Dossier : comment créer un mot de passe sécurisé (et ne pas faire les mêmes erreurs que les autres) !

De nos jours, nos données sont de plus en plus convoitées par les hackers et autres personnes mal intentionnées surtout lorsqu’il s’agit de récupérer nos identifiants et nos mots de passe. Qui n’a jamais reçu une tentative d’hameçonnage par mail lui demandant de se connecter au site Web de sa banque, de son opérateur téléphonique ou même des services publics pour une quelconque raison ?

Le problème est que ce genre d’individus veulent votre mot de passe et c’est pour cela qu’il est impératif d’en créer un ou plusieurs sécurisés et de ne JAMAIS le divulguer. D’ailleurs, aucun service un temps soit peu sérieux ne vous le demandera. On va donc voir ensemble comment créer un mot de passe fort qui ne pourra pas être cassé facilement par un dictionnaire ou un brute force à génération aléatoire.

Les mots de passe à bannir

La première chose qu’il faut savoir est qu’il y a des mots de passe à ne pas utiliser. Voici quelques exemples de mots de passe qui ont été les plus utilisés en 2016 :

• 123456789
• qwerty
• password
• azerty

Il faut aussi bannir les prénoms de votre entourage et même de vos animaux. On évite ainsi à un proche ou un collègue de travail de trouver votre mot de passe en utilisant la technique du Social Engineering, c’est-à-dire en vous posant des questions, en discutant avec vous, en abusant tout simplement de votre confiance.

1. Longueur du mot de passe

On dit toujours que la taille ne compte pas et pourtant dans ce contexte plus le mot de passe est long et plus il est difficile aux pirates de le trouver. Généralement, ils emploient un utilitaire de type brute force qui permet de tester des combinaisons de lettres, chiffres, caractères spéciaux de façon aléatoire jusqu’à trouver le bon mot de passe. Ils laissent tourner la machine durant des heures voire des jours. Le logiciel tente de se connecter avec un mot de passe, tant que l’accès est refusé le brute force continue, il fonctionne de la même façon qu’un générateur de mot de passe aléatoire.

Il faut savoir qu’un mot de passe ayant entre 8 et 12 caractères permet d’allier sécurité et mémorisation. Cela ne sert à rien d’avoir un mot de passe de 50 caractères s’il n’est pas possible de le retenir.

2. Un mot de passe sans logique !

Vous pouvez sans problème utiliser un passphrase, c'est à dire une phrase facile à mémoriser pour vous MAIS attention à ce qu'elle ne soit pas logique pour d'autres.

A ne pas faire :

j'adore hitek > jadorehitek => tout le monde adore Hitek et phrase trop classique, pensez à éviter les mots trop classiques comme "adorer", "aimer", "voiture" etc...

Mieux :

je surkiffe hitek à dos d'âne > jesurkiffehitekàdsodâne => les mots "âne" et "hitek" n'ont aucun lien donc plus difficile à trouver mais facile à mémoriser pour vous si vous êtes fan des ânes (bon j'avoue ce n'est pas le meilleur exemple ^^). En plus de ça, nous avons rajouté des accents sur à et â et inversé le s et le o à "dos".

Mais attention, ce n'est pas suffisant !

3. Caractères spéciaux et majuscules / minuscules !

Utiliser les majuscules ou les caractères spéciaux c'est une très bonne idée... tant qu'il n'y a AUCUNE logique ! On a l'habitude de mettre une majuscule au début de chaque mot ou à la fin de chaque mot... NE LE FAITES PAS ! Tout comme les caractères spéciaux le @ à la place du a, le ! à la place du i ou l etc... NE LE FAITES PAS !

On peut par exemple faire :

jesurkiffehitekàdsodâne > jesurkifFehitekàdSodâne => les majuscules sont mises au hasard, la difficulté réside dans la mémorisation. Pensez à rajouter un chiffre au hasard et un caractère spécial et vous avez un mot de passe quasi inviolable.

La phonétique est aussi un bon moyen de trouver un mot de passe ou en utilisant les premières lettres d’une phrase :

je surkiffe hitek à dos d'âne

ce qui donne :

jshàdd'â => il suffit d'y rajouter 2 caractères spéciaux au hasard, 2 majuscules et des chiffres qui ont une signification pour vous et aucune pour les autre (pas de dates d'anniversaire etc...) et le tour est joué => jSh58àD3#d'â

Les techniques sont nombreuses pour pouvoir générer un mot de passe, faites preuve d'imagination et surtout n'utilisez pas de méthode logique, car les attaques par brute force sont de plus en plus sophistiquées. Elles utilisent des algorithmes qui se basent sur les habitudes des utilisateurs. Comment ? A force que les mots de passes soient volés sur différents sites, les hackers ont une gigantesque base de donnée de plusieurs centaines de millions de mots de passes et ils se basent donc sur les habitudes des gens.

1 mot de passe par service et site Web

Si par malheur vous n’avez utilisé qu’un seul mot de passe pour l’ensemble des sites Web et service que vous consultez, vous avez beaucoup plus de chance de vous le faire voler. Chaque site a sa propre équipe de développement et si vous utilisez le même mot de passe sur un forum qui n’est pas entretenu correctement, le hacker aura accès à l’ensemble des autres services et sites auxquels vous êtes inscrits. Pour éviter cette erreur, il faut avoir 1 mot de passe pour chaque site Web et service. Le problème avec cette solution est qu’il est impossible de retenir tous les mots de passe que vous aurez généré. Vous pouvez donc créer un fichier sécurisé par un mot de passe fort pour les stocker, mais attention à ne pas laisser se fichier entre les mains de n'importe qui.

Le passphrase, pratique pour mémoriser mais pas infaillible !

C'est pour cela que la méthode la plus efficace pour créer un password est d'utiliser un générateur aléatoire de mot de passe. Nous allons voir ça dans un prochain paragraphe.

La meilleure solution reste le générateur de mot de passe !

Créer un passphrase c'est facile à mémoriser mais malheureusement ce n'est pas forcement la solution la plus sécurisée... Pour être vraiment tranquille, on vous invite à utiliser un générateur de mot de passe, plus difficile à mémoriser mais vous êtes sûr d'avoir un mot de passe le plus difficile à deviner en brute force. Il existe également des logiciels qui vous permettent de stocker et mémoriser tous ces mots de passes générés de façon aléatoire ! Pratique surtout qu'on doit en avoir un différent pour chaque site !

Mais lequel choisir ?

Il faudra pendre en compte l'utilisation des caractères spéciaux pour renforcer ce dernier et si le générateur ne vous propose pas cette option oubliez-le. De plus, il faut pouvoir stocker vos passwords à l'abri des regards indiscrets ou avoir une excellente mémoire pour retenir les mots de passe de tous les sites et services que vous utilisez.

LastPass

Ce site propose de créer et de stocker vos mots de passe sur vos différents appareils que cela soit sur Android, iOS, ou encore sur Linux, Mac ou Windows via un navigateur Web. Lorsque vous avez entré un mot de passe avec le lien du site qui correspond, vous pouvez directement cliquer dessus pour y être redirigé, ce qui est assez pratique. On peut créer des formulaires pré-remplis et même des notes. Le service propose aussi le partage de mots de passe avec vos amis ou votre famille de façon sécurisée. Il est possible de l'utiliser dans sa version gratuite sans aucun problème, mais si vous souhaitez passer à la version Premium, il vous en coûtera 12 dollars soit 1 dollar par mois qu'il faudra payer annuellement. 

Si vous êtes intéressés par LastPast ça se passe par ICI.

KeePass Password Safe

Ce gestionnaire de mot de passe est un logiciel libre et open-source proposant une multitude de fonctionnalités et de plugins. Au premier abord, il n'est peut-être pas le plus beau des gestionnaires, mais il est diablement efficace. De plus, il est mis à jour régulièrement et fonctionne sous PC (Linux, Mac, Windows) et mobiles (Android, iOS, BlackBerry, Java, etc.). Les nombreux plugins permettent de libérer tout son potentiel. On peut en trouver pour une synchronisation Cloud (Dropbox, Google Drive, Amazon, One Drive, etc.), pour l'importation d'autres gestionnaires, le chiffrage, le backup, l'intégration, il y a tout ce que vous pouvez désirer et cerise sur la gâteau il est en français !

KeePass Password Safe est incontourbale et vous le trouverez par ICI.

N'oubliez pas de regarder aussi du côté de votre antivirus, ce dernier dans la version Internet Sécurité peut proposer un gestionnaire de mot de passe.

Tester un mot de passe

Lorsque vous avez votre mot de passe, il est possible de le tester pour connaitre sa résistance de façon drôle via le site en ligne Secure Password Check de Kaspersky Lab.