PostHack - Rémi Vincent - Design d'expériences humaines

Authentification et mots de passe

Aucun système informatique n’est inviolable et malheureusement, le plus souvent, la « faille » de sécurité est liée à de mauvaises pratiques humaines liées à des défauts d’authentification.

Les pires mots de passe de 2019

Utiliser et mémoriser des mots de passe sécurisés

Face à la démultiplication des usages digitaux, le nombre de services et d’outils nécessitant de s’authentifier a très largement explosé.

Il est donc primordial de pouvoir générer, mémoriser et utiliser facilement des éléments d’authentification sécurisée distincts pour chaque usage.

Trouver à chaque fois des idées de mots de passe différents et personnels qui ne sont pas facilement identifiables dans un dictionnaire, pour éviter les attaques par force-brute, peut rapidement devenir un sport ardu.

Il convient de ne plus réfléchir en mot de passe mais plutôt sous la forme de « phrase » de passe que l’on va pouvoir créer de toute pièce et ainsi être capable de retrouver et adapter de manière fluide et rapide.

  • Prendre par exemple une phrase facilement mémorisable (titre de film, de livre, premiers mots d’un chapitre…) :
"Il était une fois en Amérique"
  • Ne garder que les premières lettres :
"I" "é" "u" "f" "e" "A"

Pour faciliter la frappe sur un clavier, il peut être préférable de ne pas utiliser de combinaisons de touche et donc remplacer certaines lettres accentuées par un chiffre ou une autre lettre similaire ou approchante é = e = E = 3

  • Ce qui peut nous donner comme racine à l’ensemble de nos mots de passe :
I3ufeA

Il contient des lettres en minuscules, en Majuscules et un/des chiffre(s)

Cet « embryon » de mot de passe à 6 caractères n’apparait dans aucun dictionnaire et est par contre facilement mémorisable et utilisable au quotidien dans des versions personnalisées et spécifiques pour chaque service et chaque usage.

  • Un service = un mot de passe distinct et unique

Rendre distinct et unique son mot de passe pour chaque service va impliquer de devoir ajouter un préfixe (ou un suffixe) constitué de quelques caractères spécifiques à chaque site ou service et d’y appliquer une règle commune pour pouvoir retrouver le mot de passe facilement.

Règle simple par exemple : prendre les 3 premiers caractères du service avec la 1ère lettre en Majuscule, les suivantes en minuscule et les voyelles remplacées par un chiffre ressemblant A = 4, S = 5…

Apple => App
Facebook => F4c
Instagram => Ins

Ce qui me donnera comme mot de passe pour le compte Apple :

AppI3ufeA
  • Selon le degré de sécurité attendu par le service, il peut être ajouté d’autres caractères spécifiques accessibles directement sur le clavier :
@ / # ; ! % $ * ?....
  • Enfin, vos mots de passe doivent être changés régulièrement… donc ajoutez l’année et le mois par exemple et prenez l’habitude de les changer tous les mois.

Utiliser un gestionnaire de mots de passe ?

Dashlane, Keepass, 1password, LastPass, Lockwise… les gestionnaires de mots de passe sont très nombreux, les options proposées variables et les tarifs parfois sans comparaisons.

Ils fonctionnent tous sur le principe d’un unique mot de passe « maitre » qui permet ainsi d’accéder à l’ensemble des mots de passe enregistrés de manière chiffré dans le logiciel et/ou en ligne. Ces services permettent également parfois d’y ajouter des informations personnelles pour compléter les formulaires par exemple. Par le biais d’extensions dans les navigateurs et d’applications mobiles, ils permettent d’avoir l’ensemble de ses mots de passe facilement accessibles en permanence.

Ces systèmes sont basés sur la confiance que vous leurs accordez pour confier l’ensemble de vos données d’authentification (et d’autres) à une société privée.