368dvQsgT0! – Le mot de passe complexe à retenir, mais facile à craquer

Pour sécuriser vos accès à vos comptes personnels, rien ne vaut le bon vieux couple Utilisateur / Mot de Passe !

En êtes-vous si sûr ?

Bye Bye le Mot de passe, Bonjour la Phrase de Passe

Utilisé depuis des années, le mot de passe permet de déverrouiller votre session, accéder à votre compte Facebook, votre banque …

La plupart de ces sites vous recommandent qu’il fasse plus de 8 caractères, comportant un ou plusieurs chiffre, majuscule, caractère spécial … quel calvaire de tout mémoriser, surtout si celui-ci fait plus de 8 caractères. Pourtant, un simple ordinateur de bureau pourrait facilement craquer ces mots de passes !
La solution ? Utiliser plutôt des phrases de passe.

Pour allonger et complexifier le brute-force d’un mot de passe, une phrase de passe serait bien plus longue, mais très simple à mémoriser.
Utiliser une méthode universelle pour avoir un mot de passe différent sur chaque site permet une sécurité maximale.

Exemple, je souhaite que ma méthode soit : Salutation/Site.ext/14000

Salutation est un mot pioché au hasard dans ma mémoire, le site.ext correspond au nom de domaine du site sur lequel je suis commençant chaque « Mot » par une majuscule et 14000 correspond au code postal de la ville de Caen.

Pour mon compte sur LCDGG, le mot de passe est donc Salutation/Lcdgg.ThomasCyrix.com/14000 et le mot de passe du compte Mastodon (hébergé chez la mère Zaclys) sera donc Salutation/Mastodon.Zaclys.com/14000

Des exemples d’utilisation

Bonne Hygiène de ses comptes (1 Site = 1 Mot de passe différent)

Vous avez peut être déjà reçu un mail d’un méchant Hacker vous informant qu’il a piraté votre boite mail et retrouvé un mot de passe qu’il affiche fièrement dans son message.
Si vous utilisez le même mot de passe partout, il est compréhensible de paniquer, vous ne savez pas de quel site celui-ci provient.
Pour palier cela, le bon réflex est d’utiliser un mot de passe unique sur chacun des sites en nécessitant un.
Vous n’avez pas la tête pour tous les retenir ? Utilisez un gestionnaire de mot de passe !

2FA – Confirmer son accès

Il est devenu commun de voir vos différents sites proposer un 2FA (2ème Facteur d’Authentification). Qu’il soit par SMS, par confirmation sur une autre session, par clé FIDO ou par un code généré sur la date et l’heure.
Ces méthodes sont même cumulables, mais attention à ne pas multiplier les ouvertures.

Personnellement, j’utilise le TOTP (Time based One Time Password) au maximum !

OTP – La solution « Miracle » ?

OTP (One Time Password) est un mot de passe qui n’est valable qu’une fois. Les OTP permettent de combler certaines lacunes associées aux traditionnels mots de passe statiques, comme la vulnérabilité au phishing. Cela signifie que, si un intrus potentiel parvient à enregistrer Identifiant, Mot de passe et l’OTP qui était déjà utilisé pour se connecter à un service, il ne sera pas en mesure de l’utiliser car ce dernier ne sera plus valide. En revanche, les OTP ne peuvent pas être mémorisés par les humains, aussi ils nécessitent des technologies complémentaires afin de s’en servir.

Le TOTP est une déclinaison de l’OTP calculée sur la date et l’heure. Popularisé par Google Authenticator, il permet quelque soit le site de proposer un code à usage unique d’une validité de 30 secondes.
Facile à implémenter et compatible avec 99,99% des technologies actuelles, c’est une méthode relativement fiable de 2e facteur d’authentification.

BONUS : Comment vole-t-on nos MOTS DE PASSE ? Jetons-leur des Tomates Pourries !

4 réflexions au sujet de « 368dvQsgT0! – Le mot de passe complexe à retenir, mais facile à craquer »

  1. Bonjour,

    C’est une bonne idée (c’est mieux que les mots de passe à 8 caractères) mais un humain qui obtiens en clair (déchiffré) un de vos mot de passe peut trouver votre autres mots de passes, puisqu’ils ont tous la même structure avec ce système (et il faut les taper les 38 caractères de : Salutation/Lcdgg.ThomasCyrix.com/14000).

    Je recommande à tout le monde d’utiliser des logiciels comme KeePass (qui est libre de droit) et qui vous permet de générer des mots de passe aléatoires de la taille que vous souhaitez. KeePass permet aussi de les enregister sur votre ordinateur et des les chiffrer avec un unique mot de passe que vous connaissez.

    Pour faire court les avantages de KeePass :
    – mots de passe générés aléatoirement (avec des caractères spéciaux comme ^ $ £ ¤ …)
    – mots de passe enregistrer sur votre ordinateur mais chiffrer avec un mot de passe
    – remplissage automatique des formulaires avec votre identifiant et mot de passe (vous pouvez relier dans KeePass vos identifiants/mot de passe aux sites que vous visitez).

    liens :
    https://keepass.info/
    https://www.qwant.com/?q=Keepasshttp (pour le relier à Firefox/Chrome)

  2. L’utilisation de Gestionnaire de Mots de Passe est une alternative que je souhaitais mettre dans cet article… mais il y a eu tellement à dire (les différents générateurs et gestionnaires, leurs méthodes de synchronisation…) que j’en ai dédié un article complet (prévu pour bientôt 😉 )

  3. Passionant. J’utilise près de 150 mots de passe, la plupart sont à 25 caractères ou plus, et stockés sur LastPass. J’ai entendu des réserves sur la sécurité de cet excellent logiciel (le troisième homme…). Avez vous un commentaire éclairant sur la question?…

Les commentaires sont fermés