La qualité de nos mots de passe

in #fr7 years ago

image.png

Régulièrement, j'ai en formation des nouveaux collaborateurs dans l'entreprise. Un tour général de l'informatique maison.
Parmi mes explications, je parle des mots de passe.
Je constate que souvent les gens me répondent:

Je n'ai rien à cacher.

D'accord, mais si un site ou service connait votre mot de passe, rien ne dit qu'il ne va pas:

  • tester ce compte et mot de passe ailleurs
  • vendre cette information à d'autres
  • se faire pirater et qu'un geek chinois ou russe récupère votre accès

Lors de ces explications, je vois que pour Madame et Monsieur Toutlemonde, ça semble être la première fois qu'ils se posent cette interrogation. C'est ce qui me démontre que la population est peu informée sur ces sujets.

Je les mets en garde des risques et leur donne quelques recommandations.

Critères d'un mot de passe

Les critères qui font la qualité d'un mot de passe sont sa longueur et sa complexité.
On peut facilement trouver des listes de mots de passe ultra simples (Wiki). Ce sont d'ailleurs les mêmes depuis des années. Les 123456, qwerty, etc....
Où on peut être surpris, c'est de voir que l'on trouve des listes de comptes avec leur mot de passe également. De nouveau, la population ne connait pas Pastebin et ne pense pas que des pirates partages très vite des informations sur le net.
Par exemple, on peut trouver ceci liste 1 ou liste 2.
Si ces informations sont réelles - il faut rester prudent - ces comptes sont en danger car tout le monde peut les trouver.

En supposant que ces listes soient vraies, on peut voir des mots de passe très simples ou des mots connus. Le problème, c'est que si un de ces comptes utilise le même mot de passe partout (e-mail, réseau social, site divers, travail, banque) plein de choses le concernant sont accessibles.

Tous différents

La règle numéro 1 est d'avoir des mots de passe différents partout. Il n'est pas indispensable d'avoir de grandes différences, mais il doit y en avoir. Imaginez votre employeur, ayant trouvé votre mot de passe, constatant que vous êtes inscrit sur un site de recherche d'emploi. Que va-t-il en faire? Ou que votre compagne ou compagnon soit également inscrit sur un site de rencontre?
Donc, un mot de passe différent pour chaque cas.

Longueur

Souvent on cherche un mot de passe. Et fréquemment, c'est le nom des enfants, du chien ou du chat. Erreur grossière. On peut, si on passe du temps apprendre des choses sur les gens et deviner ou trouver des mots de passe de cette catégorie.
J'ai fait le test avec 2-3 personnes et j'ai deviné le mot de passe de l'une d'entre elle, juste durant les 2-3 heures de cours.

Donc, un nom ou mot est à proscrire. La solution: La phrase de passe. L'avantage de réfléchir en terme de phrase c'est que ça va tout de suite réglé le problème de longueur. Un mot de passe du genre manger des pommes est bien plus fiable que milouou felix.
D'office, je me retrouve avec un mot de 15 caractères et plus. Là, c'est du sérieux.

Complexité

Dans l'exemple précédent, nous n'avons que deux degrés de variations ou complexités. Les lettres minuscules et les espaces.
Les degrés de complexités sont:

  • minuscule
  • majuscule
  • chiffre
  • symbole
  • lettre accentuée
  • espace (non symbole)

Pour les trois premiers, c'est évident: abcdef ABCDEF 12345 pour les symboles ce sont tous les autres caractères %.-!$(+. Certains symboles sont interdits pour certains mots de passe, mais la plupart fonctionne.
En français, nous avons plusieurs lettres accentuées. Elles peuvent également être utilisées mais certains système ou site les refusent. A tester de cas en cas. Si vous pouvez les utiliser, c'est excellent car ça rend toute recherche beaucoup plus complexe.

Eviter les évidences

Comme précité, on évitera les prénoms de la famille ou des animaux. La plupart de ces cas sont connus et devinables. On évitera également les mots courants du dictionnaire. Alphabétisation semble être un mot de passe intéressant (majuscule, minuscule, accent) mais on le trouve en 2-3 minutes dans un dico. De même que les noms propres, ils sont dans des annuaires. Ce genre de listes (dictionnaire, prénom, annuaire) se trouvent si on sait chercher. Ensuite, un petit programme peut tous les parcourir et les tester en quelques minutes ou quelques heures.

Le service IT de la société où je travaille à fait des tests d'intrusion chez nous. Sur 300 employés, ils ont réussis à trouver 130 mots de passe dans la journée. Et ce ne sont pas des spécialistes du piratages. Lors de l'analyse des résultats de test, un spécialiste nous a expliquer qu'un mot de passe en dessous de 10 caractères se trouve dans l'heure, s'il n'est pas sophistiqué.

Sophistication

Il faut rendre la chose complexe, sophistiquée.
Voici un exemple:
Je décide que mon mot de passe est: j'ai eu 20 ans cette année.
Il est correct, mais on peut en faire une variante plus synthétique comme: gU20an72année. Bien sûr le premier est plus fiable (symbole, accent, espace, minuscule) mais plus long. Certains systèmes limitent la longueur minimale et maximale (6-24 par exemple).
L'approche synthétique à l'avantage de créé un mot de passe qui ne ressemble à rien et qu'un système d'analyse ne peut pas trouver, du moins pas simplement.

Autre possibilité, tronquer des mots ou prendre des initiales.
Exemple: j'ai u 20an 7ané

Avec une phrase à soi ou un texte connu (chanson, poème)
Exemple: MCssaptesb1f,MRpl'oaltappsl
Ce sont les initiales de:
Maître Corbeau sur son arbre perché tenait en son bec un fromage,
Maître Renard par l'odeur alléché lui tint à peu près ce langage.

Ce mot de passe est exemplaire (majuscule, minuscule, symbole, chiffre, longueur). Et impossible à oublier pour beaucoup de gens.

Un différent à chaque fois

Fort de ces informations, comment faire pour avoir tous ces critères et en avoir un différent que l'on puisse mémoriser?

D'abord, il faut savoir qu'il existe des outils pour gérer les mots de passe. Selon diverses recommandations, j'ai fait le choix d'utiliser Keepass. Il fait bien le travail, mais il reste sur un seul ordinateur. Donc, si je suis ailleurs, je n'ai pas mes mots de passe avec moi. Dans les liens plus bas, vous avez des comparatifs de ces produits. A vous de faire votre choix. Gratuit, payant, local, dans le cloud.

Ensuite, j'ai fait un autre choix. Me créer une méthode de mot de passe.
J'ai une méthode (eh non, je ne dévoilerais pas la mienne) qui me permet d'avoir un mot de passe différent dans chaque cas et surtout je n'ai pas besoin de m'en rappeler ou de le noter.
Voici le détail de cette méthode.

Méthode

Trouver une logique à soi

Vous devez trouver un truc à vous. Une phrase, un nom, un chiffre, qu'importe. Ce qui compte c'est que ce soit toujours le même. Ensuite, partant de ce mot, vous devez trouver une sophistication à vous, toujours la même.

Mon mot de passe de base

Pour illustrer ça, je vais prendre cette phrase: J'aime le chocolat. C'est ma phrase et restera dans tous mes mots de passe.

Ma sophistication

Je décide de règles que je vais appliquer à mon mot de passe.

  • Les espaces sont remplacés par les _ou -.
  • S'il y a plusieurs espaces, je choisi que le premier est _et tous les suivant sont des -.
  • Toutes les 5 lettres, je mets un des chiffres de l'année de naissance de mon frère (1972).

Voilà, c'est ma règle. Bien sûr la votre sera différente, plus simple ou plus complexe, qu'importe.

Si je reprend mon exemple:
J'aime le chocolat devient J'aim1e_le-9choco7lat.

En voilà, un mot de passe sérieux.

Mon unicité

Comment rendre ce mot de passe unique à chaque besoin?
En le fusionnant à mon besoin.

Pour ça, je dois ajouter une règle. Dans mon exemple, c'est j'ajoute mon besoin après le premier espace, entre parenthèses.

Mais qu'est-ce que mon besoin?
C'est le site ou le service que vous utilisez.

Si je reprends ce qui précède et que j'ajoute ma nouvelle règle, ça nous donne:

  • Pour un compte Gmail
    • donne J'aim1e_(Gmail)le-9choco7lat
  • Pour un compte Twitter
    • donne J'aim1e_(Twitter)le-9choco7lat

Et ainsi de suite.
Oui, ma méthode est complexe. Mais mon mot de passe est dans la catégorie champion du monde. Je l'ai testé sur un site prévu à cet effet et il faut 233 DUODECILLION d'années pour le craquer (je ne sais pas combien de zéros ça fait).

Evidement, vous pouvez faire plus simple.
Remplacer les voyelles par des 8, inverser les débuts et fin de mots, ajouter des crochets ou accolades au milieu. Voici quelques cas.

  • J88m8 l8 ch8c8l8t
  • meJ'ai el colatCho
  • J'ai[me(le)choco]lat

Ce qui compte, c'est que votre méthode soit systématique.

A titre personnel, depuis que je touche au monde de la cryptomonnaie, j'ai participé à beaucoup d'ICO ou Airdrop sur lesquels il faut s'inscrire. Comme il s'agit de nouveau site à chaque fois, j'ai la possibilité d'appliquer ma méthode. Résultat, j'ai 20-30 sites différents sur lesquels je dois me connecter, avec chaque fois un mot de passe unique et surtout je n'ai pas besoin de m'en rappeler. C'est très confortable.

La seule chose à garder à l'esprit, ce sont les règles de votre méthode.

Liens associés:

Sort:  

Félicitations ! Votre post a été sélectionné de part sa qualité et upvoté par le trail de curation de @aidefr !

La catégorie du jour était : #formations


Si vous voulez aider le projet, vous pouvez rejoindre le trail de curation ici !

Bonne continuation !

I appreciate what you write although I cannot understand the language, but thank you for upvoting my post.

Merci pour l'article le j'en avais aussi fait un sur les mots de passes tu peux aller voir si tu veux :-)

Décidément, je manque d'imagination.
Comme je compte faire un post sur les outils pour préserver sa vie privée (extension, tracker, etc..), ne me dis pas que tu as également déjà fait un article sur le sujet?

Je comptais en faire un sur ghostery, mais sinon je ne crois pas...
Par contre c'est quoi le trail qui t' a upvoté ???

Je ne sais pas.
Il faudrait d'abord que tu me définisses "trail".
J'ai voulu voir les bots utilisables.
Je me suis inscrite sur https://www.minnowbooster.net/ et j'ai également utilisé Randowhale et Smartmarket sur la page de https://steembottracker.com/.
Le but était de voir comment ça fonctionne.
J'ai investi un peu de SBD pour voir.
J'ai également regardé Kryptonia (mais j'ai pas trop testé).

Bel et intéressant article...

Cela fait longtemps que je sais qu'il faut que je change ma méthode pour les mots de passe ;
j'ai 2 ou trois méthodes ; mais pas UNE.

Et c'est pénible.

Le truc aussi c'est que parfois la méthode choisie ne fonctionne pas sur certains sites ; dans ces cas là j'improvise... n'importe comment, donc pas comme il faudrait.

Ton article sonne comme un rappel : Me créer une règle (universelle) + peut-être une ou deux pour les cas où ça ne va pas.

Merci.
En effet, j'avais le même problème. Depuis, ma méthode a pu s'appliquer quasiment partout. Seuls 2-3 sites ont résisté. Mais rien n'empêche d'avoir 2 règles. Après, il faut savoir quand les appliquer.
Heureuse que ça puisse te servir.

Congratulations @hatuvera! You have completed some achievement on Steemit and have been rewarded with new badge(s) :

Award for the number of upvotes

Click on any badge to view your own Board of Honor on SteemitBoard.
For more information about SteemitBoard, click here

If you no longer want to receive notifications, reply to this comment with the word STOP

Upvote this notification to help all Steemit users. Learn why here!

Coin Marketplace

STEEM 0.21
TRX 0.26
JST 0.040
BTC 100671.43
ETH 3655.73
USDT 1.00
SBD 3.14