Comment créer un mot de passe bien sécurisé et facile à retenir
Créer un mot de passe bien sécurisé et facile à retenir, c’est facile ! Et pourtant trop de personnes utilisent encore des mot de passe peu sûrs ou faciles à deviner. Conséquence : des personnes mal-intentionnées peuvent usurper votre identité numérique pour commettre des infractions, voler vos données bancaires, ou encore atteindre un proche par social engineering. Il est donc grand temps de mieux protéger vos comptes !
Un mot de passe plus sûr, facile à mémoriser
C’est lundi, et en ouvrant votre station d’accueil : surprise, Windows vous demande de changer une fois encore votre mot de passe. Evidemment, vous ne pouvez pas mettre le même que celui dont vous avez eu tant de mal à vous souvenir. Bref, cela vous fait une belle jambe, d’autant que ce nouveau mot de passe vient s’ajouter à tous les autres que vous avez eu à changer dernièrement.
Le développement d’internet s’est accompagné d’une multiplication de mots de passe à retenir. Et de la tentation de simplifier cette étape rébarbative en utilisant des mots de passe simples, ou le même mot de passe pour plusieurs comptes. De nouvelles méthodes d’authentification (double-facteur) permettent de rendre le mot de passe moins critique du point de vue de la sécurisation de vos comptes en ligne.
Créer des mots de passes complexes mais facilement mémorisables n’est par ailleurs pas si compliqué ! Enfin, bien qu’un cran en-dessous du point de vue sécurité, des gestionnaires de mot de passe peuvent également vous éviter beaucoup de tracas. Vous saurez donc tout, après la lecture de ce dossier, sur les mots de passe et comment mieux vous protéger !
Pourquoi se soucier de votre sécurité en ligne ?
Petites gens que nous sommes, on se dit que nous ne sommes pas une cible de premier choix. Et pourtant, on peut faire quantité de chose avec l’identité d’un autre : souscrire un emprunt, nuire à votre réputation ou à celle d’un tiers en votre nom, propager des attaques informatiques et bien sûr accéder à vos boîtes mail et potentiellement tous vos autres comptes en ligne et informations bancaires.
Dans son rapport de 2015, l’Observatoire National de la Délinquence et des Réponses Pénales, parle pour 2014 d’une hausse certes légère des atteintes aux personnes liées à de la cybercriminalité. L’ONDRP estime pourtant à ce stade que seules 11% des atteintes aboutissent à une plainte de la part des victimes. Il serait en effet difficile pour ces dernières de savoir qu’elles ont fait l’objet d’une attaque.
Enfin, enfonçons une porte ouverte : une bonne connaissance de la sécurité des mots de passe est un indispensable pour qui veut explorer les dark nets et plus généralement le deep web tout en restant anonyme…
Authentification à deux-facteurs pour plus de sécurité
Aujourd’hui de plus en plus de voix s’élèvent pour annoncer la “mort” du mot de passe, celui-ci jugé peu sécurisé du fait de l’utilisation même que l’on en fait : utilisation de mots de passe simples, faciles à deviner, utilisation du même mot de passe pour plusieurs comptes etc. Il existe pourtant des solutions, notamment l’authentification à deux-facteurs, pour dépasser cette faiblesse en termes de sécurité.
L’authentification à deux-facteurs est pour le grand public une nouveauté. Il s’agit de se loguer en deux étapes : d’abord votre mot de passe, puis un autre généré ou reçu sur votre portable ou une clé électronique. Du coup, même si on devine votre mot de passe, il faut encore être en possession du terminal pour pouvoir donner l’autre code, qui change toutes les minutes (et donc que vous ne connaissez pas).
Facebook, Google, Twitter, Paypal, Apple, et Amazon proposent, pour ne citer qu’eux, ce service – à activer manuellement via la section sécurité dans les paramètres de votre compte.
Un mot de passe facile à mémoriser (et sécurisé)
On vous a dit qu’il fallait utiliser des lettres capitales et minuscules, des chiffres et des symboles : c’est vrai, mais ce n’est pas suffisant. Il faut en effet comprendre comment deux tiers des mots de passe sont découverts. Les hackers emploient le plus souvent une technique dite de “brute force” : ils testent une par une les combinaisons issues d’un dictionnaire spécialement conçu avec des millions d’entrées.
Ce dictionnaire contient tous les mots de passe les plus évidents, des millions de combinaisons de mots avec leur équivalent en l33t (substitution de lettres par des chiffres et des symboles), auxquels le hacker peut ajouter les résultat de sa rapide enquête de social engineering : noms des membres de la famille, dates de naissance, adresse et code postal.
Malheureusement la plupart des mots de passe sont construits avec un ou plusieurs de ces éléments relativement faciles d’accès, augmentant les chances, pour un hacker, d’arriver à ses fins.
Un mot de passe sécurisé ne doit rien signifier de prime abord. Il ne comporte aucune expression (code postal, nom, mot du dictionnaire, date de naissance) qu’un tiers puisse deviner. Il est également suffisamment long. La meilleure des méthodes pour en créer un est de laisser faire le hasard, et de tenter d’y donner un sens. Sous Mac et Linux, ouvrez une fenêtre de terminal et tapez la commande suivante :
openssl rand -base64 8 | tr -d '='
Pour les utilisateurs Windows, ouvrez cmd et lancez la commande suivante :
net user administrator /random
Ces commandes génèrent à chaque fois un mot de passe différent de 11 caractères alphanumériques incluant les symboles et sensible à la casse – réellement aléatoires. Générez-en plusieurs jusqu’à ce que vous en trouviez un suffisamment mnémotechnique.
Par exemple HUMmHOM/rpM peut être mémorisé par une phrase : HUM mathieu Hurle OM / rien pour Marseille.
Utilisez un gestionnaire de mots de passe
C’est une conséquence logique de l’explosion du nombre de mots de passe que l’on a à mémoriser : le développement des applications gestionnaires de mots de passe. Même le navigateur Google Chrome s’y est mis – ce qui permet de retrouver certains mots de passe oubliés.
Inutile de tourner autour du pot : la sécurité de ce type d’applications est de fait conditionné par le mot de passe que vous employez pour entrer dans cette dernière. Elle est donc au mieux moyenne, (au pire catastrophique) et n’est pas à recommander, cette solution pouvant vite être compromise.
- Voir aussi : Comment mettre un mot de passe sur un dossier
Sous OS X, pas besoin d’app : vous pouvez utiliser votre trousseau d’accès. Pour le retrouver, il suffit de faire une petite recherche dans Spotlight : là, vous retrouverez tous vos mots de passe enregistrés. Il sont chiffrés, mais protégés uniquement par le mot de passe de votre session ou une clé maître que vous avez choisie par la suite (ce qui, comme diraient les nuls, est “bien mais pas top”). Sous Windows, l’équivalent peut être trouvé sous la forme d’une application payante : 1Password.