Un mot de passe, c’est comme une brosse à dent
Au cours d’une de mes missions dans un laboratoire du CNRS, je suis tombée sur un document de sensibilisation des utilisateurs vis à vis de leur mot de passe. L’image « choc » dont ils se sont servis est de comparer un mot de passe avec une brosse à dent : c’est personnel et on le change souvent !
Prêteriez-vous votre brosse à dent ?
La première des sécurités est que le mot de passe reste personnel. Si la moitié du service connait mon mot de passe, il n’a plus aucun intérêt, bien sûr ! D’ailleurs, la meilleure façon d’obtenir le mot de passe de quelqu’un est bien souvent de le lui demander (le hameçonnage en est un bon exemple)…
Combien de temps gardez-vous la même brosse à dent ?
Pour le renouvellement, je suis plus réservée (vous le verrez ci-après). Mais il est vrai que dès que le mot de passe a été compromis (utilisation sur un ordinateur dont on n’est pas sûr, dans des conditions permettant à d’autres personnes de le visualiser, etc), il est important de le modifier.
De plus en plus de mots de passe
Le nombre de ces sésames rend très compliqué l’idée même de tous les retenir. De plus, la politique de l’hyper-sécurité est, à mon avis, bien souvent contre-productive : on impose des mots de passe impossibles à découvrir et, en corollaire, à retenir et/ou un rythme de renouvellement rendant impossible de se fier à sa mémoire. Du coup, on se retrouve avec les mots de passe inscrits bien proprement dans un carnet (au mieux) quand ce n’est pas plus prosaïquement sur un post-it collé sur l’écran !
Une solution est de remplacer le carnet par un logiciel spécialisé et sécurisé. Il en existe des « tout fait » mais pourquoi ne pas créer vous-même votre « portefeuille » de mot de passe avec une simple base FileMaker ? Il faut dès lors avoir un solide mot de passe principal pour assurer la sécurité de l’ensemble !
Comment inventer un bon mot de passe ?
La question à se poser est en fait : que cherchons-nous à protéger et, du coup, quel est le temps raisonnable que doit « durer » le décodage de notre mot de passe ?
- 1 minute : autant ne pas mettre de mot de passe !
- 10 minutes : trop risqué
- 1 heure : encore insuffisant
- 1 jour : ça commence à devenir intéressant. Quel pirate prendra la peine de passer une journée entière pour décoder le mot de passe d’accès au forum des passionnés de vers de terre auquel je suis inscrite ?
- 1 mois : vos données sont sensibles et cela doit valoir le coup de dédier une machine pendant un mois pour décoder ce mot de passe
- 1 an : nous passons du risque réel au risque théorique. Sauf si vous êtes la DGSE, il serait surprenant que vous ayez ce genre d’ennemis ou que les données de votre entreprise valent cet investissement (pour le pirate !).
- 10 ans : nous sommes là dans le purement théorique
- 100 ans = une vie entière : qui se préoccupe de savoir que ses données seront encore protégés longtemps après sa propre mort ? (évidemment, le pirate peut avoir de la chance et « tomber » sur le bon mot de passe au bout de seulement 15 ans…)
Vous verrez souvent qu’il est conseillé de panacher les lettres minuscules, majuscules, les chiffres et la ponctuation pour rendre le mot de passe impossible à trouver. C’est une réponse aux attaques les plus courantes des pirates :
- Force brute : le pirate tente des mots de passes, les uns après les autres en intervertissant un caractère à la fois (aaa, aab, aac, aad, …)
- Mots courants : au lieu d’utiliser des combinaisons de lettres aléatoires, le pirate tente des mots issus d’une liste de mots les plus utilisés
- Dictionnaire : ici, le pirate tente chaque mot du dictionnaire un à un (et pas seulement les plus courants)
En évitant d’utiliser de vrais mots, votre mot de passe devient inaccessible au deux dernières méthodes et surtout impossible à deviner : même si on vous connait bien, on ne pourra pas trouver que votre mot de passe est J4fl52[ ! Mais comment allez-vous le retenir ?
Source (en anglais)Connaissez-vous les « cadavres exquis » ?
Vous avez peut-être déjà joué à ce jeu très simple : le principe est que chaque joueur fournit des bouts de phrase (un sujet / un verbe / un complément de lieu / un adjectif / etc) qu’on mélange ensuite dans une grande marmite pour ressortir des phrases sans queue ni tête mais absolument savoureuse.
Plus sur le cadavre exquis sur Wikipédia.Quel rapport avec les mots de passe ?
Au final, ce qui fait un bon mot de passe est surtout sa longueur. Et pour ce qui est de la confidentialité, le meilleur moyen de ne pas avoir de post-it avec le mot de passe est encore de pouvoir le retenir sans effort ! Dans l’article en anglais que j’ai cité plus haut, on apprends que le mot de passe « this is fun » prendra 2.537 ans à être décodé (par la méthode des mots courants) ! Plus facile à retenir que le J4_c’étaitQuoiDéjà ?
Vous voyez où je veux en venir avec mon cadavre exquis ? Et comme un dessin vaut mieux que 908 mots, je vous invite à visiter ce lien pour comprendre celui (de lien) avec les cadavres exquis : Password Strength. Je traduis ici la conclusion sous le dessin, que je trouve délicieusement ironique : « Grâce à 20 ans d’effort, nous avons réussi à former tout le monde à utiliser des mots de passe qui sont durs à retenir pour les humains, mais simples à deviner pour les ordinateurs ! »
Magalie Jeune
Tags: confidentialité, mot de passe, sécurité
Merci de laisser un commentaire (Pas de commentaire )
Désolé, les commentaires des articles réservés sont eux-mêmes réservés
Il n'y a pas de commentaire pour l'instant, soyez le premier ;-)