You are currently viewing Les mots de passe, quel casse-tête !

Les mots de passe, quel casse-tête !

  • Commentaires de la publication :0 commentaire

La gestion des mots de passe est devenue un véritable casse-tête pour les utilisateurs au quotidien, que ce soit à la maison ou en entreprise. C’est un sujet immense qui représente une partie importante de nos formations ou sensibilisations auprès de nos stagiaires.

Règle N°1 : Utiliser des mots de passe différents

Il est vrai que ce que l’on demande désormais aux utilisateurs a de quoi en effrayer plus d’un. Tout d’abord, pour éviter de se faire pirater tous ses comptes lorsque l’un d’entre eux a été compromis suite à l’attaque d’un site, par exemple, il convient d’utiliser des mots de passe différents sur chaque site.

S’il y a, d’ailleurs, un mot de passe sur lequel il faut être particulièrement vigilent, c’est bien celui de la messagerie. Car, comme vous le savez, pour réinitialiser un mot de passe, la plupart du temps, lorsque l’on clique sur le bouton « J’ai oublié mon mot de passe », un message est envoyé sur … notre messagerie pour le modifier. Un pirate qui en a pris le contrôle pourra donc prendre également le contrôle d’un grand nombre de nos comptes en réinitialisant les mots de passe. Règle N°1 donc, multiplier les mots de passe.

Règle N°2 : Utiliser des mots de passe forts

Ensuite, il est important d’utiliser des mots de passe forts afin d’éviter les attaques par force brute consistant à utiliser des ordinateurs pour essayer toutes les combinaisons de caractères possibles ou par dictionnaire en se servant de listes de mots de passe courants, que l’on trouve facilement sur internet. Il est d’ailleurs surprenant qu’en 2020, d’après une étude récente, le mot de passe le plus utilisé dans le monde soit toujours « 123456 ».

Mais qu’est ce qu’un mot de passe fort ? Il est curieux de voir la réaction de nos stagiaires lorsque l’on indique qu’il vaut mieux avoir un mot de passe long, composé de plusieurs mots (une pass-phrase en fait) qu’un mot de passe de 10 caractères, par exemple, composé de minuscules, majuscules, chiffres et caractères spéciaux. Ceci s’explique car la force d’un mot de passe peut se calculer. C’est ce qu’on appelle l’entropie. Je vous passe la formule de calcul de l’entropie, et vous renvoie vers le site de l’ANSSI qui propose un calculateur de la force d’un mot de passe, donc son entropie. Vous suivez ?

« A travers 20 ans d’efforts, on a réussi à habituer les gens à utiliser des mots de passe qui sont difficiles à retenir pour les humains, mais faciles à deviner pour les ordinateurs » – Source : xkcd.com

Tous les sites internet sur lesquels nous devons créer des comptes, malheureusement, nous demandent de choisir des mots de passe compliqués et impossible à retenir. Prenons par exemple deux mots de passe :

« merle casino gerce triche » et « #Mr5$!T7« 

Et bien, selon le calculateur de l’ANSSI, le premier possède une entropie de 118, le second 52. Le premier est donc presque deux fois plus difficile à cracker que le second et en plus le premier est évidemment plus facile à retenir que le second. Cependant, ce mot de passe, malgré sa force sera refusé par la plupart des sites, car il ne comporte pas les fameux caractères spéciaux qu’on vous demande de mettre dans vos mots de passe. Il faudra donc ajouter au début ou la fin au moins un chiffre et un caractère spécial. Par exemple, je prendrai le mot de passe : « 2) Merle casino gerce triche »

Par curiosité, il est possible de savoir en combien de temps un mot de passe peut être cracké par des ordinateurs. Pour ce faire, on peut utiliser un site comme security.org sur lequel il suffit de saisir un mot de passe et le temps nécessaire pour le cracker s’affichera.

https://www.security.org/how-secure-is-my-password/

Si je reprends les mots de passe que j’ai choisis précédemment, le premier « merle casino gerce triche » serait cracké en 100 X 1021 années et le second « #Mr5$!T7 » en 8 heures ! Y a pas photo, non ?

Voici un tableau qui résume les temps nécessaires aux ordinateurs pour cracker un mot de passe en fonction de sa complexité et sa taille.

Cela nous amène à la règle N° 2, utiliser des mots de passe forts.

Voici donc le casse-tête des mots de passe que rencontrent tous les utilisateurs : Des mots de passe différents sur plusieurs sites et des mots de passe forts à mémoriser. Mais comment un humain normalement constitué pourra-t-il mémoriser tous ces mots de passe ? Et bien, cela est tout simplement impossible.

La solution sera donc, comme nous le verrons dans un prochain article, d’utiliser un gestionnaire de mots de passe qui les mémorisera à notre place :).

Laisser un commentaire