Des mots de passe forts, différents et faciles à retenir

[Le PoissonClown]

Bonjour,

Vous le savez, pour être solides, il faut que vos mots de passe soient :

• Compliqués,
• Longs,
• Jamais les mêmes.

Les mots du dictionnaire sont des plus facile à trouver. Pour vous donner un ordre d'idée, une attaque par force brute (c'est-à-dire en essayant toutes les combinaisons possibles) à l’aide d'un PC moderne mettrait :

• Moins d'une seconde pour trouver un mot de passe s'il est un mot du dictionnaire, quel que soit son nombre de caractères. Le Larousse contient 90 000 noms communs et 8 500 noms propres, soit moins d'un quart de million de possibilités (0,098 millions).
• Quelques secondes pour le trouver s'il fait 6 caractères et ne contient que des chiffres (de 0 à 999 999), soit 1 million de possibilités (10⁶) pour 6 caractères.
• Environ 5 minutes pour le trouver s'il fait 6 caractères et ne contient que des minuscules (de aaaaaa à zzzzzz), soit près de 309 millions de possibilités (26⁶).

Tous les caractères du clavier (10 chiffres, 52 lettres ainsi qu’une quarantaine de signes de ponctuation et de caractères spéciaux) constituent plus de 1 000 milliards de possibilités (environ 100¹²) toujours pour 6 caractères.
Ce chiffre peut paraître énorme, mais il faut savoir que la puissance de calcul des ordinateurs n’a de cesse d’augmenter. Ainsi, seul un mot de passe de plus de 12 caractères permettrait de dissuader les personnes malveillantes.

Bref ! Avec toute cette longueur et cette complexité, tout le monde se pose la même question :

« Comment faire pour retenir tous ses mots de passe !? »

Eh bien à part tous les écrire dans un carnet cadenassé dont vous conserverez la clé autour du cou , il y a une solution assez simple que l'on va voir tout de suite :

0. Estimer la longueur de son mot de passe

Il est évident que vous n'avez pas à protéger votre compte sur un forum de crustacé de la même façon que votre messagerie professionnelle.
Disons que pour des forums où ne filtre aucune info personnelle, par exemple, huit caractères sont plus que suffisants. En revanche, utilisez au minimum 12 caractères pour des comptes plus importants, comme ceux qui contiennent des données confidentielles, tel l'outil de travail de votre entreprise ou vos réseaux sociaux.

Avoir en tête le préjudice possible est un bon repère pour évaluer la longueur d'un mot de passe sur une échelle de 6 à 20 caractères.

1. Élaborer une phrase facile à retenir

Imaginez une phrase facile à retenir (citation, vers, souvenir ou phrase burlesque). Mais attention : facile à retenir dans ses moindres détails.
Par exemple, ne choisissez pas :

Quand j'ai su que ma belle-mère était allergique aux chats, j'en ai adopté un.

Vous pourriez confondre "Quand" avec "Lorsque" ou "Dès que", ou "adopté" avec "pris" ou "acheté", ou "chat" avec "poils de chat"… Bref ! Cela prête à confusion.
Simplifiez-la au maximum, comme ceci :

Mon chat fait fuir ma belle-mère.

Mais ça peut être aussi ce genre de phrase :

Mon premier fils s'appelle Grégory.

Je collectionne les chaussettes Bidochon.

Mon voisin se cache pour fumer.

Vive les bananes parce qu'il n'y a pas d'os dedans.(1)

(1 : titre d'une vieille chanson.)
Ne visez pas trop long, une quinzaine de mots suffisent déjà pour une stratégie de mot de passe à 20 caractères.

2. La raccourcir avec méthode

La deuxième étape consiste à la raccourcir pour obtenir de 6 à 20 caractères. Mais cette opération doit rester simple. Par exemple, laissons la ponctuation, qui pourra nous aider à mieux retenir la phrase de départ. Et prenons juste la première lettre de chaque mots de la phrase.
Dans notre exemple, cela donnera :

Mcffmbm.

Si le résultat vous paraît peu aisé à retenir comme ici, vous pouvez aussi l'abréger de manière plus naturelle :

mnchffmbLmR.

Ce qui compte, c'est de retenir votre mot de passe. Aussi, prenez une autre phrase si la première ne vous inspire pas confiance.

3. La rendre complexe

L'étape suivant consiste à compliquer cette suite, en modifiant les types de caractères :

En premier, on peut remplacer les minuscules des noms communs par des majuscules (comme en allemand) :

mCffmbM.

On peut aussi remplacer certaines lettres par des chiffres ou des caractères spéciaux visuellement semblables. Exemples :

• "0" (zéro) pour la lettre "o" ;
• "€" pour "E" ;
• "1" ou "!" pour "L" ou "i" ;
• "5" ou "$" pour "S" ;
• "@" pour "a"…

Voilà ce que l'on peut faire d'après notre exemple :

mÇf£m3M.

C'est bon ? Alors vous avez presque terminé.

4. Élaborer une règle de personnalisation

Maintenant, l'astuce est de personnaliser son mot de passe avec le nom du service ou du logiciel sous lequel vous avez un compte.

Imaginons que nous ayons un compte Microsoft, un autre chez Google, et un autre chez LeCrabeInfo.
Je vais par exemple, choisir de mettre les cinq premières lettres au début du mot de passe, suivi d'une apostrophe. Cela va me faire respectivement :

micro'mÇf£m3M.
googl'mÇf£m3M.
lecra'mÇf£m3M.

Avec cette technique, j'aurai trois mots de passe différents, longs de 13 caractères, complexes mais pas trop durs à retenir.

J'aurais pu tout aussi bien choisir d'utiliser les quatre dernières lettres entre parenthèses à la fin de ma suite, comme ceci :

mÇf£m3M.(soft)
mÇf£m3M.(ogle)
mÇf£m3M.(info)

Ou au milieu entre crochets, ou après 2 caractères… Soyez inventifs !

5. Éviter les pièges

En dernière partie, voici quelques pièges à éviter :

Ne choisissez que des caractères spéciaux usités

Faites attention à ne pas choisir de caractère trop spécial car vous risquez d'essuyer des refus lors de vos inscriptions (et là c'est le drame ! ). Privilégiez les plus courant comme l'apostrophe, le tiret (haut ou bas), le point, la virgule, les caractères accentués ou avec cédille, tréma, symboles monétaires, etc.

Ne répétez pas les mêmes caractères

Évitez un mot de passe qui comporte trop de répétitions, non-seulement de caractère, mais encore de catégorie de caractère. Par exemple :

aaadefgHZKY105$

Dans son apparence de complexité, ce mot de passe est facile à deviner. Il répète 3 fois un même caractère et fait une répétition de 4 minuscules, 4 majuscules puis 3 chiffres.
Variez votre suite : plus vous alternerez les styles, plus votre mot de passe sera solide.

Comme rappelé en commentaire, vous pouvez à cet effet tester la solidité de votre mot de passe sur le site Assiste.com.

Ne stockez pas vos mots de passe dans un fichier compréhensible

A vrai dire, le mieux serait de ne jamais les écrire. Si vous avez bien choisi votre phrase,vous ne l'oublierez jamais, je peux vous l'assurer. Si vous avez peur d'oublier les équivalences caractères spéciaux-chiffres / lettres, vous pouvez éventuellement les noter quelque part, mais rien de plus ! Si vous souhaitez à tout prix les noter quelque part, il faut essayer de camoufler au maximum le fichier contenant vos précieux mots de passe.

Il va de soi que vous n'allez pas les écrire dans un document intitulé ou comportant les noms "identifiant", "mot de passe" ou "password" ou "compte" etc. Ce serait vraiment problématique si une personne malveillante avait accès à vos données.

Au contraire : déguisez votre fichier !
Une fois que vous avez constitué votre fichier, mettez-le sous forme d'archive compressée (Zip ou Rar). Puis donnez-lui un nom anglais technique tel que « setup », « uninstall », « appsettings », « reg_backup », « wifidriver » ou simplement « display ».
De cette manière, même une recherche de mots-clés à l'intérieur des différents types de documents ne pourra rien renvoyer.

Ne laissez pas vos mots de passe écrits tels quels sur un papier

Vous avez tout-à-fait le droit d'écrire vos mots de passe sur un bout de papier. Mais toujours en suivant la même condition : déguiser son contenu !

Écrivez-le à l'intérieur ou à la fin d'une URL bidon. Par exemple :

https://www.google.com/search?=je+suis+chocolatrie&id=abcd'mÇf£m3M&src=mail
http://lefigaro.fr/societe/travail/le-stress-au-bureau-008974#comment-abcd'mÇf£m3M
https://www.google.fr/maps/place/abcd'mÇf£m3M/data=!3m1!4b1!4m5.801652

Ou si vous êtes au sein d'un réseau d'entreprise :

\\serveur\administratif\applications\office\data\profile\abcd'mÇf£m3M

Ou encore, une URI de votre machine :

C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\abcd'mÇf£m3M.default
C:\Windows\Temp\Macromedia\Flash Player\update\abcd'mÇf£m3M

Ou encore le numéro d'un « truc compliqué en informatique » tel que :

Error 00480 on device abcd'mÇf£m3M
No de série du matériel : abcd'mÇf£m3M
Modèle de la cartouche : magenta HC abcd'mÇf£m3M

Encore une fois, ayez de l'imagination !

Le mot de la fin

Maintenant que vous vous êtes confectionné un mot de passe digne de ce nom, il serait fort dommage ─ et dommageable ─ de lui accorder une confiance absolue : De nombreux pièges permettent aux cybercriminels de récupérer votre mot de passe. Vous avez beau avoir un mot de passe complexe de 20 caractères, vous n'êtes aucunement à l'abri d'une technique de manipulation mentale appelée ingénierie sociale. C'est même très répandu :

Le phishing (ou hameçonnage) est incontestablement l'exemple le plus célèbre. Cette méthode est utilisée par des cybercriminels dans le but d'obtenir des renseignements personnels (mots de passe, codes d’identifications, références bancaires etc...). Cela peut être un faux message d'alerte dans une page Web, une application Facebook ou mobile piégée. Mais ce peut-être aussi un e-mail frauduleux se faisant passer pour EDF,  pour votre FAI (Fournisseur d'Accès à Internet),  pour votre banque, voire pour le gouvernement lui-même et qui va vous inciter à renseigner des informations confidentielles.

Il existe aussi ce que l'on appelle des keyloggers (littéralement "enregistreurs de frappes au clavier"). Ce genre de dispositifs, soit de type matériel (hardware), soit de type logiciel (spyware, littéralement "logiciel espion") est difficilement détectable et fonctionne silencieusement. Il notera la moindre activité sur votre ordinateur. Avec un tel mouchard, vous pouvez dire adieu à votre vie privée ! Il est donc vivement conseillé d'effectuer périodiquement des scans anti-virus/anti-malwares afin d'éviter les surprises.

Bref ! Avoir un mot de passe difficile à percer, c'est très bien. Mais il n'existe et n'existera jamais aucune contre-mesure à 100% fiable. Aussi, n'abaissez jamais votre niveau de vigilance. Prudence est mère de sureté !

---

Auteurs de ce tuto : @Le PoissonClown et @Mreve.

Modifié le 22 février 2018 par Mreve
Ré-hébergement d'une nouvelle image en conclusion

[Le Crabe]

Excellent tutoriel @Le PoissonClown, bravo !

Tu nous donnes ton mot de passe pour qu'on puisse vérifier qu'il est safe ?  

[Le PoissonClown]

@Le Crabe Merci ! Voilà : RUk1D!nM3?-lcrbnf!

(Pour ceux qui ne parlent pas anglais, sélectionnez le texte qui suit : Visuellement, le mot de passe se lit en anglais "Are-you-kidding-me" (R = are, U = you), et ça veut dire "tu me taquines/fiches de moi ?" )

Modifié le 7 mai 2016 par Le PoissonClown
Rhooo! Jai oublié de dire merci, honte à moi.

[poupine]

Un superbe tutoriel @Le PoissonClown

Il y a 3 heures, Le PoissonClown a dit :

@Le Crabe Merci ! Voilà : RUk1D!nM3?-lcrbnf!

(Pour ceux qui ne parlent pas anglais, sélectionnez le texte qui suit : Visuellement, le mot de passe se lit en anglais "Are-you-kidding-me" (R = are, U = you), et ça veut dire "tu me taquines/fiches de moi ?" )

Effectivement ton mot de passe est safe il faudra des milliards d'années à un hacker pour le cracker (vu sur https://howsecureismypassword.net/ )

Sinon pour les plus flemmards je connais un excellent générateur de mot de passe(de Norton): https://identitysafe.norton.com/fr/password-generator

Encore merci pour ce tuto!

Modifié le 7 mai 2016 par poupine

[Mreve]

@poupine

Sympa le lien que tu as donné (howsecureismypassword.net). Par contre, il y a un gros truc qui me chiffonne ! Le site ne calcule que le temps utilisé pour casser un mot de passe via une attaque de type force brute (avec tous les caractères pris en compte). L'attaque par dictionnaire et les Rainbow Tables ne sont pas prise en compte. Il faut donc faire attention !

Du coup si mon mot de passe est : anticonstitutionnellement ==> le site m'indique 488 quadrillons d'années pour le casser. Waouh c'est incroyable, mon mot de passe est incassable !
Et bien non ! Perdu, c'est un mot dans le dictionnaire !

Ce test de solidité est peut-être préférable ==> http://assiste.com/Mots_de_passe_Test_de_solidite.html

Bah c'est rigolo à créer ses mots de passe. Ce n'est pas de la flemme, c'est de la mauvaise volonté
Avec cette méthode, tu peux en retenir des dizaines sans trop forcer (mon cas)

 

 

[Le PoissonClown]

Le 7/5/2016 à 20:56, poupine a dit :

Un superbe tutoriel @Le PoissonClown

… Et @Mreve ! Merci !

Oh ! Mais c'est très bien cette idée de test de solidité ! J'ai bien envie d'en parler en 5.b.

[Le PoissonClown]

Un peu d'humour :

[Pépette86]

Pour info et surtout pour vous faire marrer un peu,

Il y a plusieurs années, j'étais responsable informatique d'un projet au sein d'un grand groupe des Télécoms que je ne nommerai pas (à l'étranger). Suite à quelques malversations (fondées) de ma part, j'ai été exclue, par les gardes, du siège de la société. Jusque là, tout va pour le mieux, O_o. 48 heures plus tard, je reçois un appel d'un huissier de justice qui m'invite à retourner au siège de la société, pour un problème technique avec les serveurs. Ce que je fis.

Sur place, l'huissier informe l'avocat qui m'accompagnait, que 3 experts en informatiques se sont succèdés durant les dernières 24 heures afin de pouvoir accéder aux serveurs, mais en vain. Ils n'ont jamais réussi à casser mon mot de passe. Donc, on me demandais juste d'entrer ce fameux mot de passe incassable. Donc, pour faire propre devant l'assemblée des 15 incapables qui se trouvaient derrière mon dos, j'ai fais un reboot du système, puis au Login, j'ai appuyé sur la touche "Enter" deux fois.

Rétrospectivement, juste avant de me faire lourder et dans un souci de ne pas me rajouter une couche supplémentaire d'emmerdements, j'ai mis un mot de passe "Null" (pas de mot de passe, si vous préférez). Le résultat de cette mésaventure fut pour le moins surprenant, toutes les sociétés de la planète développant des logiciels de sécurité et particulièrement de cassage de mot de passe en "brute force" ou "dictionnaire", inclurent le mot de passe vide en première commande. En revanche j'ignore ce qu'il est advenu de ces 3 fameux experts en sécurité, qui ont été incapable de péter un mot de passe vide, mais je doute que le CR (compte-rendu) de l'huissier fut à leur avantage.

Donc, si l'envie procrastinienne de mettre un mot de passe vide vous intéressait, je vous le déconseille très fortement, car malheureusement ça ne fonctionne plus de nos jours. Toutefois, retenir des mots de passe complexe, je considère que c'est s'encombrer le cerveau avec du chewing-gum, donc pour les rebutés de la mémoire, un gestionnaire de mots de passe est la solution à tout vos soucis.

J'utilise LastPass , qui est gratuit pour les particuliers sur PC et payant pour les entreprises ainsi que les tablettes et autres OS portatifs.

Il génère également tout seul, des mots de passe complexes, soit automatiquement soit manuellement en entrant les paramètres de votre choix (nombre de caractères numériques, caractères alphabétiques, etc), mais surtout il fait office de gestionnaire de liens. Donc, si votre PC plante, pas de souci, ouvrez LastPass sur n'importe quelle autre PC et vous accédez toujours à votre compte le crabe info .

Avec LastPass vous n'aurez besoin de ne vous souvenir que d'un seul mot de passe, celui vous permettant de l'ouvrir. Mais ne vous limitez pas seulement à LastPass, il y en a d'autres, tout aussi efficace. Et pour ceux que ça intéresse, il intègre bien évidemment un testeur de solidité de mot de passe. Il fait aussi très régulièrement un check-up de tout vos mot de passe pour s'assurer qu'ils sont suffisamment Fort et que des doublons ne trainent pas dans la liste.

Modifié le 3 septembre 2017 par Pépette86
Oubli technique

[Le PoissonClown]

Salut !

@Pépette86 En effet les gestionnaires sont une bonne solution si l'accès physique est limité. Personnellement, je peux encore me permettre de m'en passer. Je préfère : il suffit d'un keylogger qui enregistre la frappe du mot-de-passe principal pour qu'on puisse accéder à toute la panoplie restante.

Donc je me méfie de ce genre de centralisation.

[Pépette86]

Le 03/09/2017 à 17:58, Le PoissonClown a dit :

il suffit d'un keylogger qui enregistre la frappe du mot-de-passe principal

Vrai : Pour ceux qui utilise leur clavier physique.

Faux : Pour ceux qui, comme moi, utilise un clavier virtuel (LastPass, en intègre un pas trop mal d'ailleurs, ci-dessous).

Mais c'était effectivement une précision nécessaire pour la compréhension des "newbies". Même si j'ai déjà croisé, des Directeurs Informatiques qui refilaient leur "QSECOFR Auth" (équivalent d'un compte Admin dans Windows, mais sur une grosse machine IBM) à tous les employés de leurs sociétés respectives, par fainéantise. Donc, il peut y avoir bien pire qu'un pirate armé d'un key-logger, un cadre supérieur incompétent par exemple. Et dans ce cas, tous le monde accède aux données de tous le monde.

[Le PoissonClown]

Le 03/09/2017 à 17:58, Le PoissonClown a dit :

il suffit d'un keylogger qui enregistre la frappe du mot-de-passe principal pour qu'on puisse accéder à toute la panoplie restante.

Il y a 20 heures, Pépette86 a dit :

Vrai : Pour ceux qui utilise leur clavier physique.

Faux : Pour ceux qui, comme moi, utilise un clavier virtuel (LastPass, en intègre un pas trop mal d'ailleurs […]).

Alors je valide ! C'est effectivement l'idéal.

Modifié le 6 septembre 2017 par Le PoissonClown
Mais pourquoi je passe à la ligne à la fin de mes posts, moi ?

[borneo]

Merci

[D34 Angel]

Excellent tuto.

Merci à : @Le PoissonClown et @Mreve.

Merci, aussi, à @Pépette86 pour ses commentaires pertinents.

Petite blague que j'ai lue récemment :

Révélation

Marcel vient d’acheter un ordinateur . Il l’allume et l’ordinateur lui demande :

Créez votre mot de passe :

carotte

Désolé, votre mot de passe doit faire plus de 8 caractères.

carottegéante

Désolé, votre mot de passe doit contenir un chiffre.

1carottegéante

Désolé, votre mot de passe ne doit pas contenir de caractère accentué.

50putaindecarottesgeantes

Désolé, votre mot de passe doit contenir au moins une majuscule.

50PUTAINdecarottesgeantes

Désolé, votre mot de passe ne doit pas contenir deux majuscules consécutives.

50PutainDeCarottesGeantesQueJeVaisTeMettreAuCulSiTuNeMedonnesPasImmediatementUnAcces!

Désolé, votre mot de passe ne doit pas contenir de caractère de ponctuation.

AttentionMaintenantJeVaisAllerTeTrouverEtTeMettreVraimentLes50CarottesGeantesdansletrouducul

Désolé, ce mot de passe est déjà utilisé.

 

[zelandonii]

Excellent tuto @Le PoissonClown. Comme générateur de mot de passe simple et très pédagogique, vous avez aussi le site officiel de la CNIL.

Merci @Le PoissonClown. Je n'estimais pas avoir besoin de le mettre en lien mais tu as très bien fait.

Modifié le 1 mars 2018 par Le PoissonClown
Ajout du lien évoqué

[S@T]

raa un petit lien @zelandonii ?  

https://www.cnil.fr/fr/recherche/générateur mot passe

https://www.cnil.fr/fr/generer-un-mot-de-passe-solide

 

 

Le ‎06‎/‎09‎/‎2017 à 01:23, Pépette86 a dit :

Le ‎03‎/‎09‎/‎2017 à 17:58, Le PoissonClown a dit :

il suffit d'un keylogger qui enregistre la frappe du mot-de-passe principal

Vrai : Pour ceux qui utilise leur clavier physique.

Faux : Pour ceux qui, comme moi, utilise un clavier virtuel (LastPass, en intègre un pas trop mal d'ailleurs, ci-dessous).

je me demande si le clavier virtuel de W10 est "naturellement" protégé des keyloggers ?

[zelandonii]

il y a 2 minutes, S@T a dit :

raa un petit lien @zelandonii ?  

https://www.cnil.fr/fr/recherche/générateur mot passe

https://www.cnil.fr/fr/generer-un-mot-de-passe-solide

Oui... C'est celui que @Le PoissonClown a mis en lien en modifiant mon avant-dernier message..

[S@T]

Le ‎01‎/‎03‎/‎2018 à 22:10, zelandonii a dit :

Oui... C'est celui que @Le PoissonClown a mis en lien en modifiant mon avant-dernier message..

oui @zelandonii  on était presque synchro dsl ... mais j'enlève ma réaction pour la réserver ailleurs et je poste une réponse à la place ;p   

 

[MateLeot]

Le 06/09/2017 à 01:23, Pépette86 a dit :

Faux : Pour ceux qui, comme moi, utilise un clavier virtuel (LastPass, en intègre un pas trop mal d'ailleurs, ci-dessous).

 

Et pour ceux qui utilisent Dashlane en gestionnaire de mots de passe ou qui veulent tout simplement avoir un accès rapide, 
voila une petite astuce pour créer un raccourci vers le clavier virtuel (pas intégré à Dashlane comme lastpass peut le faire)

Clique droit sur le bureau / nouveau /raccourci/ Dans l'emplacement de l'élément taper "osk" / nommer votre raccourci en clavier virtuel par exemple / valider.

Et voila , un accès rapide pour contrer les keyloggers ou palier à un clavier physique défectueux.