pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Choisir de bons mots de passe

Vendredi 11 septembre 2009

La sécurité sur les sites web est toujours problématique. L'un des plus gros soucis est l'utilisation des mots de passe. C'est souvent le maillon faible:

  • Le mot de passe est souvent trop court, trop simple à deviner (batman, 1234, charles67...).
  • Beaucoup de personnes utilisent le même mot de passe pour tous les sites.
  • La "question secrète" pour récupérer son mot de passe est trop souvent mal choisie, et la réponse trop facile à deviner (cf. l'affaire avec le nom du chien de Paris Hilton).

Ma première recommandation serait de choisir - quand c'est possible - une question secrète qui n'a absolument aucun sens, avec une réponse du même genre. C'est à dire pas quelque chose qu'on pourrait savoir de vous (nom de l'animal de compagnie, nom de jeune fille de votre mère, etc.)

Ensuite, le choix du mot de passe. Là il y a une astuce qui permet d'avoir un mot de passe long, difficile à deviner et différent pour chaque site. Voici le truc:

Etape 1 : Choisir un bon invariant

Tout d'abord, choisissez et mémorisez une phrase, par exemple «Ma Grand Mère Mange Les Pissenlits Par La Racine.». Si la phrase est assez originale, vous la retiendrez facilement.

Prenez ensuite la première lettre de chaque mot, et ajoutez quelques chiffres et symboles: mgmmlpplr568**. Voilà déjà un bon mot de passe.

Etape 2 : Combiner avec le nom de domaine du site

Ensuite, il faut le rendre unique pour chaque site: Utilisez des lettres du nom de domaine et ajoutez-les à ce mot de passe. Par exemple:

  • korben.info → kni → knimgmmlpplr568**
  • commentcamarche.net → cen → cenmgmmlpplr568**
  • zdnet.com → ztc → ztcmgmmlpplr568**

Ce n'est qu'un exemple ! Libre à vous de choisir comment combiner le nom de domaine au mot de passe. L'important est de mémoriser la manière dont vous les combinez.

Résultat

Et vous voilà avec un excellent mot de passe:

  • Il ne correspond pas à un mot du dictionnaire (donc cela élimine les attaques par dictionnaire et par RainbowTables)
  • Il est long (ce qui rend les attaques par force brute infaisables)
  • Il est différent pour chaque site (ce qui réduit les risques de piratages inter-sites)
  • Il est facile à retrouver: Vous n'avez pas besoin de mémoriser le mot de passe de chaque site car vous êtes capable de le retrouver.

Enfin, un mot d'avertissement: Ne laissez jamais un logiciel mémoriser vos mots de passe. Ni votre navigateur (Firefox) ni un autre logiciel (KeePass, etc.). Ces logiciels stockent les mots de passe sur disque dur, et il est donc toujours plus ou moins possible de vous les voler.

En plus, en laissant ces logiciels entrer le mot de passe à votre place, vous ne retiendrez pas vos mots de passe et vous risquez de ne plus pouvoir accéder aux sites web le jour où il y a un problème avec le logiciel.

Pour terminer, je vous recommande de configurer votre navigateur pour qu'il supprime automatiquement tous les cookies à la fermeture du logiciel. Cela évite de laisser sur disque des cookies de session qui permettraient d'accéder à vos comptes, même sans connaître le mot de passe. (Firefox a une option pour purger les cookies à la fermeture.)


PS: Comme me le fait remarquer un internaute (merci Nicolas), on peut très bien utiliser la phrase elle-même comme mot de passe. J'y mettrais juste un petit bémol: Cela implique de se souvenir exactement de la phrase, à la ponctuation, espaces, minuscules/majuscules et accents près. Ça peut donc être un peu délicat. Ratez une virgule, et vous ne pouvez plus vous connecter.

PS 2: Un autre internaute (Jérôme) me signale sa méthode: Prendre mot de passe-nom de domaine, et hasher le tout en MD5 (avec des outils en ligne comme celui ci ou celui là). Par exemple, on calcul le MD5 de "toto-sebsauvage.net" et on ne garde que les 10 premiers caractères de la MD5, ce qui donne quelquechose du genre "53e6fd11df". Pas mal non plus, comme idée !

Voir tous les billets