Choisir un bon mot de passe
Introduction
Le mot de passe est bien souvent le premier et le dernier rempart
qui protège un document ou un système informatique de l'accès par des
utilisateurs non autorisés. Sans entrer dans les
détails, l'auteur espère qu'il pourra guider quelques
utilisateurs dans la gestion de leurs mots de passe.
Dans un dictionnaire, on trouve pour mot de passe : "Formule
qui permet de se faire reconnaître d'un parti ami, d'une
sentinelle, etc.". Le "mot" de passe présente par
définition la caractéristique d'être une
"formule"; bien plus qu'un mot. Il est plus difficile de
choisir un bon mot de passe, que de s'en souvenir, et on
considère d'ailleurs qu'il faut changer de mot de passe chaque
fois que l'on s'en souvient bien. Dans le reste de ce document, les
mots "formule" et "mot de passe" sont interchangeables. Le mot de
passe est obtenu par action d'un algorithme sur une clé
(souvent un ou plusieurs mots/chiffres). La complexité du mot
de passe tient compte à la fois du nombre de combinaisons
possibles pour l'obtenir de façon aléatoire ou
calculée, et de la variabilité de l'algorithme et de la
clé ayant servi à générer la formule. Cette formule a pour fonction
de se faire reconnaître par une sentinelle, humaine ou informatique.
Certaines règles élémentaires s'appliquent à la gestion de tout
mot de passe :
- un mot de passe est strictement personnel
: ne le confiez à personne
- un mot de passe est unique pour une sentinelle
donnée : n'utilisez pas votre code deux fois, sur deux
systèmes ou services différents. Ne
réutilisez pas vos mots de passe, renouvelez-les.
- un mot de passe doit être changé régulièrement
- un mot de passe doit être difficile à trouver,
mais facile à retenir : ne l'inscrivez nulle part. En
particulier, ne le stockez pas dans un fichier électronique
(.netrc sous Unix, fichier des paramètres d'Eudora, fichier
des préférences de votre navigateur favori), et
n'activez pas l'option permettant d'enregistrer votre mot de passe
(parfois traduit par "se souvenir" ou "se rappeler" du mot de
passe) dans un logiciel de communication en réseau.
Ces quatre règles permettent au mot de passe d'assurer une bonne sécurité des informations.
Durée de vie d'un mot de passe
Pour garantir une sécurité plus grande, un mot de passe doit être changé régulièrement. L'intervalle entre deux changements de mot de passe dépend de nombreux facteurs dont :
- le nombre total d'utilisateurs sur le système :
plus ce nombre est élevé, plus le risque que l'un
des comptes utilisateurs soit découvert est
élevé. Pour éviter les tentatives de
pénétration de votre compte personnel à
partir d'un compte "troué", il faut changer son mot de
passe régulièrement. Un pirate discret pourrait se
contenter d'observer vos informations sans laisser de traces. En
changeant le mot de passe, il ne pourra plus se représenter
sur votre compte s'il a été
pénétré.
- l'exposition du système : un système
informatique connecté à un réseau est plus
exposé qu'un système isolé, ne partageant pas
de ressources ni de données avec l'extérieur. La
fréquence du changement de mot de passe doit être
modulée en fonction de ce type d'exposition.
- la nature des informations à protéger :
changer de mot de passe, à condition bien sûr de ne
pas choisir de remplacer un bon mot de passe par un mauvais,
accroît la sécurité des données
personnelles.
Ce qu'il faut éviter
Le dernière règle concernant le mot de passe est la
plus importante et de loin la plus critique. La
sécurité est un compromis, et un bon mot de passe
aussi. Le compromis doit être trouvé entre le
caractère aléatoire de la formule
alphanumérique servant de mot de passe et le
nécessaire caractère mnémotechnique de la
formule.
En aucun cas un bon mot de passe ne doit être :
- votre numéro de téléphone
- votre nom ou prénom
- votre numéro de plaque minéralogique
- votre numéro de sécuritésociale
- votre surnom, même intime
- votre taille, pointure, poids
- le nom de votre petit(e) ami(e) ou de votre femme ou homme
- le nom de votre chien, chat ou poisson
ou toute autre combinaison de ces mots, même dans le
désordre.
Un bon mot de passe ne figure pas non plus dans :
- un dictionnaire (surtout électronique, tels que
les dictionnaires orthographiques ou techniques)
- une revue
- un recueil de bons mots
- un recueil de prénoms
- un fichier ou listing informatique
Quelques méthodes de choix
Parmi toutes les méthodes utilisées pour générer des bons mots de passe, plusieurs variantes vous sont proposées ci dessous :
La phrase clé
Choisir un proverbe, un dicton, un titre de film ou de livre, et
utiliser cette phrase, comme clé pour la
génération du mot de passe. Celui-ci se déduit
de la phrase clé par une méthode de votre choix, dont
voici un exemple : ne conserver que les premières lettres de
chaque mot formant la phrase code, et mélanger les lettres
obtenues avec le nombre de caratères formant chaque mot.
Illustration : la phrase clé est "La vie en rose".
Les premières lettres de chacun des mots sont Lver (respect
des majuscules !), et les quatre mots sont respectivement
constitués de 2, 3, 2 et 4 lettres. Le mot de passe choisit
est "Lver2324". Une autre convention donnerait une
préférence à l'alternance lettre/chiffre et
fournirait : "L2v3e2r4". La méthode de sélection du mot
de passe à partir de la phrase clé peut-être
variée à volonté. De plus, des caractères
augmentant le "désordre" du mot de passe peuvent être
introduits... comme les caractères ":", "/" ou "%" et ainsi de
suite.
Cette méthode présente l'avantage de
générer des mots de passe relativement
aléatoires, qui sont une "compression" d'une phrase clé
qu'il est difficile de retrouver dans sa totalité afin de
découvrir le mot de passe. Du "bruit" peut-être
introduit dans le mot de passe en insérant des
caractères non extraits de la phrase clé.
De plus, il est possible de retrouver un mot de passe à
partir de la phrase clé, plus facile à retenir que le
mot de passe lui même. Cela permet d'éviter
d'écrire le mot de passe sur un bout de papier afin de s'en
souvenir :-)
Mots accolés
Dans cette méthode, vous accolés deux mots courts pour former le mot de passe. Par exemple "Cap" et "Feu" fournissent "CapFeu". Notez qu'ici aussi, pour augmenter le degré de complexité de votre mot de passe, il est bon de mélanger majuscules et minuscules. La qualité des mots de passe générés de cette façon est moins bonne que la précédente, car les deux mots formant le mot de passe peuvent être trouvés dans un dictionnaire, et un logiciel de craquage pourrait très simplement utiliser un algorithme aussi simple que la concaténation de deux mots. Introduisez un chiffre ou un caractère spécial entre les mots pour augmenter sa complexité.
Suppression des doublons
Cette fois, il s'agit de trouver un mot assez long, et de supprimer dans ce mot toutes les occurrences multiples de la même lettre. Ainsi, la clé "chercheurs" fournit le mot de passe "cherus" après suppression des lettres en double. Le mot clé "suppression" fournit "supreion". Encore une fois, il est bon de rajouter des chiffres ou caractères spéciaux pour augmenter la complexité du mot de passe. Par exemple, on peut rajouter le nombre de lettres du mot clé original, et "communication" devient "comuniat13". La méthode est moins fragile au craquage que la précédente, mais là aussi l'algorithme de génération du mot de passe à partir du mot clé n'est pas compliqué à mettre en oeuvre.
Conclusion
Aucun mot de passe n'est inviolable, utilisez
des mots de passe de qualité et changez-en souvent.
Astuce : Générateur de mot de passe