Un danger pour votre réputation sur Internet est constitué du piratage de vos différents comptes en ligne (Twitter, Facebook, email,…) et de l’usage que pourraient en faire les hackers.
Même si on trouve déjà sur le net un certain nombre de méthodes pour choisir de bons mots de passe, cela peut toujours être utile d’en avoir une supplémentaire (même si je ne suis pas spécialiste en sécurité informatique).
1-. Pour commencer, que faut-il éviter lors du choix ?
- Prendre un mot du dictionnaire
- Choisir une suite de touches sur le clavier (style : ghjklm)
- Choisir un nom de marque ou de célébrité (oubliez britney69 par exemple ou encore ferrari1951)
- Ne prendre que des chiffres
- Éviter les dates de naissance
Ces mesures ont pour but d’éviter l’attaque par dictionnaires : « L’attaque par dictionnaire est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Elle consiste à tester une série de mots de passe potentiels, les uns à la suite des autres, en espérant que le mot de passe utilisé pour le chiffrement soit contenu dans le dictionnaire. Si tel n’est pas le cas, l’attaque échouera.
Cette méthode repose sur le fait que de nombreuses personnes utilisent des mots de passe courants (par ex : un prénom, une couleur, le nom d’un animal…). C’est pour cette raison qu’il est toujours conseillé de bien réfléchir avant de choisir un mot de passe. Le leet est une pratique simple et très efficace pour se protéger de ce genre d’attaque. » source
Il existe donc des fichiers regroupant les mots de passe les plus utilisés ou encore des dictionnaires. Les personnes mal intentionnées qui veulent cracker un compte peuvent y avoir recours. Un petit log va alors essayer tour à tour chaque mot de passe potentiel présent dans le fichier.
2-. Conseils de base à appliquer repris sur divers sites :
- La longueur du mot de passe : au moins 8 caractères
- Combiner des lettres avec des chiffres mais aussi des symboles
- Évitez de devoir noter le mot de passe sur papier ou pis encore dans un fichier sur votre PC
Ceci pour se prémunir des attaques par force brute :
» L’attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s’agit de tester, une à une, toutes les combinaisons possibles. Cette méthode de recherche exhaustive ne réussit que dans les cas où le mot de passe cherché est constitué de peu de caractères. Ces programmes tentent toutes les possibilités de mot de passe dans un ordre aléatoire afin de berner les logiciels de sécurité qui empêchent de tenter tous les mots de passe dans l’ordre. »
L’explication mathématique de Wikipédia :
« Si le mot de passe contient N caractères, indépendants (la présence d’un caractère ne va pas influencer un autre) et uniformément distribués (aucun caractère n’est privilégié), le nombre maximum d’essais nécessaires se monte alors à :
26N si le mot de passe ne contient que des lettres de l’alphabet totalement en minuscules ou en majuscules ;
52N si le mot de passe ne contient que des lettres de l’alphabet, avec un mélange de minuscules et de majuscules ;
62N si le mot de passe mélange les majuscules et les minuscules ainsi que les chiffres. » source
3-. Les méthodes proposées par l’UCL ou Microsoft .. et la mienne :
UCL :
« Des mots de passe encore meilleurs sont ceux du genre dg7n33ex, mint1pen ou luv2run. Ils sont quasi impossibles à découvrir. Malheureusement, le premier est aussi presque impossible à retenir. Si un mot de passe est si mystérieux que vous devez le coucher sur papier, ce n’est pas un bon mot de passe. L’écriture sur papier n’est en effet pas une pratique de bonne sécurité. Une bonne méthode pour choisir est d’accoler deux mots qui n’ont aucun rapport entre eux, tout en y intercalant un chiffre ou un autre signe. Par exemple : rat2daim, voix?tur, ta!chine, t0utdur ou toud0ux.
Une autre façon encore consiste à prendre la première lettre des mots d’une phrase mémorisable facilement. Par exemple, Dum,lgem vient tout naturellement de « Derrière un mamelon, la garde était massée ». »
Microsoft :
» Créer un mot de passe sûr et facile à retenir en 6 étapes
Pour créer un mot de passe sûr :
1. Pensez à une phrase simple à retenir pour vous. Elle constituera la base de votre mot ou phrase de passe sûr. Utilisez une phrase facile à mémoriser, par exemple : « Mon fils Jérôme a trois ans. »
2. Vérifiez si votre ordinateur ou le système en ligne prend directement en charge la phrase de passe. Si l’ordinateur ou le système en ligne vous permet d’utiliser une phrase de passe (avec des espaces entre les caractères), allez-y.
3. Sinon, convertissez la phrase en mot de passe. Prenez la première lettre de chaque mot de la phrase pour créer un nouveau mot dénué de sens. Avec l’exemple ci-dessus, on obtient : « mfjata ».
4. Haussez le degré de complexité en ajoutant des lettres minuscules et majuscules et des chiffres. Vous pouvez aussi intervertir des lettres ou faire des fautes d’orthographe. Par exemple, dans la phrase de passe ci-dessus, vos pourriez mal épeler Jérôme ou utiliser le chiffre 3 au lieu du mot « trois ». Les possibilités sont nombreuses et plus la phrase est longue, plus le mot de passe est complexe. Ainsi, votre phrase de passe devient « MoN fILs JérÔmE a 3 anS ». Si l’ordinateur ou le système en ligne n’accepte pas les phrase de passe, utilisez la même technique pour l’abréger en mot de passe. Vous obtiendriez un mot de passe comme « MfJrÔa3a ».
5. Enfin, remplacez certains caractères par des caractères spéciaux. Vous pouvez utiliser des symboles comme des lettres, combiner des mots (en éliminant les espaces) ou avoir recours à d’autres méthodes pour compliquer davantage votre mot de passe. Avec ces astuces, on peut créer une phrase comme « MoNFilS JéRÔmE a 3 An$ » ou un mot de passe comme « MFJÔa3A ».
6. Testez votre nouveau mot de passe avec le testeur de mots de passe. Le testeur de mots de passe est une fonction qui de ce site Web qui n’enregistre pas les données et qui vous permet de tester la sécurité de votre mot de passe en temps réel.«
La mienne :
Parmi les choses à éviter, je rajouterais : avoir un mot de passe différent pour chaque site où l’on est inscrit. Voilà qui rajoute à la complexité pour mémoriser les mots de passe.
Pour trouver un mot de passe différent à chaque fois, je prend le nom d’une rue et un numéro. Exemple : petit j’habitais route de Philippeville 47
Je prends donc Philippeville47. Je remplace le premier e par € et je place les chiffres entre parenthèses. J’obtiens : Philipp€ville(47)
Reste un petit problème, ce qu’il me faut, c’est un mot de passe vers les différents site que je fréquente.
Je reprends mon mot de passe et j’y ajoute (à un endroit toujours identique) les 2 premières lettre du site où je m’inscris : exemple pour facebook, je rajoute « fa » et je décide de l’ajouter juste avant la parenthèse. J’obtiens donc : Philipp€ville-fa(47)
4-. Attention à vos questions
La plupart des sites vous demandent des questions pour retrouver votre mot de passe en cas d’oubli. C’est souvent un excellent moyen qu’on les hackers pour récupérer vos mots de passe. Aujourd’hui, chacun laisse en ligne beaucoup d’informations.
Sur Facebook par exemple, il n’est pas rare que :
- Vous soyez membre d’un groupe de votre école primaire.
- Il se peut aussi que vous avez mis des photos de vos animaux de compagnie (y compris ceux qui sont dcd) et leurs noms.
- Le nom de jeune fille de votre mère peut aussi être assez facilement retrouvable.
- Vous pouvez être fan de chanteurs ou de sportifs,…
Il faut donc que stipuliez comme questions en ayant bien à l’esprit que l’information ne doit pas se trouver sur Internet!
5-. Essayer de ne pas rendre public votre username
Le bon sens et la prudence doivent primer. Le risque n’est jamais nul mais il est possible de le réduire fortement.
Un autre élément important que je n’ai pas cité ci-dessus : pour se logguer à un compte il faut deux choses (le login ou username et le mot de passe). Si votre username est visible de tous, la moitié du travail du hacker est fait. Évitez donc de divulguer cette info quand c’est possible.
Exemple sur Facebook, pour vous logguer votre email est nécessaire. Entrez donc une deuxième adresse email que vous rendrez visible et prenez soin de cacher la première.
6-. Conclusion
Le bon sens et la prudence doivent primer. Le risque n’est jamais nul mais il est possible de le réduire fortement.