Maîtriser vos mots de passe, une évidence !

securite-mots-de-passe

Il est toujours bon de faire quelques rappels sur les sujets sensibles, celui des mots de passe en fait partie. Au fil des années, j’ai appris quelques bonnes pratiques sur la gestion de mes mots de passe. Récemment, j’ai écouté un épisode du Comptoir sécu dédié aux mots de passe. Vous trouverez ci-dessous un condensé des pratiques informatiques sur le sujet #NePasSeFairePirater 🙂

Contexte

Dans un monde où nous partageons de plus en plus de données (personnelles), où nous envoyons une quantité incroyable d’informations dans le Cloud, les risques liés à la sécurité doivent être pris au sérieux.
Jusqu’à preuve du contraire, le mot de passe reste l’outil le plus répandu et le plus fiable pour sécuriser les données du grand public (à condition qu’il soit bien utilisé). Il est donc attaqué de toute part par des personnes bienveillantes et malveillantes…

Objectifs des « gentils » et « méchants » hackers

Les gentils, c’est assez simple : par exemple, ils peuvent faire des concours légaux pour casser des mots de passe, selon des techniques bien connues des experts. C’est plus un défi qu’autre chose. Ils cherchent principalement à améliorer la sécurité.
En revanche, les méchants hackers usurpent des identifiés, envoient des spams, récupèrent des listings gigantesques (e-mail, mots de passe…), revendent des informations volées, etc.

Les gentils hackers partagent les méthodes utilisées pour casser les mots de passe. Ils disposent aussi d’un index répertoriant tous les mots de passe déjà cassés.

Les mots de passe à éviter

On le sait maintenant (faut-il encore l’appliquer !), les mots de passe « bateau » sont à éviter impérativement :
→ tous les mots du dictionnaire
→ les dates, noms et prénoms de notre entourage
→ les mots generalists : password, admin, 123456, abcdef, azerty, qwerty, love,…
→ tout ce qui est variante. Explication : si vous vous intéressez un peu au sujet, vous avez sans doute déjà entendu parler des variantes de mots de passe. Globalement, on se trouve un mot de passe et on le fait varier selon les sites.
Exemple :
La racine de mes mots de passe est GenMob.
Si je vais sur Ebay, mon mot de passe sera : GenMobEbay
Si je vais sur Amazon, mon mot de passe sera : GenMobamazon
Etc.
Eh ben, ce n’est pas vraiment une bonne idée selon Hydraze, passcracker depuis 4 ans interrogé par le Comptoir Sécu.
De même, remplacer quelques lettres de minuscules en majuscules (et inversement), ou ajouter un caractère spécial à la fin de votre mot de passe pour le faire varier n’est pas suffisant.

hm36drugs-are-bad-posters

Les bonnes pratiques

À mon avis, cela tient en 4 règles. Il est sain de trouver un compromis entre sécurité et confort. Attention à ne pas trop faire pencher la balance en faveur du confort…

1. Ne jamais utiliser le même mot de passe sur plusieurs sites.
2. Utiliser un gestionnaire de mots de passe pour générer des mots de passe longs et impossibles à deviner.
Ci-dessous, les acteurs majeurs dans le domaine. Ces outils peuvent gérer tous vos mots de passe (complexité, fiabilité, remplissage automatique des formulaires, un seul mot de passe à vous rappeler, synchronisation entre vos appareils, etc.).

LastPass
Dashlane
KeePass
1Password

3. Utiliser des mots de passe de plus de 15 caractères. Pour certains sites, comme les banques, on est limité à un code PIN à 4 chiffres.
Les hackers peuvent tester plusieurs milliards de combinaisons en une seule seconde ! Calculez le temps qu’il faut pour trouver un mot de passe de 5-6 caractères… Concernant les banques, elles disposent de systèmes de sécurité pour empêcher ces tentatives d’accès.

4. Votre mot de passe maître (le principal pour Lastpass, Dashlane,…) et les mots de passe de vos adresses e-mail doivent impérativement être forts. Que dis-je… très forts !
Pour le mot de passe maître, la raison est évidente vu que c’est la clé de tous vos autres mots de passe. Une double authentification est recommandée.
Pour les adresses e-mail, c’est souvent par là que les sites nous permettent de changer de mot de passe.
Partez sur un minimum de 15 caractères, des caractères spéciaux, des majuscules et minuscules, pas de répétition de caractères.
Ne conserver votre mot de passe maître que dans votre tête, nulle part ailleurs ! On oublie les post-it, OK ? 🙂

Extra

C’est super d’avoir des mots de passe renforcés, mais encore faut-il que les sites en prennent soin. On parle de « mot de passe stocké en clair » pour parler de sites qui ne stockent pas les mots de passe de manière sécurisée. En gros, n’importe quelle personne mal intentionnée (avec un peu de connaissances) peut récupérer les codes d’accès du site en question.

Pour détecter ces sites qui ne portent que peu d’intérêt à vos données personnelles, il existe une astuce très simple.
Sur les écrans de connexion, cliquez sur le bouton « Mot de passe oublié/perdu ? ». Si un site vous envoie un e-mail en vous redonnant votre mot de passe dans le corps du mail, c’est que votre mot de passe n’est pas stocké de manière sécurisée => site web à éviter si vous avez des données sensibles.
Attention, un site web qui vous envoie vos codes d’accès en clair par e-mail juste après une inscription n’est pas forcément un site dangereux (ça peut simplement être un script automatisé).

Le site Plain Text Offenders propose une liste NON exhaustive de ce genre de sites.

J’espère que ces rappels vous seront utiles, et que vous allez les appliquer dans la foulée 🙂

Génération mobiles

A propos Primokorn 49 Articles
Après l'informatique en général, je me suis intéressé aux OS mobiles il y a plusieurs années et plus particulièrement à Android. Beaucoup de lectures et de pratiques me donnent envie de partager toutes ces informations, avec un penchant pour la personnalisation, le logiciel libre, la sécurité et la vie privée. #libriste

5 Commentaires

  1. D’autant que c’est très difficile, beaucoup comme moi… Ont à gérer plusieurs dizaines de MDP… et parfois plus, c’est mon cas ! qu’ils soient pro, personnel, associatif… etc.

    Certains de mes collègues ou amis ont une fiche avec tous leurs mot de passe à côté de l’ordi… Bonjour la sécurité dans ce cas… puisqu’il est quasiment impossible de mémoriser plusieurs dizaines de MDP… sans en oublier un… c’est du vécu !

  2. article sympa. Perso étant donné que j’ai plusieurs dizaines de passe, j’utilise dashlane qui est très bien fait.
    Mes mot de passe ne font pas 15 caractères, mais généralement, j’utilise au moins une majuscule, un caractère spécial et un chiffre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*