Choisir son mot de passe

Mar 14
2011

Quel que soit le service au quel vous souhaitez accéder, une mot de passe vous est demandé. Cela permet de sécuriser vos données.

 

 

 

 

 

Il existe en effet des méthodes assez populaires pour trouver les mots de passe :
Recherche par dictionnaire : l’outil se base sur une base de données de mots. Ces mots seront testé les un après les autres jusqu’à trouver le sésame, ou épuisement de la base. Si votre mot de passe n’est pas dans la base, aucun risque.
Social engineering : Pas d’outil pour cela. La personne qui souhaite accéder à votre compte va *deviner* le mot de passe. Prénom des proches, dates anniversaires, … Là encore si votre mot de passe est complexe, il sera pas possible de le trouver.
Brute force : L’outil va tester les caractères les uns après les autres jusqu’à trouver la bonne combinaison. Cette méthode est infaillible. Cependant, elle peut mettre beaucoup de temps, selon le niveau de difficulté du mot de passe.

L’un des paramètres de base de l’outil de type brute force est la complexité du mot recherché. Ainsi, il sera très facile de trouver un mot n’utilisant que des lettres en minuscules.
Afin de rendre un mot de passe, non pas incassable, mais très difficilement cassable, voici quelques indications :
-La longueur doit-être d’au moins 8 caractères
-Utilisez des chiffres et des lettres (majuscules et des minuscules)
-Utilisez des caractères spéciaux.

Sachant cela, il est clair qu’il est préférable de choisir pour mot de passe quelquechose du style *ceS>HNW1s=*6v:PP*.
Mais qui peut se souvenir d’un tel mot de passe.

Une méthode assez simple a utiliser est ce que l’on appel le l33t sp34k. Il s’agit du remplacement de certaines lettre d’un mot par des chiffres ayant une forme approchante.
E > 3
A > 4
O > 0

Cette méthode à une faille : Elle est largement connue. Cependant, si elle est utilisée dans le cadre d’un mot de passe mnémotechnique, cela est très efficace. Voici un exemple de définition d’un mot de passe :

  1. base :maison jaune
  2. l33t sp34k : m41s0n j4un3
  3. Ajout de majuscules : m41S0n J4un3
  4. Ajout de caractères spéciaux : %m41S0n_J4un3

Ce mot de passe est impossible à trouver via les méthodes dictionnaire ou social engineering. Elle est par ailleurs très longue à trouver via le brute force… assez pour décourager.

Nous avons maintenant un mot de passe fiable. Il est cependant déconseillé d’utiliser le même mot pour toute ses applications. Aussi compliqué soit-il, s’il est découvert, l’attaquant aurait accès à toutes vos données. Un décret paru au Journal Officiel, relatif à la LCEN (loi pour la confiance dans l’économie numérique) officialise l’obligation pour les hébergeurs de contenu (sites et services internet) et FAI (Fournisseurs d’accès Internet) de conserver et fournir un grand nombre de données personnelles dont les mots de passe. Je vous laisse donc imaginer la suite.

Avoir un sésame différent par service serait un casse tête (quoi que très bon pour la mémoire :)). Il est possible de noter tous ses mots de passe dans un fichier texte que l’on promène sur une clef USB, mais en cas de vol de la clef …

La solution sera certainement d’avoir un mot de passe de base complexe, et de lui ajouter en suffixe ou préfixe le nom de l’application :
Yahoo : Y4h00$%m41S0n_J4un3
Google : G00g13$%m41S0n_J4un3
Windows : W1n$%m41S0n_J4un3
etc.

Ces mots de passe restent facile à mémoriser.

Et vous, quelles sont vos habitudes en terme de choix de mot de passe ?

 

(source image : http://doc.fedora-fr.org/w/images/9/91/Securite_logo.png)

social engineering

Comments are closed.