Nous avons vu au cours des diverses pages sur la sécurité, l'importance d'utiliser des "mots de passe". Ce n'est pas la peine de parler ou de dire que votre système est bien sécurisé parce que vous utilisez une armada de logiciels de protection, alors que votre session utilisateur n'utilise aucun mot de passe, c'est comme si vous aviez fermé les fenêtres et laissé la porte d'entrée de votre maison ouverte!
Vous l'avez compris, les mots de passe sont très importants dans une démarche de "sécurité". L'inconvénient majeur, c'est qu'aujourd'hui on est amené à utiliser des mots de passe dans de nombreux domaines en informatique, en voici quelques exemples :
- le BIOS
- l'ouverture de session (1 pour chaque session existante)
- la connexion internet
- la protection du firewall
- la protection du routeur (si vous en avez un)
- vos boîtes de messagerie
- vos comptes bancaires sur internet
- vos comptes sur les forums
- vos documents confidentiels
- vos diverses bases de données ou pages de votre site que vous protégez
- etc...
Mémoriser et se souvenir de tous ces mots de passe devient rapidement difficile. Il est donc évident à première vue que de créer un mot de passe en utilisant quelque chose de connu comme : les dates de naissance, les numéros de téléphone, le nom des enfants, du chien ou du président, qui rendront ces mots de passe plus faciles à retenir.
Hélas, c'est trop simple et en faisant cela vous jouez le jeu des pirates, qui arriveront à usurper votre identité en un minimum de temps avec des crackers de mot de passe que l'on trouve sur internet très facilement.
Ce n'est pas la peine non plus de mettre ces mots de passe sur un post-it sous votre clavier, dans vos tiroirs, c'est archi-connu !
N'oubliez pas vos logiciels de surf qui conservent vos données personnelles afin de vous aider, si un pirate accède à votre ordinateur, il aura toutes les portes ouvertes et ceci sans aucun souci!
1. Avez-vous écrit sur un bout de papier votre mot de passe ?
2. Votre mot de passe est-il un mot commun que l'on peut trouver dans le dictionnaire ?
3. Votre mot de passe est-il un mot commun suivi de 2 chiffres ?
4. Votre mot de passe est-il un nom de personne, de lieu ou d'animal ?
5. Quelqu'un d'autre connaît-il votre mot de passe ?
6. Utilisez-vous le même mot de passe pour plusieurs comptes et pour une longue période ?
7. Utilisez-vous le mot de passe par défaut du constructeur ou de l'éditeur ?
Si vous avez répondu "oui" à au moins l'une de ces questions, on peut considérer que vos mots de passe ne sont pas efficaces, le choix et l'entretien de ses mots de passe représentent le 1er rempart de la sécurité et de la protection de sa vie privée dans le domaine de l'informatique.
Oui, mais alors, comment faire pour créer de bons mots de passe et pour ensuite les retenir ?
Il existe plusieurs moyens, méthodes pour retenir les mots de passe sans les noter, en voici quelques-uns
Prenez un livre ou un document que vous avez souvent à portée de main. Ouvrez le à une page (vous aurez avec le numéro de la page les chiffres à utiliser dans le mot de passe). Prenez ensuite la première lettre des huit premières lignes de texte sur la page, et ajoutez y le premier signe de ponctuation présent sur la page. Vous aurez un mot de passe du type (en prenant cet article comme exemple)
Résultat : 7lnouvo--,
La seule chose dont vous devez vous souvenir c'est le titre du livre et le numéro de la page pour retrouver facilement le mot de passe. Lorsque vous aurez à changer de mot de passe il suffira de tourner la page pour avoir un nouveau mot de passe.
En retenant les initiales d'une formule
Exemple : « Zut j'ai encore oublié !»
Résultat : Zj'aeo!
Vous apprenez par coeur une chaîne {C} de caractères spéciaux. Par exemple : {| + $ / ? £ @ }. Vous prenez un mot ou un nom que vous pouvez retenir facilement. Par exemple : Maurice. Vous remplacez les voyelles par les caractères successifs de la chaîne {C}. Vous mettez une majuscule à chaque bout du mot et vous le complétez, si nécessaire, à 8 caractères avec le reste de la chaîne {C}.
Résultat avec 8 caractères : M|+r$C/?
On peut faire la même chose avec 10 caractères, en ajoutant un caractère spécial au début et à la fin du mot (le 1er et le dernier caractère de votre chaîne)
Résultat avec 10 caractères: |M+$r/C?@
Quand vous changez votre mot de passe, vous ne changez que la « graine » (ici Maurice) et vous gardez toujours la même chaîne {C} que vous mémorisez définitivement. Avec un peu d'entraînement, l'opération de composition du mot de passe se fait facilement mentalement. Les mots ainsi obtenus sont très robustes.
La même chose en changeant le nom : germaine : |G+rm$/N?@
A vous de faire votre choix, de mélanger le tout ou de trouver d'autres solutions en laissant libre cours à votre imagination !
Pour ceux qui ne connaissent pas Vazkor, il est modérateur sur le site d'assiste.com, il a écrit un post sur la façon de créer ses mots de passe très intéressant, avec son accord, j'ai repris l'intégralité de son post : ici et dont je vous fais profiter.
Vous pouvez utiliser un générateur de mots de passe et en choisir un qui à l'air de vous plaire, mais ce mot de passe sera complètement aléatoire et vous serez obligé de le noter quelque part, ce qui est une autre faille dans votre sécurité.
Si vous devez noter des mots de passe, faites-le dans un carnet (pas sur feuilles volantes) que vous rangez quelque part, de préférence pas à côté du PC et sous clé si nécessaire. Et profitez de ce même carnet pour y noter les coordonnées, login et mot de passe utilisés sur différents sites et les codes des programmes que vous avez payés, tant que vous y êtes.
Certains programmes permettent de conserver ces mots de passe sur votre PC en les cryptant et en protégeant le tout par un seul mot de passe. C'est très bien, sauf si vous avez un crash et que vous n'y avez plus accès. Même une disquette peut être impossible à relire. Rien ne remplace donc le papier, le crayon et la gomme, ce qui permet de corriger/modifier/supprimer sans raturer.
Revenons à nos moutons, comment choisir un mot de passe à la fois solide mais facile à retenir?Vous savez sûrement que pour être solide un mot de passe doit être composé d'un minimum de 8 caractères et ne pas être facile à deviner ou trouver dans un dictionnaire. Donc pas de prénom, nom de famille, date de naissance qui ont un rapport avec vous. Pas de Admin, Dieu, Moi, etc.
Il vous faut créer un mot de passe qui ait tout à fait l'air aléatoire et utilise tout le jeu de caractères disponible sur votre clavier, donc des minuscules, majuscules, chiffres et caractères spéciaux.
Une attaque par force brute sera d'autant plus difficile (plus longue voire impensable) que le mot de passe sera long et qu'il utilisera des caractères parmi tout le jeu étendu disponible sur votre clavier.
- rien que des chiffres, 0 à 999.999 -> 1 million de possibilités (10^6). Statistiquement, après 10^6/2 soit 500 000 essais, votre mot de passe sera découvert, càd en quelques secondes sur un PC moderne.
- rien que des minuscules, aaaaaa à zzzzzz -> 26^6 possibilités ~ 309 millions
- en utilisant tous les caractères affichables facilement disponibles:
10 chiffres, 52 lettres, la quarantaine de signes de ponctuation et caractères spéciaux, cela fait plus de 100 caractères. Vous avez plus de 100^6 possibilités, plus de 1000 milliards (1.e+12)
Avec 14 caractères,
cette dernière valeur passe à plus de 8.69e+50 possibilités!
Vous n'avez pas besoin de la même solidité pour protéger votre compte sur un groupe de discussion ou sur un forum que pour protéger votre compte administrateur sur votre PC. Disons que pour les forums, etc. huit caractères c'est plus que suffisant. Par contre, utilisez toujours 14 caractères ou plus pour votre compte Admin.
Il n'est pas nécessaire de créer des mots de passe différents pour les forums, vous pouvez en avoir quelques-uns toujours les mêmes, que vous réservez à cet usage. Si vous ne savez plus lequel vous avez utilisé lors d'une inscription, il vous suffit de les essayer l'un après l'autre.
Comment créer un mot de passe solide mais très facile à retenir (et à retrouver en cas d'oubli partiel)?
Il existe plusieurs méthodes, mais celle que je préfère est la suivante.
Choisir une phrase que vous ne risquez pas d'oublier: un souvenir d'enfance, un événement personnel, un vers ou une citation ou un non-sens total (plus c'est loufoque, mieux c'est).
Prenez les premières lettres de tous les mots (éventuellement en négligeant les mots de moins de quatre caractères, autre que les verbes et les noms) et gardez la ponctuation existante:
Ne pas oublier de sortir les poubelles le mardi! -> donne comme résultat : Npodslplm! (10 caractères. C'est déjà bien!)
Maintenant nous allons le durcir en remplaçant des minuscules par des majuscules: prenons comme convention de mettre les initiales des noms communs en Majuscule, à la mode allemande -> NpodslPlM!
Introduisons des chiffres et caractères spéciaux supplémentaires en jouant sur les ressemblances avec les lettres: o -> 0 (zéro), l -> 1, s ->$, g -> 9, etc. en ne remplaçant que la première occurrence de la lettre.(Utilisez toujours le même jeu d'équivalences que vous pouvez bien sûr afficher en clair à côté de votre PC, mémoriser dans un fichier texte)
NpodslPlM! donne facilement Np0d$1PlM!
(Maintenant que vous l'avez, notez le dans votre petit carnet secret, par pure précaution, ou mettez le sur un bout de papier dans une enveloppe scellée et rangez le tout en lieu sûr.)
Si vous tenez à utiliser des mots de passe différents sur chaque forum, ajoutez les initiales du forum devant ou derrière votre mot de passe de base, qui deviendrait donc : fAc-Np0d$1PlM! ou Np0d$1PlM!-fAc pour les forums d'Assiste.com.
Vous avez maintenant obtenu sans problème un mot de passe extrêmement solide de 14 caractères. Même la NSA s'y casserait les dents.
Faites preuve d'imagination!
Comme phrase de base vous pouvez très bien utiliser l'adresse de vos beaux-parents que même vos proches ne connaissent sûrement pas:
Trucmuche,hôtel Georges V, 269 Av des Champs-Elysées, Paris (N° au hasard) donnerait directement T,hG5,269AdC-E,P
Autre exemple, à ne pas utiliser parce que académique:
Tous pour un, un pour tous! donne Tp1,1pt! (huit caractères et déjà très bon s'il n'était pas archi-connu)
Pour PGP, qui utilise une phrase de passe comme clé, j'utilise un moyen mnémotechnique semblable et je peux même laisser traîner ma clé sur le PC sans risque. Pourquoi? Parce que je n'écris que:
"la_courte_phrase_loufoque Code PLAQUE" où Code est mon code de carte bancaire, que je suis le seul à connaître, et Plaque c'est le N° d'immatriculation de ma dernière voiture, dont je suis certain que personne, pas même mon fils, se souvient. Seule la phrase loufoque est en clair. Ce que je note est donc du genre: Quand les poules auront des dents Code PLAQUE
Il existe des logiciels qui permettent de créer des mots de passe aléatoires et aussi les conserver sur votre disque dur, je trouve que ce procédé n'est pas le plus facile puisqu'il est plus difficile de retenir un mot de passe compliqué que de retenir une phrase connue de vous ou un dicton. De plus si votre disque dur "crache" vous perdrez tous vos mots de passe, c'est pourquoi, je ne donne pas de lien sur ces logiciels.
Avec ces quelques méthodes décrites ici, vous allez pouvoir mieux sécuriser votre système et ainsi retenir plus facilement vos mots de passe. Mais sachez qu'aucun mot de passe n'est inviolable, ce n'est qu'une question de temps!
Au fait, je ne vous ai pas donné ma méthode ! Normal, c'est un secret entre moi et moi ! Allez, à vos dictons :P
Tesgaz le : 25/09/2005
- Retour : la sécurité
- Haut de page -