Contenu:
Ce n’est qu’au cours des dernières années, lorsque tout a été transposé en ligne, que les internautes ont commencé à s’intéresser réellement à la sécurité de leurs mots de passe. Depuis plus de dix ans, les experts tentent de convaincre les utilisateurs qu’ils doivent faire des efforts en la matière, et les quelques fuites de données importantes les ont, espérons-le, fait changer d’avis, y compris vous.
Malheureusement, la plupart des personnes pensent qu’une chaîne de 6 à 8 caractères alphanumériques est suffisante pour un mot de passe, mais la réalité est que pour créer un mot de passe fort il faut faire mieux. Le fait que les exigences des sites web en matière de création de mots de passe donnent un faux sentiment de sécurité n’arrange rien.
La longueur du mot de passe est cruciale
Si beaucoup de personnes pensent que la complexité est importante en matière de mots de passe, la vérité est qu’elle n’est pas aussi importante que la longueur elle-même (d’où la question de cet article de blog).
L’une des méthodes les plus courantes de piratage des mots de passe consiste à utiliser une technique appelée « attaque par force brute ». La meilleure façon de la décrire est de penser à un cadenas à trois chiffres et d’essayer de l’ouvrir sans le code réel. Vous finirez probablement par essayer toutes les combinaisons possibles telles que 001, 002, 003, etc. Le procédé de force brute fonctionne exactement de la même manière, sauf que les malfaiteurs peuvent utiliser la puissance de traitement des ordinateurs pour faire le travail à leur place.
C’est pourquoi la complexité n’est pas aussi importante que la longueur, car la longueur impose une autre complexité à la tentative de forcer les mots de passe.
Pour un mot de passe moyen de 8 caractères, il existe environ 221 billions de combinaisons possibles, ce qui peut sembler beaucoup à première vue, mais il faut savoir que certains ordinateurs peuvent « deviner » 10 milliards de combinaisons par seconde grâce à certains réseaux de zombies sophistiqués. En réalité, quelques heures de force brute suffisent pour venir à bout d’un mot de passe moyen.
Dans ces conditions, quelle longueur doit avoir votre mot de passe ? Dans l’idéal, il doit comporter au moins 12 caractères. Avec 12 caractères, vous obtenez un peu plus de trois sextillions de combinaisons possibles (c’est-à-dire le un suivi de 36 zéros).
Il faudrait au moins plusieurs centaines d’années pour craquer un tel mot de passe avec la technologie actuelle, bien que celle-ci s’améliore certainement à une vitesse vertigineuse et que le temps nécessaire pour déchiffrer un mot de passe à 12 caractères diminue chaque jour.
Si vous voulez vraiment vous préparer à l’avenir, la longueur de 16 caractères est vraiment la meilleure et la plus réaliste sur laquelle vous pourrez compter. Avec 16 caractères, vous aurez disparu depuis des milliers, voire des centaines de milliers d’années, avant que ce mot de passe ne soit craqué.
Phrases secrètes
Soyons honnêtes, la plupart des êtres humains n’ont pas vraiment la capacité de mémoriser des mots de passe de 16 caractères, surtout des mots de passe uniques de 16 caractères pour chaque site qu’ils utilisent, mais il y a une alternative.
Vous avez peut-être déjà entendu parler des phrases secrètes, ou phrases de passe, mais il s’agit en réalité d’un ensemble de mots choisis de manière semi-aléatoire et plus faciles à retenir. Par exemple, « Les champignons jaunes ramassent la poussière » ou « Le plus fou est allé déjeuner » ou une autre combinaison. Dans le premier exemple, vous avez un bon mot de passe de 45 caractères, et dans le second, un mot de passe de 29 caractères, tout aussi bon.
L’utilisation de phrases secrètes est globalement plus simple et rend la vie moins difficile. Bien entendu, la question qui se pose maintenant est la suivante : « Quelle doit être la longueur de ma phrase secrète ? » et vous serez heureux d’apprendre qu’un minimum de quatre mots est généralement recommandé. Si vous pouvez retenir davantage de mots, tant mieux, et essayez de choisir quelque chose qui soit à la fois personnel et facile à retenir.
Cela étant dit, les phrases secrètes posent un problème : la plupart des sites n’autorisent pas les mots de passe de cette longueur. Heureusement, certains sites commencent à se montrer plus indulgents et il faut espérer que d’ici cinq ans environ, les mots de passe plus longs deviendront plus courants.
Autres choix plus bizarres
La longueur des mots de passe est souvent associée à la complexité et, naturellement, à l’utilisation de symboles et d’autres caractères étranges.
Si j’ai mentionné le fait que la longueur prime, cela ne signifie pas que la complexité n’a aucune importance. Cela dit, il y a quelques erreurs courantes et qui exposent les utilisateurs au risque de se faire pirater leur mot de passe :
Utiliser le même caractère deux fois et/ou à la suite. Cela peut être problématique, car il s’agit d’une pratique courante, et les programmes d’attaque par force brute ont donc été conçus en tenant compte de ce comportement. C’est particulièrement flagrant avec des choses telles que « !!!!!! » ou « 1223334444 ».
Mieux vaut ne pas non plus les placer dans un schéma spécifique, comme un caractère sur deux, puisque c’est aussi ce que ces programmes recherchent.
Remplacer les lettres par des symboles comme 3 pour le e, ou 1 pour le l, est tout aussi périlleux. C’est aussi une pratique assez courante que les programmes de piratage prennent en compte.
Ne pas sécuriser les comptes de réseaux sociaux comme s’il s’agissait d’un compte bancaire. Ce n’est pas sérieux. Il suffit aux pirates de puiser un peu d’information dans vos réseaux sociaux pour faire de l’ingénierie sociale et vous êtes fichu.
Veillez également à ne pas utiliser l’un des mots de passe les plus populaires.
D’une manière générale, il faut éviter de rendre l’emplacement de vos caractères évident, ce qui explique pourquoi la plupart des mots de passe créés par des générateurs de mots de passe ont tendance à ressembler à une chaîne de charabia absolu, sans aucune suite logique. Un tel mot de passe revêt la forme la plus sûre que vous puissiez utiliser, mais il est certain qu’il vous sera ainsi difficile de retenir vos mots de passe en général.
N’utilisez pas les mêmes mots de passe pour tous vos comptes
Nous arrivons maintenant au plus gros problème parmi tous : peu importe la complexité ou la longueur de votre mot de passe, si vous l’utilisez pour plusieurs services différents, autant ne pas utiliser de mot de passe du tout ! (OK, c’est un peu exagéré, mais j’espère que vous comprenez ce que je veux dire.)
Alors, que faire ? Dans ce cas, la meilleure chose à faire est de vous procurer un bon gestionnaire de mots de passe. Il vous permet non seulement de stocker des mots de passe longs, mais aussi de créer un mot de passe unique pour chaque site, sans que vous ayez à vous en souvenir. Il suffit de créer un mot de passe très fort pour accéder à votre gestionnaire de mots de passe, et c’est comme si vous aviez deux couches de protection, ce qui est assez génial. Si vous avez besoin d’un peu d’aide pour choisir le gestionnaire de mots de passe qui vous convient le mieux, voici une sélection des meilleurs gestionnaires de mots de passe disponibles sur le marché.
Pas de panique !
L’important à ce stade est de rester calme. Un site web ou un service moyen ne permettra pas à quelqu’un d’accéder à votre compte via une attaque par force brute, et la seule façon dont quelqu’un pourrait tenter ce type d’attaque serait en cas de fuite massive des données, ce qui est rare.
Même en cas de fuite de données, il faudrait beaucoup de temps pour déchiffrer votre mot de passe, assez pour que la fuite soit rendue publique et de vous donner le temps de changer de mot de passe.
Ces bonnes pratiques en matière de mots de passe sont importantes quoi qu’il en soit, vous n’êtes plus sans le savoir, mais vous devriez bel et bien vous faire du souci si vous avez un mot de passe de 11 caractères au lieu de 12.