password mot de passe

Changez de mot de passe !

| 9 commentaires

Partagez si vous aimez! Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInEmail this to someone

Je vous ai déjà parlé du bon choix d’un mot de passe mais je pense qu’il est nécessaire de revenir sur quelques principes de base en cassant un peu quelques idées reçues.


Après la lecture de un ou deux articles sur le sujet, j’étais bien tenté de moi aussi vous faire passer le message. Mais ce qui m’a vraiment décidé, c’est ça:

xkcd

En gros, aujourd’hui, nous sommes beaucoup à utiliser les mêmes techniques mnémotechniques pour nos mots de passe.  Ces mots de passe sont de plus en plus complexes, et le souci c’est que ce n’est pas si simple de s’en souvenir.

Globalement, il existe plusieurs façon de trouver le mot de passe de quelqu’un:

  • Demander: ça parait con comme ça, mais effectivement ça fonctionne. Vous n’avez jamais donné un de vos mots de passe à votre famille ou vos collègues ?
  • Deviner: il s’avère que la plupart des gens choisissent un mot de passe qui est facile à retenir, et les plus faciles sont ceux qui sont liés à vous en tant que personne. Les mots de passe tels que: votre nom, le nom de votre femme, le nom de votre chat, la date de naissance, votre fleur préférée etc. sont tous assez commun.
  • Force Brute: là c’est simple, un script s’attaque à toutes possibilités de mot de passe, un à la fois. Ca peut prendre du temps, mais au final, avec la puissance de calcul suffisante… on y arrive.
  • Dictionnaire: la technique est un peu différente, et consiste à essayer tous les mots du dictionnaire en tant que mot de passe.

Ce que dit l’article sur lequel je me base (en anglais ici: http://www.baekdal.com/tips/password-security-usability) c’est que comme on ne peut rien faire pour les deux premières méthodes, il faut s’attaquer aux deux dernières.

Jetez un oeil au tableau donné en example dans l’article :

bien choisir son mot de passe

Source : http://www.baekdal.com/tips/password-security-usability

Choisir un mot du dictionnaire, même peu commun, est totalement inutile. Utiliser des caractères alphabétique uniquement est aussi risqué… mais par contre, allez vous souvenir de J4fS<2 !!! Comme je le disais, on peut toujours trouver un moyen mnémotechnique pour se souvenir de cela, mais au final, comme vous devriez avoir des mots de passe différents par site, ça reste un peu tendu.

Bon, alors, c’est quoi le mot de passe ultime ?

Si vous revenez au dessin d’illustration de cet article (de xkcd), et à l’article que j’ai mentionné, tout le monde est d’accord : utilisez des espaces, des phrases dont vous vous souviendrez. Au minimum (à raison de 100 attaques par seconde), le mot de passe this is fun prendrait 2537 ans à craquer, soit 10 fois plus sécurisé que le bon vieux J4fS<2.

Le problème est qu’aujourd’hui, les mots de passe ont une structure imposée sur beaucoup de systèmes, notamment en entreprise, et qu’il est difficile de mettre cette méthode à éxécution.

Si vous voulez tester vos mots de passe, un gars a mis en place un « simulateur » de brute force : https://www.grc.com/haystack.htm qui vous permet d’évaluer le temps approximatif nécessaire pour cracker un mot de passe en force brute.

changer de mot de passe

this is fun

 

 source : http://www.baekdal.com/tips/password-security-usability
Quelques livres sur le sujet
Partagez si vous aimez! Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInEmail this to someone

Auteur : Mathieu

Passionné et professionnel du web depuis 10 ans, je rédige Le Geek Pauvre depuis 2007. Le but de mon blog est de partager avec vous des outils gratuits, vous permettant de remplacer ou d'améliorer des logiciels ou services payants. En 2012, j'ai reçu la distinction de meilleur blog high-tech aux Golden Blog Awards.

9 Commentaires

  1. Pour les lecteurs non anglophones, cette planche d’xkcd est sous-titrée en français ici !

  2. Eh oui Mathieu , on est d’accord sur le fait que la gestion des mots de passe est problématique. Pour ma part, j’utilise depuis quelques mois un logiciel dont je ne peux plus me passer: 1Password

  3. Effectivement, je viens de tester le mot de passe « M4ss1v3B4tt3ryH0rs3Vi0l3nt » (Massive Battery Horse Violent) … et je suis à 1.29 hundred billion trillion centuries (centaine de milliard de milliard de milliard de siècles non ?) dans le cas d’une attaque en ligne massive … C’est vrai que c’est assez ouf la différence.

  4. Ping : Comment bien choisir son mot de passe | SeCurité infos et web | Scoop.it

  5. Le meilleur moyen de trouver le mot de passe de quelqu’un, c’est de créer un site qui teste vos mots de passe en simulant la force brut ;)

  6. ma méthode préférée : les theoremes.
    pythagore : (AB)^2+(BC)^2=(AC)^2, par exemple. ça fait, juste avec un cours de terminale bien su (meme si je n’y suis plus depuis un bail), une caisse de mots de passe long, avec des caracteres speciaux, maj, min, chiffres, ect … et facile a retenir !!

  7. Bonjour. En matière de simulateur de mot de passe, j’utilise généralement ZXCVBN : https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html qui parvient à une conclusion radicalement différente sur un mot de passe tel que « this is fun » sur la base d’un calcul d’entropie et trouve que « J4fS<2" est 300 fois plus sûr. Son lien vers "introduction" mène à l'article qu'il consacre à ce sujet. J'ai l'impression que tu as laissé de coté le calcul d'une attaque par dictionnaire.

Laisser un commentaire

Champs Requis *.