Les mots de passes, les bonnes pratiques

Publié le

Souvenez vous (ou pas), cela ne fait seulement que quelques années que nous utilisons régulièrement des mots de passe, mais surtout que nous qui les choisissons.

Bien sûr cela fait des années que nous avons un code bancaire. Que nous avons Digicode à l’entrée. Mais ceux-ci pour beaucoup nous étaient tout simplement imposés, aucun choix à faire donc.

En revanche, surtout depuis l’avènement d’internet, on est de nos jours souvent confronté au choix de code pour diverses choses. Autant des fois une certaine rigueur nous est imposée, autant des fois le choix nous est libre. Doit on pour autant choisir n’importe quoi? Evidemment non. Voici donc quelques conseils…

À quel genre de sites avons nous à faire?

La première règle de bon sens est de se demander si un site est digne de confiance. En effet, même si il peut être tout à fait recommandable, cela n’exclue pas nécessairement l’hypothèse qu’il soit mal sécurisé.

Un bon test pour avoir un premier aperçu est de procéder au test de la perte du mot de passe. Si le site vous propose de vous renvoyer VOTRE mot de passe par email par exemple, cela implique que ce dernier est stocké en clair ou au mieux avec un cryptage réversible dans leur base de donnée. Ne soyez pas dupes, crypter ne sécurise pas vraiment dans le cas de données stockées… Il suffit d’une fuite de ces données et un pirate aura tout le temps de trouver la clé de décryptage qui permettra d’obtenir tous les mots de passe de la base en clair.

Si en revanche le site vous propose de RÉINITIALISER votre mot de passe, c’est que très probablement celui-ci est hashé. Le hashage contrairement au chiffrage (cryptage en un peu plus français), n’est pas réversible (même si certaines techniques permettent presque d’y parvenir grâce au cloud entre autres).

Pour les matheux, hasher c’est un peu comme une dérivée. Dériver une fonction d’origine arrive toujours au même résultat, mais l’opération inverse (intégrale) nous impose une constante inconnue qui aurait disparue en dérivant la fonction première. Cela imposerait une infinité de solutions.

Ce genre de site est donc bien plus sécurisé puisque même si on lui vole la base contenant les mots de passes, il sera très compliqué de retrouver votre mot de passe en clair.

Mais donc quels mots de passe?

Déjà quand on vous demande un mot de passe « complexe » ce n’est pas pour vous embêter ou se donner un genre. Encore une fois c’est mathématique, voici quelques exemples :

Prenons une longueur de 6 caractères :

  • avec juste des chiffres : 10 puissance 6 soit 1 million de possibilités
  • avec juste des lettres minuscules : 26 puissance 6 soit presque 310 millions de possibilités
  • en mixant les deux : 36 puissance 6 soit un peu plus de 2 milliards
  • rajoutons des majuscules : (36+26) puissance 6 nous amène à 56 milliards et des poussières
  • enfin avec tous les caractères ASCII (environ 128) : 128 puissance 6 soit plus de 4 mille milliards

Si nous avions pris 8 caractères alphanumériques avec majuscules, cela ferait donc 218 000 milliards de possibilités, tout est dit…

« Mais le loto c’est pareil et pourtant en 30 ans j’ai jamais gagné. » Oui mais au loto on fait 2 tirages par semaine, alors que les techniques actuelles permettent d’essayer plusieurs milliards de combinaisons à la seconde…

Ensuite on préconise de ne pas choisir de mots du dictionnaire ni de chiffres facilement repérables.
Alors je sais bien il est bien plus facile de mémoriser au premier abord « Chaton75 » que « e85mfJen », mais en vrai il existe des astuces. Regardez bien « e85mfJen » n’est autre que « en 85 ma fille Julie est née ». Vous n’avez plus d’excuse ;-)

Et si jamais on trouve quand même mon mot de passe?

Ben oui parce que dans l’hypothèse du site qui stocke votre mot de passe en clair, quelque soit sa complexité il sera visible en cas de vol de la base de donnée…

La plus grande faiblesse des gens est de mettre le même mot de passe de partout. L’idéal étant un service = un mot de passe. Mais encore une fois la mémorisation risque de poser problème…

Pas de panique, on peu facilement y remédier avec la technique précédente. En effet, rien ne nous empêche d’intégrer le nom du service dans le mot de passe (autant on pourra voir ou trouver votre mot de passe autant votre moyen mémo technique n’est que dans votre tête). Cela pourrait donner : « le mot de passe de Tartempion en 2012 est il assez compliqué ? » = « lmdpdTe12eiac? »

Ainsi le mot de passe de votre banque sera différent de celui d’un site d’annonces douteuses ou de votre email etc.

Vous pouvez aussi catégoriser quelques mots de passes, avec par exemple un mot de passe rapide pour les choses sans importance, un autre pour les choses génériques, et un 3e pour les choses sensibles…

Résumons :

Dans l’idéal votre mot de passe sera :

  • long
  • complexe
  • unique

Avec les techniques mentionnées, rien d’insurmontable ;-)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *