Bien choisir ses mots de passe…

…et éviter les piratages

Quelques recommandations

Les comportements à éviter :

Utiliser le même mot de passe partout ! Une fois trouvé par un pirate, celui-ci aura accès à tous vos comptes même les plus importants.

Mettre des dates d’anniversaire, des noms de proches etc ! Faciles à retenir, ils n’offrent pourtant aucune sécurité car n’importe qui d’extérieur peut les deviner.

Enregistrer ses mots de passe dans un navigateur proposé par un des géants du web (Chrome, Safari) ! J’irai même jusqu’à dire de ne les enregistrer sur aucun navigateur, certains n’utilisent pas de chiffrement et stockent vos mots de passe en clair.

Alors comment faire ?

keyboard, secure, privacy policy
Security Logo

Il faudrait par conséquent avoir plusieurs mots de passe par service ou compte ouvert, sans aucun lien avec des dates connues ou de noms de nos proches. Ainsi, cela permettra de nous prévenir de fuites de données (comme cela arrive de plus en plus régulièrement1), et d’éventuels piratages de comptes et de données bancaires. Mais allons plus loin et créons des mots de passe forts. Dans ce cas, comment les créer et surtout comment les retenir ?

Free stock photo of adult, banking, blocked

Le NIST, une agence américaine (Institut National des Normes et Technologies en français) a publié récemment2 une série de recommandations destinées aux institutions gouvernementales qui peuvent s’avérer bien utiles pour nous autres utilisateur.ices et qui permettent de répondre à la première des interrogations : comment créer ses mots de passe. Les conclusions peuvent paraître un peu contre-intuitives3. Changer ses mots de passe fréquemment n’est pas recommandé car cela rend les nouveaux mots de passe plus faibles, et les changements sont souvent mineurs donc plus faciles à pirater. L’agence recommande également de former des phrases de passe plutôt que des mots de passe : plus longues, elles seront plus difficiles à casser. Pour elle, il vaut mieux une phrase de passe longue mais facile à retenir (des paroles de votre chanson préférée par exemple) qu’un mélange arbitraire de lettres et de caractères spéciaux. Malheureusement, toutes les organisations qui proposent de créer des comptes chez elles n’offrent pas ces possibilités et ne suivent pas ces recommandations. Voici un résumé de ce que l’on peut en tirer pour un usage courant :

  • Longueur minimale du mot de passe : 8 caractères
  • Viser plutôt 15 caractères
  • Vérifier la fiabilité des mots de passe par rapport à une liste de mots déjà compromis
  • Ne pas les changer fréquemment
  • Ne pas utiliser de système de questions basées sur la connaissance (nom de son premier chien, de sa première voiture,…)
  • Ne pas toujours mettre un mélange arbitraire de lettres et caractères spéciaux
  • Utiliser des phrases de passe

Arrive alors la question suivante : comment générer de tels mots de passe en pratique, sans avoir à les retenir, et en vérifiant leur solidité ? Ma recommandation se trouve dans le domaine du logiciel libre avec le logiciel Bitwarden4. Cet outil permet, à partir d’un seul mot de passe central (ou phrase de passe) qui sera le seul à retenir, de générer des mots de passe pour chacun de ses comptes. Intégré comme extension à un navigateur, il peut même remplir automatiquement les champs d’authentification à votre place. De plus, il parcourt la liste de tous vos mots de passe et vérifie si leur compromission a déjà eu lieu lors de fuites de données connues.

Générateur de phrase de passe de Bitwarden/Vaultwarden
Générateur de mot de passe de Bitwarden/Vaultwarden
Sur votre navigateur web, l’extension Bitwarden propose le remplissage automatique dès qu’un champ d’authentification apparaît.
Vérification de la compromission des mots de passe

D’autres outils similaires existent dans le monde du logiciel libre comme Nextcloud Passwords, keepass etc. Il est important de s’assurer que votre outil de gestion de mot de passe fasse partie du logiciel libre, d’une part car laisser son code ouvert et disponible permet une intelligence collective pour que chacun corrige les bugs, et permet de la transparence sur l’utilisation faite des données. Ensuite, un code ouvert autorise à toute entreprise de cybersécurité de réaliser des audits de sécurité, dont les résultats sont consultables par tout le monde5. Il s’agit quand même ici de vos données les plus sensibles !

MR

Besoin de remettre à niveau vos mots de passe ?
Besoin de plus de sécurité après quelques piratages ?
Contactez-moi !

  1. Un exemple récent : https://www.freenews.fr/iliad/free-nouvelle-alerte-aux-abonnes-suite-a-une-fuite-de-donnees-personnelles ↩︎
  2. https://pages.nist.gov/800-63-4/sp800-63b.html (en anglais) ↩︎
  3. https://grenoble.ninja/le-nist-recommande-de-nouvelles-regles-pour-la-securite-des-mots-de-passe/ (en français) ↩︎
  4. https://bitwarden.com/fr-fr/ ↩︎
  5. https://bitwarden.com/fr-fr/help/is-bitwarden-audited/#third-party-security-audits ↩︎

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *