Hero Image

Authentification et mots de passe

Aucun système informatique n’est inviolable et malheureusement, le plus souvent, la « faille » de sécurité est liée à de mauvaises pratiques humaines liées à des défauts d’authentification.

Les pires mots de passe de 2019## Utiliser et mémoriser des mots de passe sécurisés

Face à la démultiplication des usages digitaux, le nombre de services et d’outils nécessitant de s’authentifier a très largement explosé.

Il est donc primordial de pouvoir générer, mémoriser et utiliser facilement des éléments d’authentification sécurisée distincts pour chaque usage.

Trouver à chaque fois des idées de mots de passe différents et personnels qui ne sont pas facilement identifiables dans un dictionnaire, pour éviter les attaques par force-brute, peut rapidement devenir un sport ardu.

Il convient de ne plus réfléchir en mot de passe mais plutôt sous la forme de « phrase » de passe que l’on va pouvoir créer de toute pièce et ainsi être capable de retrouver et adapter de manière fluide et rapide.

  • Prendre par exemple une phrase facilement mémorisable (titre de film, de livre, premiers mots d’un chapitre…) :

    "Il était une fois en Amérique"
    
  • Ne garder que les premières lettres :

    "I" "é" "u" "f" "e" "A"
    

Pour faciliter la frappe sur un clavier, il peut être préférable de ne pas utiliser de combinaisons de touche et donc remplacer certaines lettres accentuées par un chiffre ou une autre lettre similaire ou approchante é = e = E = 3

  • Ce qui peut nous donner comme racine à l’ensemble de nos mots de passe :

    I3ufeA
    

Il contient des lettres en minuscules, en Majuscules et un/des chiffre(s)

Cet « embryon » de mot de passe à 6 caractères n’apparait dans aucun dictionnaire et est par contre facilement mémorisable et utilisable au quotidien dans des versions personnalisées et spécifiques pour chaque service et chaque usage.

  • Un service = un mot de passe distinct et unique

Rendre distinct et unique son mot de passe pour chaque service va impliquer de devoir ajouter un préfixe (ou un suffixe) constitué de quelques caractères spécifiques à chaque site ou service et d’y appliquer une règle commune pour pouvoir retrouver le mot de passe facilement.

Règle simple par exemple : prendre les 3 premiers caractères du service avec la 1ère lettre en Majuscule, les suivantes en minuscule et les voyelles remplacées par un chiffre ressemblant A = 4, S = 5…

<pre class="wp-block-preformatted">Apple => App<br></br>Facebook => F4c<br></br>Instagram => Ins

Ce qui me donnera comme mot de passe pour le compte Apple :

<pre class="wp-block-preformatted">AppI3ufeA
  • Selon le degré de sécurité attendu par le service, il peut être ajouté d’autres caractères spécifiques accessibles directement sur le clavier :

    @ / # ; ! % $ * ?....
    
  • Enfin, vos mots de passe doivent être changés régulièrement… donc ajoutez l’année et le mois par exemple et prenez l’habitude de les changer tous les mois.

Avec l’augmentation de la puissance de calcul des ordinateurs modernes et les capacités de cassage disponibles désormais, la complexité et l’unicité de vos « mots de passe » seront votre meilleure protection pour sécuriser l’accès à vos différents services et contrer les tentatives d’usurpation d’identité.

Temps habituellement nécessaire pour casser un mot de passe – source CyberGEND

Utiliser la double authentification

De plus en plus de services, à l’instar des services bancaires pour lesquels la double authentification est devenue obligatoire, offre la possibilité d’activer une authentification renforcée en utilisant des moyens complémentaires d’identifications.

Que ce soit par l’envoi d’un SMS ou d’un mail avec un code à usage unique, l’envoi d’un lien unique de connexion, la fourniture d’un code unique généré aléatoirement par une application mobile, ou l’usage d’un système biométrique en complément de votre mot de passe, ces systèmes permettent de renforcer considérablement votre authentification et sont donc à utiliser prioritairement.

Utiliser un gestionnaire de mots de passe ?

Dashlane, Keepass, 1password, LastPass, Lockwise… les gestionnaires de mots de passe sont très nombreux, les options proposées variables et les tarifs parfois sans comparaisons.

Ils fonctionnent tous sur le principe d’un unique mot de passe « maitre » qui permet ainsi d’accéder à l’ensemble des mots de passe enregistrés de manière chiffré dans le logiciel et/ou en ligne. Ces services permettent également parfois d’y ajouter des informations personnelles pour compléter les formulaires par exemple. Par le biais d’extensions dans les navigateurs et d’applications mobiles, ils permettent d’avoir l’ensemble de ses mots de passe facilement accessibles en permanence.

Ces systèmes sont basés sur la confiance que vous leurs accordez pour confier l’ensemble de vos données d’authentification (et d’autres) à une société privée.

Bref ; 2, 3 petites choses à ne pas faire…

  • Utiliser le même mot de passe plusieurs fois,
  • Bacler l’élaboration de ses « mots de passe »,
  • Partager ses mots de passe,
  • Ne pas utiliser de gestionnaire de mots de passe,
  • Et écrire son mot de passe pour s’en souvenir sur un post-it accroché à l’écran