Petite mise en bouche avant d'attaquer très sérieusement cette problématique (archive pdf ici).

 

Autant commencer par ce qu'il ne faut pas faire, le chemin vers ce qu'il faut faire devrait de facto apparaître lentement, mais sûrement.

Pour commencer, bannir les mots de passe qui apparaissent dans le top des flops, année après année :

 

20/01/2015 : "123456" toujours le plus utilisé (archive pdf ici)

17/01/2017 : mots de passe les plus utilisés en 2016, çà ne s'arrange toujours pas (archive pdf ici)

 

Ensuite, prendre conscience, qu'avec la numérisation de notre vie ET de tous les supports qui n'étaient que papier précédemment : dictionnaire de toutes les langues parlées ou écrites, encyclopédies traitant de tous les sujets possibles et imaginables, etc... les machines chargées de casser les mots de passes trouveront toujours ce que vous avez utilisé comme mot de passe s'il existe dans une quelconque langue, science, etc...

Donc, premier enseignement : un bon mot de passe n'est pas un mot, aussi compliqué soit-il, se trouvant dans une quelconque encyclopédie ou dictionnaire, en quelque langue que ce soit.

Les femmes mieux préparées que les hommes aux attaques en "social engineering" ?

Deuxième enseignement : que ce soit au travers des réseaux sociaux ou en faisant appel aux techniques du social engineering ci-dessus, un mot de passe ne doit pas être, même un mélange, de quelque chose qui vous concerne au premier ou au second degré (date de naissance à l'envers ; mélange de date de naissance et de prénom d'un proche ou d'un animal de compagnie, etc...).

 

Une fois qu'on a déjà éliminé tout cela, on commence à avoir une idée un peu plus claire de ce à quoi devrait ressembler un VRAI mot de passe : un truc qu'on ne peut pas deviner. Mais certains esprits négatifs diront : "qu'on ne peut pas retenir !"

Je vous propose donc de lire ceci (archive pdf ici).

Maintenant que vous êtes à un doigt de trouver votre mot de passe, je vous laisse lire cela (archive pdf ici).

 

Voilà, je pense qu'on a fait le tour et que vous êtes beaucoup mieux armé. Complexifier un mot de passe, ou une série de mot de passe, une fois qu'on respecte ces règles élémentaires, devient un jeu d'enfant.

Je vous donne un exemple : tout le monde connaît au moins par coeur deux ou trois phrases issues d'un poème, d'une science quelconque ou d'un philosophe grec, chinois ou allemand.

Vous prenez les premières, les deuxièmes (ou n'importe quelle autre règles) lettres de chaque mot.

Cela vous donne une série de lettres.

Vous décidez arbitrairement de commencer cette série par un caractère spécial de votre choix. Idem pour la fin avec l'ajout d'un dernier caractère spécial (différent du premier évidemment).

Vous décidez de remplacer arbitrairement et systématiquement une ou deux lettres par les mêmes chiffres.

Vous glissez au moins une majuscule au nème rang de la suite obtenue.

Résultat : vous obtenez un mot de passe qui tiltera tous les tests de résistance et qui n'existera nulle part. Cerise sur le gâteau, vous serez toujours en mesure de le reconstituer où que vous soyez puisque vous aurez défini vous-même les règles.

Si vous appliquez cette règle simple, celui qui cassera votre mot de passe aura investi lourdement en matériel et financièrement dans sa facture d'électricité. Autant dire que si c'est le cas, je vous conseille de taper ANSII dans le moteur de recherche de ce site pour mettre en place des dispositifs de protection adaptés. Parce qu'à ce stade, çà doit être personnel !

 

Dernière astuce qui peut vous sauver la vie, même si la technique va vous faire rire !

Si vous êtes intéressé par un site mais que vous ne disposez pas d'informations fiables quant à son sérieux intrinsèque, créer un profil fictif avec un mot de passe bidon. Si vous recevez votre mot de passe en toute lettre dans un courriel dès votre enregistrement, ayez du courage et FUYEZ !

Si vous ne recevez pas votre mot de passe par courriel dès votre enregistrement, après vous être délogué au moins une fois, suivez la procédure du "mot de passe perdu".

Si vous recevez par courriel votre mot de passe initial, FUYEZ !

Pourquoi ?

Pour ceux qui ont tout lu, la première bonne réponse est qu'on ne transmet JAMAIS un mot de passe par courriel à QUI QUE CE SOIT !

Même si cela a l'air idiot, je précise que ce qui vaut pour les humains, vaut aussi pour les machines puisqu'elles sont, jusqu'à preuve du contraire, programmées par des humains.

La deuxième réponse, un peu plus technique, est une conséquence de l'adoption de bonnes pratiques par les sites Internet pour limiter les conséquences d'un vol de données. Dans ces bonnes pratiques, on trouve la règle suivante : le couple login / mot de passe ne doit pas être stocké en "toutes lettres" dans les bases de données des sites. Ce couple login / mot de passe doit être stocké en tant que suite de caractères cryptée en une seule fois comme un tout. Si à la saisie du login et du mot de passe, la machine compare le résultat du cryptage de ce couple à celui qu'elle a en base et qu'ils sont identiques une fois cryptés, alors elle n'a pas besoin de savoir de quoi ce couple est constitué, elle sait juste que le contenu est identique. Donc elle considère que vous êtes ce que vous dites puisque vous êtes censés prendre soin de ces informations. CQFD.

 

J'espère que cet article vous a plu.

N'hésitez pas à le partager autant de fois que nécessaire !