Archives mensuelles : octobre 2013

Créez et mémorisez des mots de passe complexes et différents !

Password

De toute façon, je n’ai rien à cacher

Avant de voir comment, voyons pourquoi il est important de ne pas négliger la qualité de ses mots de passe.

Sites de vente en ligne, réseaux sociaux, messageries, banques en ligne ; les services que vous utilisez ont un point commun, ils contiennent de nombreuses informations personnelles vous concernant. Quiconque parviendrait à s’y connecter aurait accès à certaines des informations suivantes :

Historique complet des sites que vous avez visités, des vidéos que vous avez regardées, des personnes que vous avez contactées, des messages que vous avez échangés, des achats que vous avez réalisés, des images que vous avez regardées, vos coordonnées, vos photos, vos vidéos, vos données bancaires, vos informations patrimoniales ou financières, votre localisation géographique actuelle, les activités de vos enfants, vos numéros de permis de conduire, de carte d’identité, d’immatriculation, vos qualités personnelles, vos difficultés sociales, vos problèmes de santé, votre agenda, votre orientation politique, sexuelle ou religieuse ; je m’arrête ici, mais je pense que vous avez saisi l’idée.

Ma question est la suivante : vos mots de passe sont-ils à la hauteur des informations qu’ils protègent ?

Qu’est-ce qu’un bon mot de passe ?

Dans la majorité des ouvrages et des sites spécialisés traitants du sujet, on peut lire qu’un bon mot de passe est avant tout un mot de passe fort, c’est-à-dire difficile à retrouver que ce soit par déduction ou avec des outils automatisés. Ainsi, il ressort que la qualité d’un mot de passe dépend de cinq critères :

  1. sa complexité – les suites de nombres, les dates de naissance, les noms de personnes proches et le nom du chien sont à proscrire
  2. sa longueur – il est admis qu’un mot de passe robuste est composé de 8 à 10 caractères minimum
  3. la diversité des types de caractères – il doit être composé d’un mélange de chiffres, de majuscules, de minuscules et de caractères spéciaux
  4. son exclusivité – un mot de passe doit être unique et ne pas être réutilisé pour plusieurs services
  5. sa durée de vie – idéalement, ce mot de passe devrait être régulièrement modifié, cela, dans l’éventualité où il aurait été découvert

La triste réalité

Force est de constater que ces cinq recommandations ne sont que très rarement mises en application conjointement. Pire, d’après une étude du cabinet Deloitte, les 10 000 mots de passe les plus utilisés suffiraient à accéder à près de 98,1 % des services qu’ils sont censés protéger !

Dans les faits, que constatons-nous aujourd’hui :

  • des mots de passe peu complexes sont utilisés tels que « password », « 123456 », le nom de l’animal de compagnie ou des enfants, les plus téméraires y ajouteront une année de naissance
  • en dehors des chiffres et des lettres, les mots de passe ne contiennent généralement ni majuscules ni caractères spéciaux
  • si une personne possède un mot de passe bien composé (caractères variés et non devinables), celui-ci sera utilisé à l’identique pour l’ensemble des services sur lesquels elle est inscrite
  • un mot de passe long, spécifique à un groupe restreint de services et composé de caractères variés sera noté sur un post-it, dans un carnet ou dans un fichier texte
  • rares sont les personnes qui sont prêtes à changer de mot de passe régulièrement

Pourtant, la plupart de ces personnes sont conscientes des faiblesses de leurs mots de passe. Alors pourquoi ce constat ? La réponse est simple, nous ne sommes pas des machines.

Lorsque nous avons énoncé les cinq critères qui permettaient d’assurer la qualité d’un mot de passe, nous avons omis un sixième critère pourtant essentiel : sa simplicité de mémorisation. En effet, pour des raisons physiologiques, l’être humain ne retient en moyenne que 5 à 7 mots de passe.

Quelle est la solution ?

Le problème étant notre incapacité à retenir de nombreux mots de passe, je vous propose une méthode permettant d’avoir un mot de passe différent pour chaque service sans pour autant avoir à s’en souvenir ou à le noter.

L’idée est d’utiliser un mot de passe dont une partie sera toujours identique et dont l’autre partie dépendra du service utilisé.

Pour cela, je vous propose de conserver votre mot de passe actuel composé du nom et de la date de naissance du fiston, mais d’y apporter quelques modifications.

Votre mot de passe actuel : Laurent89

Pour complexifier ce mot de passe, je vous suggère la technique du décalage. Cette technique – qui ne s’appliquera qu’aux lettres de l’alphabet – consiste à décaler vos doigts d’une touche vers la gauche ou vers la droite de votre clavier. Par exemple, si l’on choisit le décalage vers la droite, la lettre T devient la lettre Y. Cette technique posant problème avec les lettres situées aux extrémités du clavier (les lettres A, Q et W si vous avez choisi le décalage vers la gauche et les lettres P, M et N si vous avez choisi le décalage vers la droite), vous devez choisir un caractère joker. Pour le choix de votre joker, je vous recommande d’utiliser un caractère spécial (quelques exemples : $ * . / + – ? !).

Pour l’exemple, je vais choisir le décalage vers la droite et le joker suivant : $. Notre mot de passe devient donc : Mzitr$y89

Nous avons notre mot de passe de base, il ne nous reste plus qu’à lui ajouter un préfixe (ou un suffixe !) qui dépendra du service sur lequel vous vous identifiez. L’idée est bien sûr de ne pas avoir besoin de faire travailler sa mémoire pour retrouver ce suffixe. Je vous propose d’utiliser les 3 premiers caractères du nom du service. Par exemple, pour facebook.com, vous garderez « fac », pour Google « goo », pour votre compte Skype « sky », etc.

Pour l’exemple, nous allons générer un mot de passe pour nous connecter à notre compte Google. Nous ajoutons donc le préfixe « goo » à notre mot de passe, et bien sûr nous lui appliquons le décalage, cela nous donne : hppMzitr$y89

Mot de passe généré avec la technique du décalage

Et le critère numéro 5 ?

Le critère numéro 5 de qualité d’un mot de passe est sa durée de vie, qui idéalement, dans le cas d’un service critique, devrait être limitée à un mois. Malheureusement, lorsque l’on est inscrit sur des dizaines, voire des centaines de sites, il est très contraignant de changer ses mots de passe régulièrement et cela nécessite une vraie organisation. Il est d’ailleurs peu probable que vous vous donniez cette peine ; d’autant plus qu’il y a de fortes chances pour que vous ne fréquentiez pas mensuellement certains des sites sur lesquels vous êtes inscrits. Je vous recommande tout de même fortement de renouveler la totalité de vos mots de passe à minima chaque année.

La première idée venant à l’esprit lorsque l’on souhaite générer un mot de passe dont la durée de vie est limitée dans le temps est d’ajouter la date au mot de passe. Par exemple, à la place de l’année de naissance, nous pourrions ajouter l’année actuelle : hppMzitr$y13.

Mais ici, la problématique est double, il faut d’une part être capable de se souvenir d’un mot de passe qui aurait été généré de nombreuses années auparavant, mais aussi empêcher une personne qui aurait récupéré plusieurs de vos mots de passe de retrouver la méthode qui a permis de les générer.
Pour cela, nous allons utiliser une calculatrice et un nombre décimal de votre choix. Il est primordial de choisir un nombre décimal dont vous vous souviendrez sur le long terme, quelques exemples :

  • π : 3.1415
  • euro/franc : 6.55957
  • date de naissance : 1.8031988 (18 mars 1988)
  • code postal : 1.3200

Nous multiplierons ce nombre par l’année et en garderons les 3 premières décimales. Par exemple, si nous choisissons le nombre 3.1415 nous avons :

  • pour l’année 2013 : 3.1415 x 13 = 40.8395
  • pour l’année 2014 : 3.1415 x 14 = 43.981
  • pour l’année 2015 : 3.1415 x 15 = 47.1225

Selon le nombre décimal que vous utilisez, il peut arriver que le résultat du calcul ne vous donne qu’une ou deux décimales, il suffira dans ce cas-là d’ajouter votre joker au résultat pour obtenir les 3 décimales nécessaires.

Pour l’année 2013, notre mot de passe Google sera donc : hppMzitr$y839

Pour conclure

Nous venons de répondre aux questions suivantes :

  • Pourquoi le choix d’un bon mot de passe est-il important ?
  • Qu’est-ce qu’un bon mot de passe ?
  • Pourquoi les recommandations de création d’un bon mot de passe ne sont-elles pas mieux respectées ?
  • Comment créer et retenir des mots de passe correctement construits ?

La méthode que je vous ai présentée n’est qu’une façon de faire parmi bien d’autres, mon but ici était de vous donner une base simple à comprendre et facilement utilisable ; libre à vous de la modifier et de l’adapter selon vos besoins et vos préférences. Vous pouvez par exemple décaler les voyelles vers la gauche et les consonnes vers la droite, utiliser un décalage de deux touches, inverser l’ordre des préfixes/suffixes (« cba » au lieu de « abc »), utiliser une suite de plusieurs jokers, etc.

Enfin, pensez à utiliser les moyens de sécurisation supplémentaires que certains sites mettent à votre disposition. Par exemple, Google, Facebook, Twitter, OVH et bien d’autres proposent la double authentification dont le principe est de demander en plus du mot de passe un code, envoyé par SMS.

J’espère que cet article vous aura été utile, n’hésitez pas à partager vos astuces et remarques.