Sécuriser un mot de passe
Sécuriser un mot de passe est primordial. Le mot de passe est aujourd’hui le mode d’authentification le plus utilisé, mais nous avons pu voir que son utilisation il n’était pas exempt de risques.
Piratage facilité par des outils, divulgation par ingénierie sociale, ou encore faiblesse lors de sa création sont autant de risques à prendre en compte. Il est cependant plus que jamais essentiel de bien sécuriser son mot de passe car il est souvent l’unique moyen de protection de vos données.
Dans cette unité nous découvrirons ce qu’est un mot de passe, comment le mémoriser et surtout comment éviter sa divulgation.
Un bon mot de passe
Définition
Pour rappel, lorsqu’un mot de passe apporte un niveau de sécurité suffisant, on parle de mots de passe forts. C’est-à-dire qu’il est difficile de le découvrir par un attaquant dans un temps raisonnable, à l’aide d’outils automatisés de recherche qui mettent en œuvre les différentes techniques d’attaques vu précédemment.
Composition
Pour rappel, au regard des capacités techniques actuelles des équipements informatiques, la taille d’un mot de passe est idéalement d’au moins 10 caractères on s’autorise à utiliser un éventail large de caractères (majuscules, minuscules , chiffres et les caractères spéciaux).
Règles de composition pour sécuriser un mot de passe
Attention aux règles de composition toute faites et notez que plus vous utilisez un éventail large de caractères, mieux votre mot de passe sera protégé.
Pour 10 caractères numériques, il existe 10 milliards de possibilités.
Pour 10 caractères quelconques parmi un jeu de 90 caractères, il existe 35 milliards de milliards de possibilités. Ce qui, vous le comprenez, augmentera considérablement le temps nécessaire à l’attaquant pour découvrir votre mot de passe, même en utilisant des outils automatisés.
Nous vous déconseillons de remplacer des caractères de mots du dictionnaire par des caractères spéciaux ou de simplement ajouter des signes de ponctuation en fin de mots.
Une utilisation « des caractères spéciaux » n’apporte pas de valeur ajoutée. En effet, mot2pA$$e! est facile et un dérivé automatiquement des mots du dictionnaire (mot de passe).
Règle d’or de la création de mot de passe
Pour créer et sécuriser un mot de passe fort, il est donc recommandé de suivre quelques règles d’or :
- Définir au moins 10 caractères
- Utiliser un jeu de caractères variés (des contraintes sont d’ailleurs souvent imposées par les outils), choisir au moins un élément de chaque groupe de caractères (majuscule, minuscule, numérique, spéciaux).
- Éviter les rapports psycho-sociaux évident vous concernant (nom, prénom, date de naissance, prénoms de vos parents ou enfants, nom de votre animal de compagnie, etc.)
- Évitez également les liens avec le nom du service pour lequel il est utilisé (exemple : mdpHotmail, Assurance21, etc.) ou encore avec sa fonction (exemple : MaSociete250000, Adminserveurrimprimerie, etc.)
- Bannir tous les mots issus d’un dictionnaire, même sous forme dégradé puisque, comme nous avons pu le voir, ceux-ci sont testés dès le premier niveau d’attaque L objectif doit être de rendre le mot de passe difficile à deviner, y compris à partir des données personnelles.
Le changement de mot de passe
En cas de compromission d’un service ou de base de données, il est nécessaire de disposer d’un moyen de changer son mot de passe. Lorsque vous créez un mot de passe, il est important que vous répétiez la procédure qui vous permet de le changer en pas de problème.
Votre service informatique peut vous imposer de changer régulièrement votre mot de passe. Idéalement vous devriez choisir un nouveau mot de passe à chaque fois. En effet, si vous contenter d’ajouter un compteur à votre mot de passe, et qu’un attaquant découvrent votre ancien mot de passe, il lui sera très aisé de découvrir celui en cours.
C’est pourquoi il n’est pas recommandé de forcer les utilisateurs à changer de mot de passe trop fréquemment.
À noter
Notez que certains caractères comme les caractères accentués de nos claviers français ne sont pas toujours disponibles sur les claviers d’autres pays.
Aussi, si vous devez utiliser des stations de travail avec d’autres types de clavier, par exemple dans une filiale à l’étranger, pensez-y lors du choix de votre mot de passe.
Évitez d’utiliser certains caractères qui pourraient poser des problèmes
Et bien entendu, un mot de passe n’est plus bon dès lors qu’il apparaît comme exemple sur internet ! Inutile de vous rappeler de ne pas utiliser les mots de passe proposés dans ce guide.
Comment mémoriser un mot de passe fort ?
Vous vous demandez certainement comment retenir un mot de passe tel que « Pa_u5W4?MG » ? pour le retenir il sera forcément nécessaire de l’écrire quelque part ou de leur réinitialiser à chaque utilisation à répondant à la question secrète : le nom de mon animal de compagnie par exemple.
Mais ceci serait une erreur puisque nous l’avons vu, l’écrire où utiliser une question secrète présente des risques en termes de divulgation.
Stocker son mot de passe dans un logiciel adapté tel que KeyPass est également une excellente alternative.
Définir une phrase de passe
En revanche, il est possible de créer des mots de passe forts dont on peut se souvenir facilement grâce à quelques méthodes et moyens mnémotechniques. Pour cela, il est conseillé de définir une phrase passe.
Le principe de base est de prendre plusieurs mots au hasard, disons quatre pour les exemples suivants, puis de les concaténer.
Exemple : « lunette:crayon:poste:chemin » ou bien encore « clavier?travail.fenetre:arbre ». Ces mots facilement mémorisable sont en revanche difficilement trouvable par un individu malveillant.
La phrase de passe peut également être une vraie phrase assez longue et ponctuée, comme par exemple « Vive les MOOC ! On en apprend beaucoup », mais là saisir fréquemment peu finir par être fastidieux.
Utiliser la phonétique
Une autre méthode consiste à utiliser la phonétique, c’est-à-dire à retenir les sons de chaque syllabe pour fabriquer une phrase facile à retenir, comme les exemples suivants :
- J’ai acheté huit CD pour cent euros cet après-midi -> ght8CD%€7am.
- J’aime les vacances à deux -> J’mLeVa@2
- Deux cadeaux à Noël -> 2KDO@nowel
Précisons que même si le système phonétique se rapproche beaucoup du langage SMS qu’il est déconseillé de l’utiliser, il peut cependant être acceptable dans les cas où l’on n’utilise une phrase de passe suffisamment longue et non seulement modifiée.
Conserver les premières lettres
Une autre méthode que l’on rencontre parfois consiste encore à retenir les premières lettres d’une phrase comme une citation ou encore les paroles d’une chanson.
Une telle méthode nécessite cependant d’éviter les phrases trop communes, de choisir une phrase suffisamment longue, et ne pas se cantonner aux majuscules. Par exemple, la citation « un tiens vaut mieux que 2 tu l’auras » devient « 1Tvmq2tl@ ».
En synthèse
Enfin, il est possible de combiner plusieurs de ces méthodes, comme par exemple « Pie-Car:5*5=25 ».
Retenez que ces différents moyens mnémotechniques vous permettront de définir des mots de passe sécurisés et faciles à retenir.
N’hésitez pas à y recourir pour sécuriser l’accès à vos comptes.
Comment éviter la divulgation de mot de passe ?
Nous avons vu dans les unités précédentes qu’il ne suffit pas qu’un mot de passe soit fort pour qu’il soit sécurisé. En effet, en complément des mesures que nous venons de voir, qu’il convient de mettre tout en œuvre pour limiter la divulgation de votre mot de passe.
Ce dernier point est plus difficile à appréhender puisqu’il ne dépend pas du mot de passe lui-même, mais de nos usage d’Internet, du poste informatique et plus globalement de notre vigilance face aux escroqueries.
Quelques techniques peuvent vous permettre de bien réagir face à diverses situations.
Rappelez-vous ce que nous avons vu, la divulgation d’un mot de passe peut se produire de différentes façons, vous devez donc être vigilant en toute circonstance et savoir repérer les pièges. Étudions comment repérer les pièges à l’aide de quelques scénarios de divulgation de mot de passe que nous allons découvrir.
Notez que ces scénarios de divulgation ne sont pas exhaustifs.
L’interception de mot de passe
Je suis dans un hôtel et je dois me connecter à ma messagerie en ligne. le seul moyen disponible pour cela est d’utiliser l’ordinateur de l’hôtel qui est en libre accès. cette opération est-elle risquée ?
Réponse : Oui
Cas 1 : Dans cette situation qu’aurait il put m’arriver ?
N’oubliez pas que lorsque vous connectez sur un ordinateur public celui-ci peut être piégé. En effet, un logiciel malveillant pourrait être installé sur cet ordinateur et intercepter les frappes du clavier pour récupérer votre mot de passe.
Cas 2 : Dans cette situation qu’aurait il put m’arriver ?
Vous pourriez également le divulguer sans vous en rendre compte si une personne malveillante vous observé.
Cas 3 : Dans cette situation qu’aurait il put m’arriver ?
Par ailleurs, si vous consultez votre messagerie et vous contenter ensuite de fermer le navigateur sans se déconnecter « proprement » au préalable, les cookies de navigation laissés sur le poste informatique peuvent permettre un prochain utilisateur de se connecter à votre messagerie sans avoir à saisir le mot de passe.
Cas 4 : Dans cette situation qu’aurait il put m’arriver ?
Il est également possible que ce poste en libre accès soit saint mais que ces communications réseaux soient interceptées par un individu malveillant étant donné que le réseau n’est pas compte de confiance.
L’éducation par vulnérabilité où malveillance d’un site internet
J’utilise le même mot de passe partout où je m’inscris. Mais hier, j’ai appris par un article de presse qu’un site internet où je suis inscrit s’est fait voler des centaines de milliers de mots de passe utilisateur lors d’une attaque informatique.
Que faire ?
Réponse : j’ai changé mon mot de passe sur le site en question et sur tous les autres sites où je l’ai utilisé.
Face à cette situation, les attaquants qui récupèrent des bases de comptes d’utilisateurs sur des sites piratés peuvent ensuite les utiliser pour se connecter à votre place avec les mêmes mots de passe sur d’autres sites qui les intéressent davantage :
- Site de commerce en ligne pour faire des achats à votre place
- Messagerie en ligne pour voir s’il ne trouve pas d’autres choses intéressantes
- Réseaux sociaux pour faire du spam ou de la publicité
- Site de stockage en ligne pour voler vos photos privées.
Synthèse
Vous l’avez compris, la sécurité de votre mot de passe dépend avant tout de votre vigilance et en toutes circonstances il est recommandé de suivre ces quelques règles :
- Utiliser des mots de passe fort.
- Vous assurez de connaître la procédure de changement de mot de passe pour l’utiliser le jour où vous en aurez besoin.
- Utiliser des mots de passe différents sur les sites vous vous inscrivez.
- Ne faites pas confiance dans des dispositifs d’accès à internet (PC, portable, tablette, smartphone, etc.) donc vous ne connaissais pas le niveau de sécurité.
- Activer des fonctions de double authentification (par SMS, application jetons, etc.) quand elles sont disponibles.
- Utiliser un coffre fort pour vos mots de passe