Que ce soit dans vos entreprises, sur le net ou partout ailleurs, on nous bassine sur la nécessité d’avoir des mots de passe complexes, avec des chiffres, des minuscules et des majuscules, des caractères spéciaux …
Souvent créer un mot de passe devient très complexe, surtout quand on rajoute des limitations dans le genre « pas plus de 2 caractères qui se répètent » ou « pas de mot du dictionnaire » ou autre limitation obscure et tyrannique.
Créer un mot de passe SÉ-CU-RI-SÉ
La question légitime qui se pose souvent à ce moment là porte sur la santé mentale du programmeur ou du Webmaster qui s’est dit que OUI, emm*rder les gens est une activité valable, juste pour le plaisir.
Il est d’ailleurs inquiétant de se dire que bientôt les vérificateurs de mot de passe pourraient très bien aller vérifier sur vos comptes Facebook, Instagram ou Twitter pour vérifier que vous n’avez pas utilisé le nom de votre hamster comme mot de passe.
Mot de passe complexe : POURQUOI ?
Alors, pourquoi on nous demande de créer des mots de passe complexes et pourquoi on nous répète que c’est important ?
Le principal et unique argument qui nous est présenté se résume en un mot : SÉCURITÉ … et c’est souvent tout, comme si cet argument suffisait à justifier cet acharnement à la limite de la démence.
OK c’est pour des raisons de sécurité mais en détail, pourquoi on me demande tout ça ? Est-ce que tout ça n’est pas un peu exagéré ? Après tout quel risque y a-t’il derrière l’utilisation du nom du chat ou de notre ville de naissance pour la création d’un mot de passe ? La majorité d’entre nous ne gérons pas de données sensibles ou confidentielles, nos mots de passe ne limitent pas l’accès aux protocoles de lancement de missiles inter continentaux, nos vies ne dépendent pas de ce mot de passe, alors pourquoi ? Et surtout, qui pourrait bien m’en vouloir ?
Pour reprendre ces questions dans l’ordre :
– Quel risque y a-t’il derrière l’utilisation du nom du chat ou de notre ville de naissance pour la création d’un mot de passe ?
Le risque est que votre mot de passe puisse être cracké facilement et que quelqu’un de mal intentionné accède à vos données facilement
– Accéder à mes données, pourquoi faire ?
Il y a plusieurs possibilités, en fonction du type de donnée : cela peut être de récupérer vos coordonnées bancaires (via un site marchand qui les a stockées, à votre demande), ou de récupérer des données sensibles et vous faire chanter, ou encore de récupérer des informations sur vous et organiser une arnaque auprès de vos proches, par exemple en envoyant à vos contacts un mail où VOUS demandez de l’aide pour vous sortir d’une situation difficile. Par exemple, lorsque je me suis fait pirater ma boite mail il y a quelques années, tous mes contacts ont reçu un mail comme quoi j’étais en galère à Maltes avec mes papiers volés (et c’était crédible) et où je leur demandais de l’argent le temps de me sortir de là.
– Qui pourrait bien m’en vouloir ?
Il est probable que personne ne vous en veuille personnellement, je vous rassure. Par contre il existe des gens qui utilisent internet pour s’enrichir et qui lancent des attaques au hasard, dès qu’un mot de passe est cracké, quelque part. Des ordinateurs tournent jour et nuit, juste pour cracker des mots de passe. Ils ne s’attaquent pas à vous personnellement, mais plutôt à tout le monde.
D’accord, mais pourquoi on me demande tout ça ? Personne ne trouvera que j’ai utilisé « 123456 » comme mot de passe, si ?
D’abord il faut comprendre comment ceux qui crackent les mots de passe fonctionnent : ils testent des milliers et des milliers de combinaison, jusqu’à trouver le bon mot de passe, et pour commencer, ils testent les mots de passe les plus courants, les mots du dictionnaires, les mots usuels, des combinaisons classiques, les numéros de téléphone … Ils testent également les modifications de mots habituelles (comme par exemple remplacer le Zéro par « O »). La puissance des machines actuelles permet de tester de très très nombreuses combinaisons en très peu de temps, gardez cela en tête.
Du coup comment savoir si mon mot de passe est sécurisé ?
J’ai envie de dire qu’il faut commencer par suivre les conseils des Webmaster et Programmeurs. Ensuite vous pouvez vous amuser avec des sites de tests de mot de passe pour évaluer si ce que vous prévoyez d’utiliser est effectivement efficace ou pas. Il en existe beaucoup, mais j’apprécie https://howsecureismypassword.net/ parce qu’ils présentent le niveau de sécurité en temps nécessaire pour le cracker. Je pense que les temps ne sont pas forcément représentatifs, mais ils donnent une bonne idée du niveau de complexité. Par contre il est en Anglais, si vous en avez un en français, ajoutez le en commentaire, j’éditerai cet article.
D’après ce site, il faudrait 96 ans pour un ordinateur de bureau pour cracker ce mot de passe
A noter que par principe, je ne mets pas mes vrais mots de passe, mais des versions un peu modifiées (je remplace des lettres par d’autres par exemple)
Mise en pratique
Petits exemples de mots de passe avec le durée de « crackage » estimée, pour le plaisir :
- « poulet » => 0.077228944 secondes … ça ne s’invente pas
- « poulete » => 2 secondes. 1 caractère en plus, c’est 30 fois plus de temps de traitement.
- « poulet001 » => 7 heures. Comme quoi des chiffres et des lettres c’est utile
- « Poulet001 » => 39 jours. Simplement ajouter une majuscule peut changer beaucoup de choses !
- « P0ou0le1t » => 39 jours aussi, ce que je trouve étonnant, par principe je mélange au maximum les caractères, surtout pour « masquer » un mot du dictionnaire
- « Poulet001! » => 58 ans. Un caractère non alphanumérique peut amener beaucoup
- « Pou::let001 » => 7.000 ans. Plus on rajoute de complexité, plus le temps de calcul est exponentiel
- « P!ou::00le1t » => 4 Millions d’années … d’ici là, les dinosaures seront revenus
En dehors du coté assez ridicule des chiffres annoncés, il faut bien garder à l’esprit que ceux-ci sont estimés et calculés sur la base de la puissance de calcul d’un ordinateur de bureau, qui est bien moindre qu’un ordinateur ou serveur bien plus performant. Il est donc très difficile de définir une « limite » à partir de laquelle on considère qu’un mot de passe est sécurisé, mais gardez à l’esprit que le minimum syndical est de construire ses mots de passe avec des minuscules, des majuscules, des chiffres et des caractères non alphanumériques.
OK, c’est bien gentil tout ça, mais comment je m’en souviens de mes mots de passe ?
Créer des mots de passe, c’est bien, mais encore faut-il s’en souvenir. Il existe des outils pour sauvegarder vos mots de passe au fur et à mesure, mais ça ne fait pas tout, surtout si vous changez d’ordinateur ou si vous êtes itinérant.
Le plus simple est tout d’abord de créer un mot de passe que vous connaissez déjà et que vous n’aurez donc pas à mémoriser … ça peut paraître idiot, dit comme ça , mais nous avons en tête beaucoup de données, de chiffres qui peuvent faire de très bon mot de passe.
Un exemple ?
Ma première voiture était une R11 GTL de 1989 gris métallisé avec moteur 1.4L et carbu double corps. Ce qui pourrait me donner par exemple : « R11Gtl;89Gr » (7000 ans selon le site cité plus haut), « 11Carbx2!1.4L89″ (4 Millions d’années)
A vous d’utiliser votre vie et votre histoire pour vous créer des mots de passe performants que vous n’aurez pas à mémoriser. Il existe d’autres méthodes, celle-ci est celle que j’utilise régulièrement, vous pouvez par exemple trouver d’autres idées et des infos sur le site Presse citron, une recherche Google vous fournira également beaucoup d’infos.
Conclusion
Et que dire pour conclure ?
Peut être que les Webmasters et Programmeurs ne sont pas si « bizarres » que ça ? Que des mots de passe complexes ont leur raison d’être ? Et que si on nous embête, c’est aussi pour notre bien ?
Il y a un peu de tout ça, donc changez vos mots de passe s’ils sont trop simples, créez en des inédits, avec pleins de caractères peu courant, des majuscules et des minuscules qui ne se suivent pas … et expliquez à vos collègues que VOUS vous arrivez à retenir des mots de passe de 18 caractères avec un niveau de sécurité très élevé, et que vous ne voyez pas où est le problème.
