponctuation et caractères spéciaux, cela fait plus de 100 caractères. Vous avez plus de 100^6 possibilités, plus de 1000 milliards (1.e+12)

Avec 14 caractères,
cette dernière valeur passe à plus de 8.69e+50 possibilités!

Comment décider du nombre de caractères à utiliser?

Vous n'avez pas besoin de la même solidité pour protéger votre compte sur un groupe de discussion ou sur un forum que pour protéger votre compte administrateur sur votre PC. Disons que pour les forums, etc. huit caractères c'est plus que suffisant. Par contre, utilisez toujours 14 caractères ou plus pour votre compte Admin.

Il n'est pas nécessaire de créer des mots de passe différents pour les forums, vous pouvez en avoir quelques-uns toujours les mêmes, que vous réservez à cet usage. Si vous ne savez plus lequel vous avez utilisé lors d'une inscription, il vous suffit de les essayer l'un après l'autre.

Comment créer un mot de passe solide mais très facile à retenir (et à retrouver en cas d'oubli partiel)? Il existe plusieurs méthodes, mais celle que je préfère est la suivante.
Choisir une phrase que vous ne risquez pas d'oublier: un souvenir d'enfance, un événement personnel, un vers ou une citation ou un non-sens total (plus c'est loufoque, mieux c'est).
Prenez les premières lettres de tous les mots (éventuellement en négligeant les mots de moins de quatre caractères, autre que les verbes et les noms) et gardez la ponctuation existante:
Ne pas oublier de sortir les poubelles le mardi! -> donne comme résultat : Npodslplm! (10 caractères. C'est déjà bien!)
Maintenant nous allons le durcir en remplaçant des minuscules par des majuscules: prenons comme convention de mettre les initiales des noms communs en Majuscule, à la mode allemande -> NpodslPlM!
Introduisons des chiffres et caractères spéciaux supplémentaires en jouant sur les ressemblances avec les lettres: o -> 0 (zéro), l -> 1, s ->$, g -> 9, etc. en ne remplaçant que la première occurrence de la lettre.(Utilisez toujours le même jeu d'équivalences que vous pouvez bien sûr afficher en clair à côté de votre PC, mémoriser dans un fichier texte)
NpodslPlM! donne facilement Np0d$1PlM!
(Maintenant que vous l'avez, notez le dans votre petit carnet secret, par pure précaution, ou mettez le sur un bout de papier dans une enveloppe scellée et rangez le tout en lieu sûr.)

Si vous tenez à utiliser des mots de passe différents sur chaque forum, ajoutez les initiales du forum devant ou derrière votre mot de passe de base, qui deviendrait donc : fAc-Np0d$1PlM! ou Np0d$1PlM!-fAc pour les forums d'Assiste.com.
Vous avez maintenant obtenu sans problème un mot de passe extrêmement solide de 14 caractères. Même la NSA s'y casserait les dents.
Faites preuve d'imagination!

Comme phrase de base vous pouvez très bien utiliser l'adresse de vos beaux-parents que même vos proches ne connaissent sûrement pas:
Trucmuche,hôtel Georges V, 269 Av des Champs-Elysées, Paris (N° au hasard) donnerait directement T,hG5,269AdC-E,P

Autre exemple, à ne pas utiliser parce que académique:
Tous pour un, un pour tous! donne Tp1,1pt! (huit caractères et déjà très bon s'il n'était pas archi-connu)

Pour PGP, qui utilise une phrase de passe comme clé, j'utilise un moyen mnémotechnique semblable et je peux même laisser traîner ma clé sur le PC sans risque. Pourquoi? Parce que je n'écris que:
"la_courte_phrase_loufoque Code PLAQUE" où Code est mon code de carte bancaire, que je suis le seul à connaître, et Plaque c'est le N° d'immatriculation de ma dernière voiture, dont je suis certain que personne, pas même mon fils, se souvient. Seule la phrase loufoque est en clair. Ce que je note est donc du genre: Quand les poules auront des dents Code PLAQUE

En conclusion

Il existe des logiciels qui permettent de créer des mots de passe aléatoires et aussi les conserver sur votre disque dur, je trouve que ce procédé n'est pas le plus facile puisqu'il est plus difficile de retenir un mot de passe compliqué que de retenir une phrase connue de vous ou un dicton. De plus si votre disque dur "crache" vous perdrez tous vos mots de passe, c'est pourquoi, je ne donne pas de lien sur ces logiciels.
Avec ces quelques méthodes décrites ici, vous allez pouvoir mieux sécuriser votre système et ainsi retenir plus facilement vos mots de passe. Mais sachez qu'aucun mot de passe n'est inviolable, ce n'est qu'une question de temps!

Au fait, je ne vous ai pas donné ma méthode ! Normal, c'est un secret entre moi et moi ! Allez, à vos dictons :P

Tesgaz le : 25/09/2005

- Article suivant :

- Retour : la sécurité

- Haut de page -