Il existe plusieurs articles concernant les différentes pratiques pour sécuriser nos données et nos communications. Dans la plupart de ces systèmes, le point faible est l’humain. Dans tous les systèmes, il faut un mot de passe pour chiffrer, déchiffrer, signer et s’authentifier. Donc même le système le plus sécuriser peut se mettre en danger du moment où l’on choisit un mot de passe faible.
Les mauvaises pratiques pour les mots de passe
Afin de « craquer » un mot de passe, une personne peut générer une attaque de Force-Brute. Dans ce cas il/elle essaye aléatoirement tous les mots de passe possibles. Il est évident qu’il/elle ne va pas essayer de faire ceci à la main mais avec un programme qui teste des milliers de mot de passe à la seconde.
Théoriquement, si l’adversaire avait à sa disposition un temps infini, au final, il aurait trouvé le mot de passe. Sauf que dans la pratique, personne n’a un temps infini et la sécurité de nos systèmes est basée sur le coût des calculs et le temps disponible afin de craquer le mot de passe. La difficulté alors pour craquer le mot de passe doit être assez élevée pour que l’adversaire n’ait ni le temps, ni les ressources pour essayer de le craquer.
Alors le choix du mot de passe doit être convenable pour que même avec des ressources puissantes, il faille plusieurs dizaines, centaines ou milliers d’années pour le craquer.
Mots de passe courts et mots de passe sans variété de caractère
Quand un mot de passe est composé de n caractères, et la base de ces caractères est b, alors les combinaisons possibles sont b à la puissance n. Par exemple, les mots de passe pin pour les téléphones mobiles ou les banques sont composés de 4 chiffres et on a le choix entre 10 chiffres possibles. Donc les combinaisons sont 10 à la puissance 4 = 10.000 . Si le téléphone mobile et les distributeurs ne bloquaient pas en 3 tentatives, tôt ou tard, tout le monde pourrait deviner notre mot de passe.
Sur le tableau ci-dessous, on peut voir le nombre de combinaisons pour différentes valeurs de b et n.
| caractères | n=4 | n=10 | n=16 |
|---|---|---|---|
| 0-9, b=10 | 10.000 | 10.000.000.000 | 10.000.000.000.000.000 |
| a-z b=26 | 456.976 | 141.167.095.653.376 | 43.608.742.899.428.874.059.776 |
| a-z,0-9 b=36 | 1.679.616 | 3.656.158.440.062.976 | 7.958.661.109.946.400.884.391.936 |
| a-z,A-Z b=52 | 7.311.616 | 144.555.105.949.057.024 | 2.857.942.574.656.970.690.381.479.936 |
| a-z,A-Z,0-9 b=62 | 14.776.336 | 839.299.365.868.340.224 | 47.672.401.706.823.533.450.263.330.816 |
Alors en choisissant des mots de passe avec plusieurs et différents caractères, on augment le nombre total des combinaisons possibles pour l’adversaire et alors le coût et le temps pour les craquer.
Mot de passe à partir de mots
Un adversaire essayant de craquer un mot de passe peut essayer d’effectuer une attaque par dictionnaire. Dans ce cas, l’adversaire essaye des mots de passe issus de mots qui sont dans les dictionnaires. Cette approche est basée sur le fait que les humains choisissent très souvent des mots de passes qui sont, ou se dérivent, des mots réels. Alors cette attaque diminue beaucoup les combinaisons possibles à tester et alors le temps pour craquer le mot de passe.
Mots de passe avec un rapport directe avec la personne
En considérant maintenant que l’adversaire puisse avoir des informations pertinentes sur la victime, l’attaque par dictionnaire est beaucoup plus efficace. En particulier le choix d’utiliser notre nom ou le nom de quelqu’un proche nous, la date de naissance, les noms des animaux etc, rend le mot de passe encore plus faible comme l’attaquant testera ceux-ci en premier.
Utiliser le même mot de passe pour plusieurs services
Quand quelqu’un.e utilise plusieurs services (email, forum, irc, chiffrement etc) il/elle est forcé d’avoir plusieurs comptes. Comme il n’est pas facile de se rappeler différents mots de passe, souvent, on utilise le même choix pour plusieurs comptes. Cette pratique amène à une grande faille de sécurité. Si jamais une personne arrive à voler votre mot de passe d’une manière ou d’une autre, automatiquement, il/elle a accès aux services pour lesquels vous utilisez le même mot de passe.
Les pratiques pour choisir un bon mot de passe
Pour résumer, quand on utilise des mots de passe, il faut faire attention aux astuces suivantes :
- Le mot de passe doit avoir une grande longueur (+12 caractères). La longueur est l’élément le plus important pour un bon mot de passe.
- Il doit contenir des symboles de plusieurs ensembles (lettres majuscules et minuscules, nombres, symboles spéciaux (?!@#$%^&*()_-=+.,/|) ).
- Le mot de passe ne doit avoir aucun lien avec nous (date de naissance, numéro de téléphone etc).
- Il ne doit pas contenir de mots que l’on peut trouver dans un dictionnaire. On peut, par exemple, choisir un mot de passe construit à partir des premières lettres de chaque mot dans une phrase qu’on se rappelle avec des symboles spéciaux et des chiffres. Par exemple, le mot de passe JnsVlqltSel_123<> ne veut rien dire en l’état mais il provient de la phrase : « Je ne suis vraiment libre que lorsque tous sont également libres » avec des nombres et des caractères spéciaux.
- Il faut utiliser un mot de passe diffèrent pour chaque service.
- Il ne faut pas se connecter dans ces services à partir d’ordinateurs auxquels on ne peut pas faire confiance (café internet).
- Il ne faut pas partager ce mot de passe avec d’autres personnes et le sauvegarder avec des moyens non sécurisés (post it, fichiers non chiffrés).
- Il est suggéré de changer le mot de passe à intervalles réguliers. De cette manière, l’adversaire n’aura pas assez de temps pour le craquer.
Gérer les mots de passe
Si quelqu’un.e suit ces conseils pour avoir des mots de passe assez sécurisés, il/elle peut être assez sur.e de sa sécurité, au moins dans ce domaine. La difficulté se trouve pour se souvenir de plusieurs mots de passe pour les différents comptes. Quand on a 2-3 comptes, ceci ne pose pas de problème mais à partir du moment où on a 10, 20 ou plusieurs comptes, la mémorisation des mots de passe est pour la plupart d’entre nous impossible.
On a alors besoin d’une manière pratique et sécurisée pour gérer ses mots de passe. La solution se trouve dans les applications qui gèrent les mots de passe. ces applications nous permettent de créer et sauvegarder les mots de passe et les identifiants qu’on utilise, dans un fichier/une base de données pour qu’ils soient facilement accessibles. Dans cette base/fichier, les mots de passe sont chiffrés. Alors il suffit de se rappeler d’un seul mot de passe pour déchiffrer le fichier/base pour avoir accès aux autres.
Un tel logiciel gratuit, open source sous la licence GNU GPL est le KeePassX. Il existe sous différents systèmes d’opération (Linux, Mac, Windows) avec un environnement graphique assez pratique. Toutes les données sont chiffrés avec l’algorithme AES 256 Bits et on peut donc supposer qu’elles sont assez sécurisées. Parmi les différentes utilités, il peut également générer des mots de passe aléatoires avec nos options (longueur, ensemble des caractères) et sauvegarder des identifiants, mots de passe et commentaires pour différents comptes.
Compléments d'info à l'article
Proposer un complément d'info