jeudi 20 juillet 2017

Choisir un mot de passe sécurisé

Je vais vous apprendre aujourd'hui à choisir un mot de passe sécurisé, mais facile à retenir ou plutôt à retrouver, et unique à chaque service.



Pour des raisons de sécurité, il y a différentes règles à respecter afin de choisir un mot de passe efficace.

Mais tout d'abord,

Est-ce que mon mot de passe actuel est sécurisé ?

Il existe différents sites qui vous permettent de tester vos mots de passe. Personnellement, j'aime bien utiliser le site de Kaspersky qui est un éditeur de solution antivirus reconnu.

Il y est conseillé de ne pas mettre votre vrai mot de passe, mais vous ne prenez pas de gros risque à le faire si celui-ci est un mot commun du genre : cheval, chien, subaru, etc...

Ah oui et ça marche comment ?

Il suffit de se rendre sur la page et de taper le mot de passe.
Test du mot de passe "Cheval"

On voit bien que l'utilisation de "Cheval" en mot de passe est une mauvaise idée, même si celui-ci ne fait pas parti de la liste des pires mots de passes... (à voir plus bas) Le petit graphique du dessous ajoute quelques exemples pour vous montrer l'efficacité ou non du mot de passe face à une attaque. On y voit le ZXSpectrum, un ordinateur des années 80 (le siècle dernier du coup) casser celui-ci en seulement 2 jours... et un botnet, une association de plusieurs ordinateurs, le faire en moins d'une seconde.

Si vous obtenez des résultats de ce genre, il est temps pour vous de lire ce guide et de choisir un VRAI mot de passe sécurisé.

Les règles à suivre :


1. Éviter d'utiliser l'un des mots de passe de la liste des "pires mots de passe" :


Ci-dessous, la liste des 25 pires mots de passe (adapté en français par mes soins) :

  1. 123456

  2. password

  3. 12345678

  4. azerty

  5. 12345

  6. 123456789

  7. football

  8. 1234

  9. 1234567

  10. baseball

  11. bienvenue

  12. 1234567890

  13. abc123

  14. 111111

  15. 1aqw2zsx

  16. dragon

  17. maitre

  18. singe

  19. laissemoientrer

  20. login

  21. princesse

  22. azertyuiop

  23. solo (nouveau)

  24. passw0rd

  25. starwars

Cette liste n'est ni exhaustive, ni gréve dans le marbre. Il s'agit juste d'exemples servant à illustrer mon propos : Ne laissez pas le mot de passe par défaut et n'utilisez pas de mots trop communs et surtout pas l'agencement de votre clavier.

Étonnamment, ceux-ci sont assez souvent utilisés et il ne faudra que quelques secondes à un pirates pour les casser, voire quelques minutes à un ado boutonneux...

2. Éviter d'utiliser de mots trop proches de vous et vos passions :


On peut être attaqué par un "proche". Quelqu'un qui vous connait ne serait-ce qu'un peu ou qui a au moins accès à votre intimité.

Donc tout ce qui est date de naissances de proches, prénom des enfants, mots issues de vos passions sont à proscrire.

L'exemple type est le fan de Tintin :

Vous êtes fan de la bande dessinées et votre bureau regorge de statuettes du capitaine Haddock, de posters de Milou et vous avez même la clés USB à l'effigie du journaliste. Le "pirate" qui pourra entrer dans votre bureau essaiera toutes les combinaisons possibles se rapportant à ce thème. Et si, en petit malin, vous avez mis "les bijoux de la castafiore" en mot de passe, il devrait tomber dessus en une dizaine de minutes. Par contre si vous avez juste mis "tintin", "milou" ou hadddock", c'est quelques secondes qu'il va lui falloir...

3. Utilisez un mot de passe long :


L'idéale est même d'utiliser une phrase mais, si "les bijoux de la castafiore" apparait sur kaspersky comme un super mot de passe :
Test de "les bijoux de la castafiore"
Je ne suis pas fan de cette méthode. Chacun devra choisir une phrase qu'il sera capable de retenir et du coup... ce sera forcément lié à la personne, ses passions, etc...

4. Alterner lettres majuscules et minuscules, chiffres et caractères spéciaux :


Utiliser juste des minuscules, ça ne donne pas un mot de passe fort.
2 minutes pour casser "cheval"
Si vous y ajoutez ne serais-ce qu'un majuscule, quelques chiffres et de caractères spéciaux...
Déjà plus difficile à passer celui-là...

C'est déjà bien plus difficile à casser, pourtant, il n'est pas beaucoup plus dure à retenir et vous verrez plus loin pourquoi.

5. Utiliser un mot de passe unique pour chaque service :


C'est la règle la plus compliquée à appliquer puisqu'on ne peut pas retenir des dizaines de mots de passes différents et compliqués.

Des services existent pour retenir à votre place les mot de passe, on peut simplement demander au navigateur internet de les retenir. Mais dès qu'on change de PC, ou si il y a un jour un plantage, c'est fini, on perd TOUT.

Et bien comment on va faire avec tes conseils à deux francs ?

Bon, les francs n'existent plus mais j'ai une méthode qui permet d'appliquer la majeur partie de ces conseils sans trop s'y perdre.

Générer sois-même ses mots de passe forts :


Choisir sa base :


1. Choisir un mot de passe de base :


On commence par choisir le cœur de son mot de passe.

Quelqu'un de passionner par les chevaux, par exemple, pourrait choisir "cheval" mais on l'a vu, c'est trop facile à casser.

Alors utilisons un mot de cet univers mais moins utilisé :
Test du mot "équestre" : 12 jours

Test du mot "équidé" : 3 heures
Test du mot "équitation" : 4 années

Après trois tests sur le thème du cheval, il semble que le terme le plus apte à devenir un mot de passe soit "équitation".

2. Ajouter une majuscule :


Les mots de passe sont sensibles à la casse (les majuscules et minuscules), il est simple d'ajouter une ou des majuscules.

Ça ne complexifie que très peu le mot de passe, mais c'est toujours ça en plus. Dans mon exemple, "équitation" ne se prête pas bien à ce principe car en passant en majuscule, je perd l'accent, hors beaucoup de pirates utilisent des dictionnaires de mots en anglais pour tenter de faire des piratages de masse. L'accent n'existant pas en anglais, il est plus sure de maintenir "équitation" plutôt que d'utiliser "Equitation".

Mais pour autant, plus loin j'utiliserai les majuscules, donc poursuivons...

3. Ajouter des caractères spéciaux :


Il est possible de précéder, faire suivre, insérer ou les deux, des caractères spéciaux le mot de passe de base.

Ces caractères sont tous ceux du clavier qu'on utilise pas ou peu. Il est intéressant par exemple de prendre ceux accessibles par la touche "Alt Gr" car peu de gens les utilisent et du coup ils seront peu testés par un attaquant.

Dans mon exemple, "équitation" devient "{équi¤¤tation}".
On passe de 4 années à 327 siècles !

4. Ajouter des chiffres :


Il est facile d'ajouter au début ou à la fin un nombre qui ait une signification pour vous.

Il peut s'agir de l'année de naissance d'un parent, du département d'origine, d'habitation ou de vacances favorites.

Ainsi "{équi¤¤tation}" devient "{équi¤¤tation}75".
Cette fois c'est plus de 1000 siècles!!!
Ce n'est pas parfait car si on descend plus bas sur la page de Kaspersky...
Détail des méthodes de piratage de mot de passe


Arf, seulement 12 mois pour le bot le super calculateur, c'est déjà pas mal.

J'avoue, c'est un peu plus difficile à retenir mais si vous retenez votre mot "équitation", que vous avez que vous y avez ajouté "{" et "}" et que le mot est séparés en deux par deux "¤" et qu'à la fin se trouve votre département préféré, vous pouvez facilement reconstituer ce mot de passe.

Malgré que ce mot de passe soit constitué d'éléments "fragiles", tel votre passion et votre département préféré. Sa combinaison avec des caractères spéciaux, utilisant des chiffres le rends très difficile, voir impossible à trouver.

Il ne reste plus qu'à définir, à partir de ce mot de passe, un autre mot de passe différent et unique à chaque service.

Personnaliser le mot de passe pour chaque service :


C'est là que ma technique va vous aider le plus.

En effet, en utilisant un mot de passe différent dans chaque service, même si quelqu'un fini par obtenir votre mot de passe Facebook, il n'aura pas accès à votre compte Gmail, etc...

L'astuce est simplement d'utiliser une partie du titre ou de l'adresse du site dans le mot de passe (en plus on peut jouer entre majuscules et minuscules).

Vous allez donc sur Facebook, vous inscrire ou simplement changer de mot de passe. En tête votre formidable "{équi¤¤tation}75".

Il faut alors juste intégrer "facebook" à votre mot de passe ce qui donne par exemple "Fa{équi¤¤tation}75oK".


Cette fois, même le super ordinateur mettra 98 siècles pour casser votre mot de passe.

Pas mal hein?!

Bon, il ne reste plus qu'à faire la même chose pour :

  • Google : Go{équi¤¤tation}75lE

  • Twitter : Tw{équi¤¤tation}75ER

  • Rueducommerce : Ru{équi¤¤tation}75cE

Ainsi de suite pour tous vos sites...

J'espère que ce guide vous a bien aidé, n'hésitez pas à laisser des commentaires ne serait-ce que pour m'encourager si vous avez aimé.

A bientôt.





2 commentaires:

  1. genial maintenant je m en sert pour trouver des mots de passe faciles a retenir et presque introuvable perso je continue a suivre ton site

    RépondreSupprimer
  2. Merci beaucoup pour tes encouragements. Je compte bien faire pleins d'autres articles alors n'hésite pas à revenir.

    RépondreSupprimer