Les mots de passe du 21ème siècle

7 Juin 2013

Presque tous les conseils de sécurité informatique, qu’il s’agisse d’une page d’aide de Facebook, de règlements d’entreprise, ou d’une série « … pour les nuls », vous recommandent très fortement de toujours utiliser des mots de passe forts. Alors que le temps passe, ce conseil est devenu la norme, bien que la notion de ce qu’est un « bon » mot de passe a quelque peu changé. Les conseils des années 90 ne vous serviront plus à rien – voyons donc à nouveau comment créer des mots de passe forts et sécurisés !

passwords_title_FR

Pourquoi toutes ces complications ?

Les mots de passe combinant des lettres, des chiffres et des caractères spéciaux sont très utilisés depuis le jour où on a commencé à les utiliser pour protéger des comptes informatiques ou des documents locaux et autres archives. Même une fois chiffrés, ces documents pouvaient toujours être volés par un criminel, ce dernier pouvant tenter de rentrer plusieurs fois le mot de passe jusqu’à ce qu’il trouve le bon. Cette méthode, appelée attaque par force brute, étaient très efficaces avec les mots de passe courts. Plus le mot de passe est long et varié, plus de temps cela prendra au pirate pour trouver le mot de passe correct. Il faudra seulement quelques secondes au pirate pour trouver un mot de passe de 4 ou 5 caractères, chaque nouveau caractère augmentera le temps de recherche nécessaire. Il va de même pour les combinaisons incluant des lettres, des symboles et des chiffres : mélanger ces trois types de caractères  diminuera les chances qu’un cybercriminel trouve votre mot de passe.

Bien sûr, il y a un truc – si un mot de passe s’avère être composé d’un seul mot, même s’il s’agit d’un mot original, il sera facile à deviner. Essayez juste tous les mots du dictionnaire – il n’y a pas tant de mots que ça dans le monde. Un chiffre ajouté dans un mot de passe augmente de manière significative sa complexité. C’est pourquoi les experts recommandent d’utiliser des combinaisons de lettres, chiffres et d’autres caractères – ils seront alors plus difficiles à deviner, mais également plus difficiles à se souvenir.

Aujourd’hui, la situation est mitigée : de nombreux services en ligne empêchent toutes les possibilités d’utiliser les attaques de force brute, bien qu’il existe encore quelques cas, où cette technique fonctionne toujours. De plus, les botnets d’ordinateurs infectés offrent aux pirates une puissance de calcul considérable qui peut être utilisée pour trouver les mots de passe plus rapidement.

Les réalités d’une nouvelle ère

Aujourd’hui, presque tout le monde utilise des douzaines de services Web et chaque service requiert un mot de passe. Utiliser un seul mot est risqué, car cela signifie que si le mot de passe d’un site est compromis, la porte menant à toute votre vie en ligne pourrait être alors ouverte. Néanmoins, seulement les individus très doués peuvent se souvenir d’une combinaison unique tel que Xp89$ABG-faw?6 pour chaque site qu’ils visitent. Comment pouvons-nous donc choisir un mot de passe qui sera sécurisé et pratique à la fois ?

La recette du mot de passe parfait

La règle principale, et elle est essentielle de nos jours, est que votre mot de passe doit être long. Vous pouvez ajouter des caractères, le tout est de créer un charabia, un mot qui n’existe pas. Utilisez un mot dont vous vous souvenez facilement et modifiez-le pour éviter les attaques basées sur l’utilisation d’un dictionnaire. RiennestBienou0Mal – c’est plutôt identifiable, non ? Il est bien plus facile de se souvenir d’un mot ou d’une expression contenant quelques modifications que d’une série de caractères n’ayant aucun sens. Faites néanmoins attention, Verlaine et autres classiques ne sont peut-être pas le meilleur choix pour créer un mot de passe. Il est mieux de réfléchir à votre propre expression. Utilisez un mot de passe unique pour chaque service.

Quand vous choisissez la longueur et la complexité de votre mot de passe, n’oubliez pas le suivant : la valeur des données que vous souhaitez protéger, la fréquence à laquelle vous allez rentrer le mot de passe, et si vous allez éventuellement le rentrer dans des appareils mobiles. Ces facteurs ont une influence sur la complexité des modifications. Par exemple, Bienou0Mal est parfait pour un service de musique gratuit, mais pour votre boîte de messagerie principale ou votre compte bancaire en ligne, vous devriez inventer quelque chose comme :  Iln’1aRienDeBien0MalMais1lFaut1Reflechir6358. De nouveau, votre mot de passe doit être différent pour chaque service et il doit être basé sur différentes phrases.

Cela implique un autre défi – certains services limitent la longueur des mots de passe, et dans ce cas, il est préférable d’éviter d’utiliser ces services.

N.B.

Si vous créer un mot de passe de 10 caractères qui utilisent des lettres de l’alphabet latin, des chiffres et des caractères spéciaux, le nombre de combinaisons possible dans le cadre d’une attaque de force brute serait de 2,8×1018. Un mot de passe de seulement quatre mots courants du dictionnaire anglais vous donnerait 1,6×1017 variations possibles, ce qui n’est pas beaucoup moins. Et si vous utilisez cinq mots, le nombres de combinaisons possibles sera de 3,2×1021. Les mots communs s’avèrent être plus efficace que les charabias impossible à retenir.

Une méthode moderne

Bien que les mots de passe basés sur des expressions sont beaucoup plus faciles à retenir qu’un mélange de caractères, il est essentiel que chacun de vos mots de passe soit unique. Selon une étude, un utilisateur Internet moyen utilise cinq comptes différents. Chaque compte, devrait avoir son propre mot de passe, ce qui peut rapidement mettre à l’épreuve la mémoire de l’utilisateur. En outre, certains utilisateurs possèdent bien plus de cinq comptes – et cela devient un défi pour n’importe qui. C’est pourquoi le stockage de mots de passe a été créé. Un module de ce genre est inclus dans Kaspersky PURE. Ce module contient une base de données avec les identifiants des comptes de l’utilisateur pour tous les sites Web qu’il utilise, les ressources auxquelles il accède, etc. Ces données sont ensuite chiffrées avec des algorithmes, l’utilisateur a juste à trouver un mot de passe fort afin de pouvoir accéder à la base de données. Souvenez-vous bien de ce dernier et votre ordinateur s’occupera du reste.