Voici quelques conseils à suivre afin de créer un bon mot de passe.
- Utiliser au moins un caractère spécial, (%µ*$£¤@])}=+|([.,;?!§
- Utiliser au moins une lettre minuscule, a – z
- Utiliser au moins une lettre majuscule, A – Z
- Utiliser au moins un chiffre, 0 – 9
Une fois ces quatre règles respectées, deux choses feront la différence :
- Ne pas utiliser de mots, nom ou prénoms connus, années, code de départements… en bref, tout ce qui peut-être deviné ou trouvé dans un dictionnaire.
- Plus le mot de passe contiendra de caractères, plus il sera sûr. Il ne faut pas descendre en dessous de 8 caractères !
Petite explication des conseils ci-dessus
Pour casser un mot de passe, deux techniques sont majoritairement utilisées :
- L’attaque par brute-force : un logiciel va essayer toutes les combinaisons possibles de caractères, donc plus il y a de caractères (taille du mot de passe) et plus les caractères sont variés (chiffre, majuscule, minuscule, symboles…), plus le logiciel va mettre de temps pour trouver.
- L’attaque par dictionnaire : c’est une attaque de type brute-force mais plus intelligente car elle va tester des mots du dictionnaire ainsi que des mots ou suites de caractères connus. Il existe aussi des dictionnaires spécifiques contenant les mots de passe classiques (certaines astuces sont maintenant trop connues, comme remplacer les O par des 0). Un exemple de liste est disponible ici. Si votre mot de passe est connu de se dictionnaire par exemple, il tombe en quelques secondes. Ne sous-estimez pas l’imagination des personnes mal-intentionnées, il existe une multitude de dictionnaires thématiques.
Créer des mots de passe ‘forts’ nécessite néanmoins d’avoir soit une très bonne mémoire (certains y arrivent), mais deux autres techniques sont d’avantage à la portée de tout le monde.
- Le moyen mnémotechnique (quelques exemple ici).
- Le gestionnaire de mot de passe, qui fait l’objet d’un précédent article ici.
Quelques derniers conseils
- Ne pas utiliser le même mot de passe pour l’ensemble de ses services, en effet si l’un tombe entre de mauvaises main, c’est l’ensemble des services qui sont compromis.
- Ne pas transférer son mot de passe ‘en clair’, c’est à dire en le copiant dans un email ou dans une messagerie instantanée. Préférer un service de transfert chiffré temporaire comme présenté dans cet article.
- Le gestionnaire de mot de passe reste le meilleur outils rapport sécurité-praticité, pour gérer l’ensemble de ses mot de passe! La plupart propose même de le créer pour vous à partir des conseils ci-dessus. Pas besoin de le retenir car il s’en chargera pour vous!
Bonus : générer un mot de passe avec KeePass
- Créer une nouvelle entrée, en renseignant le titre et le login du service.
- En face de la case ‘Confirmation’, ouvrir le générateur de mot de passe
- Renseigner les critères pour la création du mot de passe (longueur, chiffre, majuscule, minuscule, symbole…)
- Vous pouvez prévisualiser un échantillon du résultats dans l’onglet ‘Prévisualisation’
- En cliquant sur OK, un mot de passe aléatoire sera automatiquement affecté.
- Il ne vous reste qu’à mettre à jour le mot de passe dans le service concernant.
- Pour tous les services professionnels, informer le service SI du changement de mot de passe.