comment choisir bon mot de passeHello world !

Pour les utilisateurs la sécurité informatique rime souvent avec contraintes et cela se matérialise dès le choix du mot de passe. Ce choix est souvent négligé pour plusieurs raisons, principalement parce que les utilisateurs clients sont chiants / cons et très mal informés (souvent même se sont les informaticiens du coin qui sont incapables de saisir les tenants et aboutissants de la chose et racontent un ramassis de sottises). Dans mon entourage en ce moment les attaques visant à usurper l’identité se multiplient alors qu'un mot de passe "correct" aurait permis à faire échouer ces tentatives. Il est temps de casser les idées reçues et si ce billets n'est pas exhaustif il vous permettra au moins d’appréhender les différents type d'attaques permettant de faire tomber un mot de passe et par conséquent comprendre comment en choisir un solide en tout simplicité.

I - H4ck3r WTF???

Afin de déterminer ce qu'est un bon mot de passe il faut tout d'abord comprendre les méthodes que les pirates utilisent pour vous attaquer.

1 - Regroupement d'informations:

Vous seriez étonné de savoir le nombre d'imbéciles (si vous faites cela c'est que vous êtes en effet idiot, mais bon vous n'êtes pas seul ...) qui choisissent en mot de passe des informations relatives à leur personne: date de naissance, prénom de leur enfant ou du chien, initiales, surnom etc. Un attaquant un peu renseigné sur votre personne ne mettra que quelques minutes pour casser ce genre de mot de passe: pour les entreprises cela peut être une attaque ciblé d'un conçurent, pour les particulier un ami(e) ou un membre de la famille qui souhaite tout simplement pourrir votre profil sur un réseau social. Ne choisissez jamais un mot de passe ayant un lien avec vous.

2 - Attaque par dictionnaire et brute force:

Une fois qu'un pirate aura essayé en vain de faire sauter votre compte par regroupement d'information il se tournera vers des logiciels spécifiques exploitant ce que l'on appelle des "dictionnaires". Se sont des listes de mots prédéfinis comme par exemple une liste des mots de passe les plus courants voir même être le contenu d'un dictionnaire complet. Avouez combien d'entre vous avez déjà choisi "azerty", "1234", ou mot de la langue française comme "internet" "maison" et autres chaines de caractères stupides comme mot de passe? A lire les conclusions d'une étude à propos de 10 000 mots de passe hotmail. Ne choisissez jamais un mot de passe générique.

Si l'attaque par dictionnaire échoue alors la méthode utilisée est le brute force, c'est à dire que le logiciel teste toutes les combinaisons possibles. Pour vous donner un ordre de grandeur imaginez qu'un ordinateur tout à fait abordable par le commun des mortels doté de 2 cartes graphiques puissantes peut de nos jours tester environ 28 millions de combinaisons par seconde sur un fichier zip. Sachez également que le temps nécessaire à outrepasser un mot de passe est proportionnel à sa longueur et la complexité des caractères qui le compose. En utilisant un mot de passe long (> 8 caractères) et avec des caractères spéciaux vous forcez l'attaquant à tester un grand nombre de possibilités. A lire: cet excellent dossier Peut-on casser un mot de passe avec une carte graphique ?. Faire tomber un mot de passe est donc une question de temps, quelques minutes seront nécessaires pour un mot de passe court, plusieurs années pour un mot de passe long. Ne choisissez jamais un mot de passe court.

3 - Snif, phishing, malware:

Le choix d'un bon mot de passe influera peu pour les attaques suivantes mais comment continuer ce dossier sans aborder le phising, la collecte d'information sur le réseau et les malwares. Lorsqu'on vous demande de saisir des informations sensible la vigilance de l'utilisateur doit être à son maximum:

1 - S'assurer d'être connecté sur un site sécurisé et certifié par une autorité indépendante (pas d'alertes à propos d'un certificat).
2 - S'assurer que le site sur lequel vous vous connectez n'est pas une copie malveillante.
3 - S'assurer que la machine que vous utilisez n'est pas compromise par des logiciels espions.
4 - Limitez l'accès physique à votre machine (il est très facile de compromettre une machine lorsqu'on y a accès physiquement).
5 - Utilisez un mot de passe différent pour chacun de vos comptes.

Et autres précautions d'usage banales ...

4 - La tragédie du post-it:

ARRÊTEZ D’ÉCRIRE VOS MOTS DE PASSE SUR DES POST-IT COLLE A VOTRE ÉCRAN !!! (Pu**** de boulets) (Oui c'est du vécu).

II - Comment choisir correctement un mot de passe.

Nous avons vu les 3 critères permettant d'obtenir un mot de pase solide, récapitulationnage (on invente des mots aujourd’hui!):

1 - Le mot de passe ne doit pas être lié à vous
2 - Le mot de passe ne doit pas être générique
3 - Le mot de passe doit être le plus long possible

Il existe une astuce toute simple qui vous permettra d'obtenir un mot de passe répondant à ces critères et facile à retenir (si si je vous assure!). Concaténez 3 mots courant de la langue française (allons, un peu d'imagination !) par exemple:

- citationjeuxconjugaison
- internautebilinguesiteweb
- televisionautoroutecamping

Bien entendu évitez les mots comme "maison" "marteau" "rouge" auxquels tout le monde pense inconsciemment en premier lieu. Ainsi vous n'avez que 3 mots à retenir et vous obtenez un mot de passe de guerre. Si vous voulez aller plus loin:

- Ajoutez des caractères spéciaux pour augmenter considérablement le temps de calcul en brute force.
- Changer votre mot de passe périodiquement pour qu'un pirate doive, à chaque modification, recommencer l'intégralité des calculs.

J'ai traité le sujet assez rapidement de manières partielle si vous avez des questions parce que je n'ai pas été assez clair ou que vous avez besoin d'un complément d'information je me ferai un plaisir d'y répondre dans les commentaires et mettre à jour le billet en conséquence. J'espère malgré tout que ce billet vous aura démontré que choisir un bon mot de passe n'est pas un calvaire et vous aura sensibilisé à quelques principes tout à fait banaux de la sécurité.

Image: keys par scientifiction.
Partager sur:
A propos de l'auteur:
Guillaume Jeantet: titulaire d'une licence pro et fort de quelques années d'expériences je suis administrateur système et développeur mais surtout un autodidacte dynamique et passionné. Je partage sur UBDT mes coups de coeurs et astuces.

Autres articles qui pourraient vous intéresser.

securite nfc paiementDoit-on faire confiance aux paiement sans contact NFC
Doit-on vraiment faire confiance au paiement sans contact. Renaud Lifchitz nous prouve que les cartes bancaires NFC ne sont pas du tout sécurisées.
resydev logciel libre audeReSyDev spécialiste informatique libre dans l'Aude
Spécialiste des solutions informatiques libres dans le département de l'aude ReSyDev est une nouvelle ENL (Entreprise du Numérique Libre): virtualisation, monitoring, install réseau, sécurité, maintenance des systèmes, déploiement d'ERP/CRM, solution de travail collaboratif, contrôleur de domaine/serveur de fichier/impression, sauvegarde etc.
facebook confidentialiteFacebook: comment gérer la confidentialité de mes données
Facebook met à dispositions des outils simple permettant de régler finement les paramètres de confidentialité de votre compte. Un peu d'imagination et il est possible de faire des choses sympathiques.
geolocalisation apple grotesqueApple et géolocalisation, le grotesque ne tue pas !
La publication des chercheurs Alasdair Allan et Peter Warden fait couler beaucoup d'encre, iPhones et l'iPads 3G conserve à l’insu des utilisateurs un log de leur positions géographiques.
#1 Le par John
Hello à tous,

Ton article est bien sympa.
Moi-même, lorsque je peux, je préconise aux gens autour de moi de faire ce genre de choses.
Mais une chose me chiffonne, c'est ta façon de prendre à cœur ce problème. Les gens s'en foutent et quand ils viennent pleurer qu'ils se sont fait hacker, c'est toi le sauveur.

Après, cette opinion est très personnelle mais je pense sincèrement que la plupart des gens qui sont un minimum sensible à l'informatique (je parle d'une approche intelligente) font ce que tu conseilles.
Je pense aussi que ces gens-là ne rigolent pas avec le minimum syndical de l'authentification et que les autres, au fond, s'en branlent tout simplement.

Article sympa en tout cas
#2 Le par Guillaume
"c'est ta façon de prendre à cœur ce problème." Tout simplement parce que j'y suis sensibilisé et que je peux mesurer l’embarras dans lequel les clients / amis peuvent se retrouver lorsque leur identité ou données sont compromises. Tout ça n'est qu'une question d'éducation et n'importe quelle personne qui comprend les enjeux de cette problématique prendra les mesures simple, banales, sus-cités.

Il y aura toujours des cons et on ne refera pas le monde pourtant je suis convaincu que si, nous administrateurs, prenons le temps d'adapter notre discours et d’expliquer au gens ils réagissent en conséquence. En attendant comme tu le dis quand une problème survient c'est toujours bibi qui trinque et je préfère prévenir que guérir.

Proposer un nouveau commentaire

Votre pseudo s'il vous plaît :

Email (Facultatif, n'est pas affiché et permet de recevoir des notifications de validation / réponses):

Votre site Web (facultatif) :

Exprimez vous :

:arrow::D:confused::cool::cry::eek::evil::!::idea:lol:mad::|:?::p:redface::rolleyes::(:):wink: