Ce n'est qu'au cours des dernières années, lorsque tout a été transposé en ligne, que les internautes ont commencé à s'intéresser réellement à la sécurité de leurs mots de passe. Depuis plus de dix ans, les experts tentent de convaincre les utilisateurs qu'ils doivent mieux s'acquitter de cette tâche, et les quelques violations de données importantes les ont, espérons-le, fait changer d'avis, vous inclus.
Contenu
Malheureusement, la plupart des gens pensent généralement qu'une chaîne de 6 à 8 caractères alphanumériques est suffisante pour un mot de passe, mais la réalité est que créer un mot de passe fort est beaucoup plus compliqué. Le fait que les exigences des sites Web en matière de création de mots de passe donnent un faux sentiment de sécurité n'arrange rien.
La longueur du mot de passe est cruciale
Si beaucoup de gens pensent que la complexité est importante en matière de mots de passe, la vérité est qu'elle n'est pas aussi importante que la longueur elle-même (d'où la question de cet article de blog).
L'une des méthodes les plus courantes de piratage des mots de passe consiste à utiliser une technique appelée « attaque par force brute ». La meilleure façon de la décrire est de penser à une serrure à gorges à trois chiffres et d'essayer de l'ouvrir sans le code réel. Vous finirez probablement par essayer toutes les combinaisons possibles telles que 001, 002, 003, etc. L'attaque par force brute fonctionne exactement de la même manière, sauf que les agents malveillants peuvent utiliser la puissance de traitement des ordinateurs pour faire le travail à leur place.
C'est pourquoi la complexité n'est pas aussi importante que la longueur, car la longueur impose une autre magnitude à la tentative de forcer les mots de passe.
Pour un mot de passe moyen à 8 caractères, il y a environ 221 trillions de combinaisons possibles, ce qui peut sembler beaucoup à première vue, mais il faut savoir que certains ordinateurs peuvent « deviner » 10 milliards de combinaisons par seconde avec certains botnets sophistiqués. En réalité, il suffit de quelques heures d'attaque par force brute pour venir à bout d'un mot de passe moyen.
Très bien, alors quelle longueur doit avoir votre mot de passe ? Idéalement, il faudrait qu'il contienne un minimum de 12 caractères. Avec 12 caractères, vous obtenez un peu plus de trois sextillions de combinaisons possibles (c'est un trois précédé de 21 zéros).
Il faudrait facilement plusieurs centaines d'années pour craquer un tel mot de passe avec la technologie actuelle, bien que celle-ci s'améliore certainement à une vitesse vertigineuse et que le temps nécessaire pour déchiffrer un mot de passe à 12 caractères diminue chaque jour.
Si vous voulez vraiment vous prémunir contre les risques futurs, une longueur de 16 caractères est la plus fiable. Plus, c'est encore mieux. Avec 16 caractères, vous aurez disparu depuis des milliers, voire des centaines de milliers d'années, avant que ce mot de passe ne soit craqué.
PassPhrases
Soyons honnêtes, la plupart des êtres humains n'ont pas vraiment la capacité de mémoriser des mots de passe à 16 caractères, surtout des mots de passe uniques à 16 caractères pour chacun des sites qu'ils utilisent, mais il existe une alternative.
Vous avez peut-être déjà entendu parler des phrases de passe, mais il s'agit essentiellement d'un ensemble de mots choisis de manière semi-aléatoire et plus faciles à retenir. Par exemple, « Les champignons jaunes ramassent la poussière » ou « Le meilleur fou est allé déjeuner » ou une autre combinaison. Dans le premier exemple, vous avez un bon mot de passe de 25 caractères, et dans le second, un mot de passe de 22 caractères, tout aussi bon.
L'utilisation de phrases de passe est globalement plus simple et rend la vie moins difficile. Bien entendu, la question qui se pose maintenant est la suivante : « Quelle doit être la longueur de ma phrase de passe ? ». Vous serez heureux d'apprendre qu'un minimum de quatre mots est généralement recommandé. Si vous pouvez retenir davantage de mots, tant mieux, et essayez généralement de choisir quelque chose qui soit personnellement mémorable.
Cela étant dit, les phrases de passe posent un problème : la plupart des sites n'autorisent pas les mots de passe de cette longueur. Heureusement, certains sites commencent à être plus indulgents, et nous espérons que d'ici cinq ans environ, les mots de passe plus longs deviendront plus courants.
Autres choix plus bizarres
La longueur des mots de passe est souvent associée à la complexité et, naturellement, à l'utilisation de symboles et d'autres caractères étranges.
Si j'ai mentionné le fait que la longueur prime, cela ne signifie pas que la complexité n'a aucune importance. Cela dit, il y a quelques erreurs que les gens commettent et qui les exposent au risque de se faire pirater leur mot de passe :
Utiliser le même caractère deux fois et/ou à la suite. Cela peut être problématique, car il s'agit d'une pratique courante, et les programmes d'attaque par force brute ont donc été conçus en tenant compte de ce comportement. Des caractères comme « !!!!!! » ou « 1223334444 » sont particulièrement flagrants.
Mieux vaut ne pas non plus les placer dans un schéma spécifique, comme un caractère sur deux, puisque c'est aussi ce que ces programmes sont recherchent.
Remplacer les lettres par des symboles comme 3 pour le e, ou 1 pour le l, ou ce genre de choses est tout aussi périlleux. C'est aussi une pratique assez courante que les programmes de craquage prennent en compte.
Ne pas sécuriser les comptes de médias sociaux comme s'il s'agissait d'un compte bancaire. Vraiment. Il leur suffit de puiser un peu d'information dans vos médias sociaux pour faire de l'ingénierie sociale et vous êtes fichu.
Aussi, faites attention à ne pas utiliser l'un des mots de passe les plus populaires.
D'une manière générale, il faut éviter de rendre l'emplacement de vos caractères évident, ce qui explique pourquoi la plupart des mots de passe créés par des générateurs de mots de passe ont tendance à ressembler à une chaîne de charabia absolu, sans aucun motif. Un tel mot de passe revêt la forme la plus sûre que vous puissiez utiliser, mais il est certain qu'il vous sera ainsi difficile de retenir vos mots de passe en général.
N'utilisez pas les mêmes mots de passe pour tous vos comptes
Nous arrivons maintenant au plus gros problème parmi tous : peu importe la complexité ou la longueur de votre mot de passe, si vous l'utilisez pour plusieurs services différents, autant ne pas utiliser de mot de passe du tout ! (OK, c'est un peu exagéré, mais j'espère que vous comprenez ce que je veux dire).
Alors que faire ? Eh bien, à ce stade, la meilleure chose est de vous procurer un gestionnaire de mots de passe de qualité. Non seulement il vous permet de stocker des mots de passe longs, mais vous pouvez également créer un mot de passe unique pour chaque site, et vous n'avez même pas besoin d'en garder la trace. Il suffit de créer un mot de passe super fort pour votre gestionnaire de mots de passe, et c'est comme si vous aviez deux niveaux de protection, ce qui est plutôt génial. Si vous avez besoin d'un peu d'aide pour choisir le gestionnaire de mots de passe qui vous convient, voici un passage en revue des meilleurs gestionnaires de mots de passe existants.
Pas de panique !
L'important à ce stade est de ne pas paniquer ou faire de crise d'angoisse. Un site web ou un service moyen ne permettra pas à quelqu'un d'accéder à votre compte via une attaque par force brute, et la seule façon dont quelqu'un pourrait tenter ce type d'attaque serait en cas de violation massive des données, ce qui est rare.
Même lorsque cette violation de données se produit effectivement, il faudrait beaucoup de temps pour déchiffrer votre mot de passe, le temps que la violation soit rendue publique et que vous ayez le temps de changer votre mot de passe.
Ces bonnes pratiques en matière de mots de passe sont importantes quoi qu'il en soit, vous n'êtes plus sans le savoir, mais vous devriez bel et bien vous faire du souci si vous avez un mot de passe à 11 caractères au lieu d'un mot de passe à 12 caractères.