Dossier : comment créer un mot de passe sécurisé (et ne pas faire les mêmes erreurs que les autres) !

31 juillet 2017 à 16h46 dans Informatique

De nos jours, nos données sont de plus en plus convoitées par les hackers et autres personnes mal intentionnées surtout lorsqu’il s’agit de récupérer nos identifiants et nos mots de passe. Qui n’a jamais reçu une tentative d’hameçonnage par mail lui demandant de se connecter au site Web de sa banque, de son opérateur téléphonique ou même des services publics pour une quelconque raison ?

Dossier : comment créer un mot de passe sécurisé (et ne pas faire les mêmes erreurs que les autres) !

Le problème est que ce genre d’individus veulent votre mot de passe et c’est pour cela qu’il est impératif d’en créer un ou plusieurs sécurisés et de ne JAMAIS le divulguer. D’ailleurs, aucun service un temps soit peu sérieux ne vous le demandera. On va donc voir ensemble comment créer un mot de passe fort qui ne pourra pas être cassé facilement par un dictionnaire ou un brute force à génération aléatoire.

Les mots de passe à bannir

La première chose qu’il faut savoir est qu’il y a des mots de passe à ne pas utiliser. Voici quelques exemples de mots de passe qui ont été les plus utilisés en 2016 :

  • 123456789
  • qwerty
  • password
  • azerty

Il faut aussi bannir les prénoms de votre entourage et même de vos animaux. On évite ainsi à un proche ou un collègue de travail de trouver votre mot de passe en utilisant la technique du Social Engineering, c’est-à-dire en vous posant des questions, en discutant avec vous, en abusant tout simplement de votre confiance.

1. Longueur du mot de passe

On dit toujours que la taille ne compte pas et pourtant dans ce contexte plus le mot de passe est long et plus il est difficile aux pirates de le trouver. Généralement, ils emploient un utilitaire de type brute force qui permet de tester des combinaisons de lettres, chiffres, caractères spéciaux de façon aléatoire jusqu’à trouver le bon mot de passe. Ils laissent tourner la machine durant des heures voire des jours. Le logiciel tente de se connecter avec un mot de passe, tant que l’accès est refusé le brute force continue, il fonctionne de la même façon qu’un générateur de mot de passe aléatoire.

Il faut savoir qu’un mot de passe ayant entre 8 et 12 caractères permet d’allier sécurité et mémorisation. Cela ne sert à rien d’avoir un mot de passe de 50 caractères s’il n’est pas possible de le retenir.

2. Un mot de passe sans logique !

Vous pouvez sans problème utiliser un passphrase, c'est à dire une phrase facile à mémoriser pour vous MAIS attention à ce qu'elle ne soit pas logique pour d'autres.

A ne pas faire :

j'adore hitek > jadorehitek => tout le monde adore Hitek et phrase trop classique, pensez à éviter les mots trop classiques comme "adorer", "aimer", "voiture" etc...

Mieux :

je surkiffe hitek à dos d'âne > jesurkiffehitekàdsodâne => les mots "âne" et "hitek" n'ont aucun lien donc plus difficile à trouver mais facile à mémoriser pour vous si vous êtes fan des ânes (bon j'avoue ce n'est pas le meilleur exemple ^^). En plus de ça, nous avons rajouté des accents sur à et â et inversé le s et le o à "dos".

Mais attention, ce n'est pas suffisant !

3. Caractères spéciaux et majuscules / minuscules !

Utiliser les majuscules ou les caractères spéciaux c'est une très bonne idée... tant qu'il n'y a AUCUNE logique ! On a l'habitude de mettre une majuscule au début de chaque mot ou à la fin de chaque mot... NE LE FAITES PAS ! Tout comme les caractères spéciaux le @ à la place du a, le ! à la place du i ou l etc... NE LE FAITES PAS !

On peut par exemple faire :

jesurkiffehitekàdsodâne > jesurkifFehitekàdSodâne => les majuscules sont mises au hasard, la difficulté réside dans la mémorisation. Pensez à rajouter un chiffre au hasard et un caractère spécial et vous avez un mot de passe quasi inviolable.

La phonétique est aussi un bon moyen de trouver un mot de passe ou en utilisant les premières lettres d’une phrase :

je surkiffe hitek à dos d'âne

ce qui donne :

jshàdd'â => il suffit d'y rajouter 2 caractères spéciaux au hasard, 2 majuscules et des chiffres qui ont une signification pour vous et aucune pour les autre (pas de dates d'anniversaire etc...) et le tour est joué => jSh58àD3#d'â

Les techniques sont nombreuses pour pouvoir générer un mot de passe, faites preuve d'imagination et surtout n'utilisez pas de méthode logique, car les attaques par brute force sont de plus en plus sophistiquées. Elles utilisent des algorithmes qui se basent sur les habitudes des utilisateurs. Comment ? A force que les mots de passes soient volés sur différents sites, les hackers ont une gigantesque base de donnée de plusieurs centaines de millions de mots de passes et ils se basent donc sur les habitudes des gens.

1 mot de passe par service et site Web

Si par malheur vous n’avez utilisé qu’un seul mot de passe pour l’ensemble des sites Web et service que vous consultez, vous avez beaucoup plus de chance de vous le faire voler. Chaque site a sa propre équipe de développement et si vous utilisez le même mot de passe sur un forum qui n’est pas entretenu correctement, le hacker aura accès à l’ensemble des autres services et sites auxquels vous êtes inscrits. Pour éviter cette erreur, il faut avoir 1 mot de passe pour chaque site Web et service. Le problème avec cette solution est qu’il est impossible de retenir tous les mots de passe que vous aurez généré. Vous pouvez donc créer un fichier sécurisé par un mot de passe fort pour les stocker, mais attention à ne pas laisser se fichier entre les mains de n'importe qui.

Le passphrase, pratique pour mémoriser mais pas infaillible !

C'est pour cela que la méthode la plus efficace pour créer un password est d'utiliser un générateur aléatoire de mot de passe. Nous allons voir ça dans un prochain paragraphe.

La meilleure solution reste le générateur de mot de passe !

Créer un passphrase c'est facile à mémoriser mais malheureusement ce n'est pas forcement la solution la plus sécurisée... Pour être vraiment tranquille, on vous invite à utiliser un générateur de mot de passe, plus difficile à mémoriser mais vous êtes sûr d'avoir un mot de passe le plus difficile à deviner en brute force. Il existe également des logiciels qui vous permettent de stocker et mémoriser tous ces mots de passes générés de façon aléatoire ! Pratique surtout qu'on doit en avoir un différent pour chaque site !

Mais lequel choisir ?

Il faudra pendre en compte l'utilisation des caractères spéciaux pour renforcer ce dernier et si le générateur ne vous propose pas cette option oubliez-le. De plus, il faut pouvoir stocker vos passwords à l'abri des regards indiscrets ou avoir une excellente mémoire pour retenir les mots de passe de tous les sites et services que vous utilisez.

LastPass

Ce site propose de créer et de stocker vos mots de passe sur vos différents appareils que cela soit sur Android, iOS, ou encore sur Linux, Mac ou Windows via un navigateur Web. Lorsque vous avez entré un mot de passe avec le lien du site qui correspond, vous pouvez directement cliquer dessus pour y être redirigé, ce qui est assez pratique. On peut créer des formulaires pré-remplis et même des notes. Le service propose aussi le partage de mots de passe avec vos amis ou votre famille de façon sécurisée. Il est possible de l'utiliser dans sa version gratuite sans aucun problème, mais si vous souhaitez passer à la version Premium, il vous en coûtera 12 dollars soit 1 dollar par mois qu'il faudra payer annuellement. 

Si vous êtes intéressés par LastPast ça se passe par ICI.

KeePass Password Safe

Ce gestionnaire de mot de passe est un logiciel libre et open-source proposant une multitude de fonctionnalités et de plugins. Au premier abord, il n'est peut-être pas le plus beau des gestionnaires, mais il est diablement efficace. De plus, il est mis à jour régulièrement et fonctionne sous PC (Linux, Mac, Windows) et mobiles (Android, iOS, BlackBerry, Java, etc.). Les nombreux plugins permettent de libérer tout son potentiel. On peut en trouver pour une synchronisation Cloud (Dropbox, Google Drive, Amazon, One Drive, etc.), pour l'importation d'autres gestionnaires, le chiffrage, le backup, l'intégration, il y a tout ce que vous pouvez désirer et cerise sur la gâteau il est en français !

KeePass Password Safe est incontourbale et vous le trouverez par ICI.

N'oubliez pas de regarder aussi du côté de votre antivirus, ce dernier dans la version Internet Sécurité peut proposer un gestionnaire de mot de passe.

Tester un mot de passe

Lorsque vous avez votre mot de passe, il est possible de le tester pour connaitre sa résistance de façon drôle via le site en ligne Secure Password Check de Kaspersky Lab

Tombé amoureux de l’informatique étant petit avec un Amstrad 6128, je n’ai jamais décroché. Depuis, je me suis diversifié en m’intéressant aux nouvelles technologies et plus particulièrement celle de notre quotidien.

Articles de Mickaël
Source(s) : Lifehacker
count
Commentaires (14)
j'adore le test de Kaspersky :) mon mot de passe me permet d'aller faire l'aller retour vers la lune MDR
photo de profil de Favio Par Favio, il y a 7 ans Répondre
L'accès à mon compte Steam est probablement le plus difficile de tous mes comptes sur Internet. Je défie les hackers de pénétrer cette forteresse imprenable. Il faut passer par un mot de passe hors du commun, une question perso ET avoir mon téléphone + le code du téléphone et se connecter à l'application Steam pour confirmer. Le tout sans se faire griller par les systèmes de sécurité de Valve.
Autrement dit, il est inviolable. ;D
photo de profil de Jamjam Par Jamjam, il y a 7 ans Répondre
Salut, si je peux me permettre de relever une coquille, aucun mot de passe est inviolable.
Même si ça prendra des centaines d'années pour déchiffrer celui-ci.

Certes, la sécurité au sein de Steam pour les comptes utilisateurs rajoute plus de "murs" avant d'atteindre le compte, mais c'est justement en faisant l'erreur d'associer un numéro de téléphone qu'il peut avoir une faille.
D'autant qu'il est même commun de se retrouver avec un compte piraté, parce qu'ils sont allés jusqu'a le chercher sur les serveurs Steam.
Bien que la méthode soit assez compliquée pour y arriver et demande des moyens conséquents pour faire une attaque de masse, mais le but sera quand même atteint.

Bon, 100 ans pour casser un mot de passe encodé en 128 bits pour un compte Steam, y faut en vouloir, mais c'était pour reprendre l'exemple. :)
photo de profil de BiscotteTartine Par BiscotteTartine, il y a 7 ans (en réponse à Jamjam) Répondre
Mon compte wow est certainement le plus sécurisé de mes comptes, un mot de passe n'ayant aucun sens avec caractère spécial et nécessite le générateur de code aléatoire que j'ai toujours sur moi et bien entendu ce n'est pas mon téléphone mais bien un appareil totalement hors réseau.

Dès fois je me dis que c'est mieux, mon compte ayant une valeurs assez élevé.
photo de profil de Araquiel Par Araquiel, il y a 7 ans (en réponse à BiscotteTartine) Répondre
waou mon mot de passe principal est plus crackable que mes mot de passe pour les site a la con T T
photo de profil de MangeLaMoi Par MangeLaMoi, il y a 7 ans Répondre
Keepass est un excellent logiciel, je l'utilise tout le temps.
Le seul point noir, c'est que si on oublie le mot de passe principal pour accéder au fichier... On est dans la merde (sauf si on crée un pass via une clé usb).
M'enfin, y suffira de ressortir le post-il collé sous le clavier pour s'en souvenir, hein.
photo de profil de BiscotteTartine Par BiscotteTartine, il y a 7 ans Répondre
Pour le mot de passe de la messagerie et le plus important, quand je crée un compte sur un site je sais que je ne m'en souviendrai pas car c'est finalement inutile, avec la simplicité de réinitialiser un mot de passe. Après pour les plus parano de plus en plus de sites utilisent l authentification forte.
Sinon je préfère me connecter avec un code unique +captcha je trouve que c'est le plus sur.
photo de profil de Bonam Par Bonam, il y a 7 ans Répondre
Cool, il faut plus de 10 000 siècles pour le craquer :o


Comment faire un bon mdp:

- choisir une phrase dans une chanson
- mettre une majuscule à la 2ème, 5ème, 9ème, 14ème lettre, etc ..
- prendre un code postal et le décomposer (ex: 95 695 > 4 20 15 6 100 4 20 15

Et le tour est joué.
photo de profil de Farore Par Farore, il y a 7 ans Répondre
Ou alors, tu donnes un coup de front sur le clavier, ça donne de bons résultats et quasi impossible de reproduire la même formule. :D
photo de profil de BiscotteTartine Par BiscotteTartine, il y a 7 ans (en réponse à Farore) Répondre
Le mot de passe de mon téléphone est 1234
photo de profil de Quelqu'un Par Quelqu'un, il y a 7 ans Répondre
Moi c'est 1111...
photo de profil de Quelqu'un Par Quelqu'un, il y a 7 ans (en réponse à Quelqu'un) Répondre
"Jaiunebited'âne" est hyper sécurisé
photo de profil de Gollum Par Gollum, il y a 7 ans Répondre
Je rajouterai bien un 32cm a la fin pour les chiffres
photo de profil de Stylorouge Par Stylorouge, il y a 7 ans Répondre
Les mots de passe de Kikou sont les plus efficace en fin de compte, NâI$sË pĀ#$ ?¿
photo de profil de Nico Par Nico, il y a 7 ans Répondre
Laisser un commentaire

Vous répondez à . Annuler