Mots de passe sûrs : courts et complexes ou longs et mémorisables ?
Lorsque vous consultez vos e-mails, quand vous passez une commande sur Coolblue.be, et même en vous inscrivant à un cours de fitness en groupe. Votre mot de passe vous est demandé à tout bout de champ. Souvent, on vous demande aussi de veiller à ce que votre mot de passe contienne au moins plusieurs chiffres, lettres majuscules et caractères spéciaux. Mais soyons honnêtes : qui pourrait retenir « j!l_U-7_k.cr » ? Il n’est donc pas étonnant que le mot de passe le plus courant soit tout simplement « 123456 ». Il va de soi qu’un tel mot de passe est plus facile à hacker. Mais ne vous inquiétez pas : pour tous ceux qui sont à la recherche de mots de passe simples et sûrs… C’est possible ! Et cela n’a de surcroît rien de compliqué…
« Mot de passe » comme mot de passe
En règle générale, nous choisissons en toute logique un mot de passe dont nous pouvons facilement nous souvenir. Souvent, nous utilisons des dates d’anniversaire, des noms (de famille) ou de simples combinaisons de touches sur un clavier, comme « azertyuiop ». Mais de tels mots de passe peuvent être facilement devinés par des personnes malintentionnées. Les informations personnelles sont en effet faciles à trouver sur le web, et il existe des listes exhaustives de combinaisons de mots de passe courantes.
À côté de cela, Microsoft a constaté qu’une personne moyenne a pas moins de 25 comptes en ligne, pour lesquels elle utilise en moyenne 6,5 mots de passe différents. Cela signifie donc que la majorité des gens utilisent une seule et même clé pour ouvrir plusieurs portes numériques, ce qui rend le risque encore plus grand lorsque l’on utilise un mot de passe simple. Le compte que vous avez à la bibliothèque est en soi inoffensif, mais si quelqu’un casse son mot de passe, il peut en un rien de temps pénétrer dans votre boîte mail et demander et/ou modifier des mots de passe d’autres sites web. Et il s’agit bien sûr d’un risque que vous voulez éviter à tout prix.
Comment casser un mot de passe ?
Comme nous l’avons déjà mentionné précédemment, de nombreux mots de passe sont devinés par des personnes qui cassent les mots de passe, qui sont également appelées crackers. Nombreux sont en effet les internautes qui utilisent de simples combinaisons de touches ou des informations personnelles qui sont faciles à trouver sur le web. De nombreux mots de passe sont également obtenus par le biais du phishing, qui consiste tout simplement à demander vos mots de passe, via e-mail ou par téléphone. Des personnes malveillantes se font en effet souvent passer pour quelqu’un d’autre (comme p. ex. un employé de banque, mais vous pouvez aussi découvrir la situation à laquelle Combell a elle-même récemment été confrontée) dans l’espoir de pouvoir ainsi mettre la main sur vos données personnelles. Malheureusement, cette ruse fonctionne encore assez souvent.
Cela étant, outre le fait de simplement deviner ou demander des mots de passe, ces crackers ont encore d’autres manières de passer à l’attaque. Votre mot de passe peut en effet aussi être facilement devinable via une attaque par force brute. Dans ce cas, ils font tourner un script automatique qui tente sans cesse de se connecter via diverses variations de caractères.
Si votre mot de passe est p. ex. « ben », le script tentera d’abord de se connecter avec « aaa », puis « aab », « abb », et ainsi de suite. Ainsi, on arrive vite à « bel », « bem » et « ben ». Et bingo ! C’en est fini pour votre mot de passe ! Cette tactique est également utilisée dans le cadre d’attaques par dictionnaire et par mots courants. Comme ces termes le laissent clairement deviner, on utilise dans ces cas une liste de mots courants, voire l’entièreté du dictionnaire, avec lesquels le script essaye de se connecter.
À LIRE AUSSI : « Les attaques par force brute: comment se protéger ? »
V31LL3z à 1nv3nt3r un m0t d3 p8ss3 5ûr
Mais quels sont donc les mots de passe sûrs qui résisteront de manière optimale aux attaques des crackers ? De nombreux experts sont convaincus que les mots de passe les plus sûrs sont composés de lettres (minuscules ET majuscules), de chiffres et de caractères spéciaux. Ils doivent en outre comporter minimum 8 caractères. Pour vous donner une petite idée, « D(9_*!3N » devrait donc être un bon mot de passe. D’après Gibson Research Corporation, ce mot de passe devrait résister pendant 2,13 mille siècles si on devait essayer de le casser à un rythme de 1.000 tentatives de connexion par seconde. Voilà qui semble plutôt sûr ! Mais, en fin de compte, qui va retenir « D(9_*!3N » ? De nombreux internautes devront très probablement écrire ce mot de passe quelque part, ce qui comporte des risques encore plus importants.
Astuce : testez votre propre mot de passe avec le pratique outil de calcul de Gibson Research Corporation !
Comment pouvez-vous ensuite trouver un mot de passe qui est à la fois complexe et facile à retenir ? La solution est simple : faites en sorte qu’il ne soit pas trop compliqué, mais veillez à ce qu’il soit suffisamment long ! Pensez à deux ou trois mots pris au hasard et collez-les les uns aux autres. Que pensez-vous du mot de passe « ChevalSansNez » ? Facile à retenir, n’est-ce pas ? Ce mot de passe est composé de 13 caractères, et grâce à la combinaison des lettres minuscules et majuscules, on obtient 52 possibilités. Cela signifie 285 quadrillions (!!!) de combinaisons possibles. Il est évidemment inutile de s’y mettre manuellement, mais même avec une attaque par force brute, il faudrait compter 7 millions de siècles pour arriver à le casser. Voilà qui est pour le moins impressionnant !
| Caractères | Nombre de combinaisons possibles | Temps de cassage nécessaire via une attaque par force brute |
|---|---|---|
| 1 | 62 | Immédiat |
| 2 | 3.844 | Immédiat |
| 3 | 238.328 | Immédiat |
| 4 | 14.776.336 | Immédiat |
| 5 | 916.132.832 | 42 secondes |
| 6 | 56.800.235.584 | 43 minutes |
| 7 | 3.521.614.606.208 | 44 heures |
| 8 | 218.340.15.584.896 | 115 jours |
| 9 | 13.537.086.546.263.600 | 20 ans |
| 10 | 839.299.365.868.340.000 | 12 siècles |
Un seul mot de passe, mais tout de même différent
Vous avez ainsi un mot de passe facile à retenir et pratiquement incassable, que même une attaque par force brute ne parviendra pas à casser. Il existe toutefois d’autres manières de mettre la main sur votre mot de passe. Lesquelles ?
Des personnes peuvent obtenir votre mot de passe parce que :
- vous l’avez vous-même révélé par accident,
- elles ont réussi à le voir, en vrai ou via un logiciel malveillant
- ou elles ont réussi à l’obtenir d’une autre manière encore.
Si cela devait arriver, vous voudriez naturellement éviter que ces personnes aient directement accès à tous vos comptes. Veillez donc à légèrement modifier votre mot de passe pour chaque site web où vous l’utilisez.
Astuce : Vous pouvez p. ex. faire cela en ajoutant le nom d’un site web ou plusieurs lettres de ce nom à votre mot de passe.
Ajoutez p. ex. la première lettre de ce site web au début de votre mot de passe, et la dernière lettre à la fin de votre mot de passe. Pour Facebook, vous obtenez donc « fChevalSansNezk ». Vous avez ainsi un seul mot de passe pour tous vos comptes (facile à retenir donc), qui est toutefois juste assez différent pour éviter que des intrus aient accès partout au cas où quelque chose devait mal se passer. De plus, de tels mots ne peuvent pas être cassés via une attaque par dictionnaire ou par mots courants. En tout cas, en ce qui nous concerne, nous n’avons jamais vu fChevalSansNezk dans le dictionnaire…
Nous voudrions vous communiquer une dernière astuce pour créer votre mot de passe suprême : certains sites web exigent que votre mot de passe contienne au moins un caractère spécial ou un chiffre. Malheureusement, il est difficile de retenir pour quels sites web cela était nécessaire, et pour lesquels cela ne l’était pas.
La meilleure façon d’éviter de devoir tester plusieurs combinaisons de mots de passe consiste à ajouter d’office un caractère spécial ou un chiffre à votre mot de passe.
Dans notre exemple de mot de passe, vous pouvez faire cela comme ceci : « ChevalSans1Nez ». Pour Facebook, p. ex., votre mot de passe sera donc « fChevalSans1Nezk ». Plutôt simple, non ? Mais il y a mieux encore : ce petit chiffre supplémentaire fait grimper le nombre de possibilités à 476 sextillions (soit 36 zéros) et le temps de cassage nécessaire à 15.000 trillions de siècles. Bonne chance, messieurs les crackers !
Avez-vous votre propre site web ou boutique en ligne ? Pensez à la sécuriser !
Il n’y a pas que les utilisateurs mêmes qui ont intérêt à créer des mots de passe sûrs. Les propriétaires de sites web et de boutiques en ligne doivent eux aussi prendre des précautions supplémentaires, ce qui peut se faire de manière simple et efficace :
- Veillez à ce qu’une seule connexion soit autorisée toutes les 5 secondes.
- Prévoyez une période de verrouillage après un certain nombre de tentatives de connexion échouées, de manière à ce que l’utilisateur soit obligé d’attendre pour pouvoir effectuer une nouvelle tentative de connexion.
Avec une seule de ces mesures de sécurité, vous disposez déjà d’une excellente protection de votre site web, qui vous permet d’éviter les attaques par force brute (ou autres). Vous veillez ainsi à ce que les crackers ne puissent pas pénétrer dans votre site par la porte avant.
Cela sera plus sûr pour vous, mais aussi pour vos visiteurs, qui apprécieront à coup sûr vos efforts.
À LIRE AUSSI : « Les attaques par force brute: comment se protéger ? »
source: byte
Articles connexes
