Vendredi 11 septembre 2009
La sécurité sur les sites web est toujours problématique. L'un des plus gros soucis est l'utilisation des mots de passe. C'est souvent le maillon faible:
Ma première recommandation serait de choisir - quand c'est possible - une question secrète qui n'a absolument aucun sens, avec une réponse du même genre. C'est à dire pas quelque chose qu'on pourrait savoir de vous (nom de l'animal de compagnie, nom de jeune fille de votre mère, etc.)
Ensuite, le choix du mot de passe. Là il y a une astuce qui permet d'avoir un mot de passe long, difficile à deviner et différent pour chaque site. Voici le truc:
Tout d'abord, choisissez et mémorisez une phrase, par exemple «Ma Grand Mère Mange Les Pissenlits Par La Racine.». Si la phrase est assez originale, vous la retiendrez facilement.
Prenez ensuite la première lettre de chaque mot, et ajoutez quelques chiffres et symboles: mgmmlpplr568**. Voilà déjà un bon mot de passe.
Ensuite, il faut le rendre unique pour chaque site: Utilisez des lettres du nom de domaine et ajoutez-les à ce mot de passe. Par exemple:
Ce n'est qu'un exemple ! Libre à vous de choisir comment combiner le nom de domaine au mot de passe. L'important est de mémoriser la manière dont vous les combinez.
Et vous voilà avec un excellent mot de passe:
Enfin, un mot d'avertissement: Ne laissez jamais un logiciel mémoriser vos mots de passe. Ni votre navigateur (Firefox) ni un autre logiciel (KeePass, etc.). Ces logiciels stockent les mots de passe sur disque dur, et il est donc toujours plus ou moins possible de vous les voler.
En plus, en laissant ces logiciels entrer le mot de passe à votre place, vous ne retiendrez pas vos mots de passe et vous risquez de ne plus pouvoir accéder aux sites web le jour où il y a un problème avec le logiciel.
Pour terminer, je vous recommande de configurer votre navigateur pour qu'il supprime automatiquement tous les cookies à la fermeture du logiciel. Cela évite de laisser sur disque des cookies de session qui permettraient d'accéder à vos comptes, même sans connaître le mot de passe. (Firefox a une option pour purger les cookies à la fermeture.)
PS: Comme me le fait remarquer un internaute (merci Nicolas), on peut très bien utiliser la phrase elle-même comme mot de passe. J'y mettrais juste un petit bémol: Cela implique de se souvenir exactement de la phrase, à la ponctuation, espaces, minuscules/majuscules et accents près. Ça peut donc être un peu délicat. Ratez une virgule, et vous ne pouvez plus vous connecter.
PS 2: Un autre internaute (Jérôme) me signale sa méthode: Prendre mot de passe-nom de domaine, et hasher le tout en MD5 (avec des outils en ligne comme celui ci ou celui là). Par exemple, on calcul le MD5 de "toto-sebsauvage.net" et on ne garde que les 10 premiers caractères de la MD5, ce qui donne quelquechose du genre "53e6fd11df". Pas mal non plus, comme idée !