Mot de passe sûr pour caramail, hotmail, excel, windows …

Un mot de passe est associé à votre code utilisateur pour vous authentifier chez votre Founisseur d’Accès Internet (FAI), ou sur un service Internet (caramail, hotmail …), un réseau local ou votre propre ordinateur (excel, windows …). Un bon mot de passe est difficile à deviner et facile à retenir. Mais l’authentification par un service distant pose un problème particulier.

Mot de passe

Saisie du login et mot de passe

Un bon mot de passe (statique)

Article de 1 619 mots créé le , modifié le par

Difficile à deviner, il combine majuscules, minuscules, chiffres et caractères spéciaux ( ponctuation, diacritiques … ) sur huit caractères au moins et ne figure dans aucun dictionnaire ( généraliste ou spécialisé ).

Un bon mot de passe est unique pour chaque service Internet et n’est jamais réutilisé quand vous en changez.

Un mot de passe est statique dans le sens où il est valable pendant un certain temps, jusqu’à ce que vous en changiez. Le paragraphe Authentification par un service distant abordera les mots de passe dynamiques.

Ne le communiquez à personne

Même les services techniques de votre Fournisseur d’Accès Internet (FAI), et autres applications Internet, ignorent votre mot de passe ( il est crypté dans leurs fichiers ).

Et les administrateurs système n’en ont jamais besoin ( l’authentification est faite automatiquement ). Si un soi-disant administrateur vous le demande par email ou au téléphone, c’est une tentative de piratage ( par Social engineering ).

Mémoriser son mot de passe

Un bon mot de passe doit aussi être facile à mémoriser. Inventez votre propre méthode mnémotechnique, par exemple :

  • Supprimez les doublons dans un mot assez long et ajoutez la longueur originale. Exemple : « suppression » donne supresion-11
  • Concaténation de plusieurs mots avec leur longueur. Exemple : « nuit blanche » donne Nuit4-Blanche7.
  • Choisir une phrase et prendre les premières lettres de chaque mot. Mettre en majuscules les mots importants, ajouter des signes de ponctuation et des chiffres ( ou prendre le nombre de lettres de chaque mot ).
    Exemple : « http://eservice.free.fr, créé en 2002, traite de la sécurité Internet » donne heff,ce2002,tdlSI ( inutile d’essayer 😉 )

Toute autre méthode qui donne de tels résultats est bonne à prendre.

Un mauvais mot de passe

Les progrès des logiciels de décryptage et la puissance des ordinateurs sont tels qu’un mauvais mot de passe est deviné en quelques minutes. De même une personne qui vous connaît peut le deviner.

Exemples de mauvais mots de passe :

  • vide
  • nom d’utilisateur
  • nom commun ou propre dans le dictionnaire
  • votre numéro de téléphone
  • votre numéro de plaque minéralogique
  • votre surnom
  • un prénom
  • abcdef

Le mot de passe idéal

De deux choses l’une :

  1. ou bien c’est une authentification à un service distant qui va contrôler le nombre de tentatives et bloquer au bout d’un petit nombre de saisies fausses, alors le mot de passe n’a pas besoin d’être très élaboré
  2. ou bien c’est un fichier crypté qui est distribué dans la nature alors il faut au contraire que le mot de passe soit très solide.

Quelle est la longueur minimale d’un mot de passe idéal ?

Il y a 20 ans on conseillait 8 caractères de longueur. Mais la puissance des ordinateurs croissant, aujourd’hui un mot de passe idéal a au moins 12 caractères.

Mais ça ne suffit pas.

Les types de caractères

Saisir seulement des chiffres est insuffisant. En effet un mot de passe idéal doit comporter 4 types de caractères :

  • des lettres minuscules,
  • lettres majuscules,
  • chiffres,
  • et caractères spéciaux : , ; ¨ ! – é $ à € ² etc

Ceci parce que le nombre de possibilités devient énorme. En effet sur 12 caractères :

  • avec des chiffres on a 1210 possibilités
  • avec 4 types de caractères on a 12104 combinaisons.

Encore une fois un mot de passe ne devra pas forcément être très solide sur un service distant qui bloque au bout de quelques tentatives. Ainsi un mot de passe bancaire peut tenir sur 6 chiffres si l’accès est bloqué après trois essais infructueux.

En revanche sur un fichier crypté envoyé dans la nature, le mot de passe doit être très solide.

Attention aux fichiers cryptés émis

D’abord un mot de passe d’accès à un service Internet a entre 8 et 16 caractères. C’est suffisant avec un bon logiciel de contrôle distant, qui limite le nombre de tentatives de connexion par exemple : il est alors quasi impossible de deviner un bon mot de passe ( mais certains logiciels sont trop restrictifs : taille du mot réduite, refus de certains caractères … ).

Mais pour des fichiers cryptés, il n’existe aucune restriction : le pirate attaque directement, et autant de fois qu’il le veut, l’email chiffré ou le fichier crypté (avec un logiciel de décryptage).

C’est pourquoi un logiciel de cryptage de fichier (et d’email) propose une phrase de passe, qui peut dépasser les 100 caractères de tous les types possibles.

Enregistrer un mot de passe ?

Dans un contexte multi-utilisateurs d’un même ordinateur ou dans un réseau local d’entreprise, évitez de noter votre mot de passe sur un papier qu’on finit par laisser trainer n’importe où. Ne l’enregistrez pas non plus sur votre ordinateur ( décochez l’option d’enregistrement ).

A vous d’adapter ces précautions générales en fonction de l’exposition du système et de la nature des informations à protéger.

Un mot de passe unique pour chaque service ?

Oui dans l’absolu, mais en pratique, au fur et à mesure des souscriptions diverses, on se retrouve avec une liste qu’il est difficile de retenir.

On ne peut pas éviter de les noter ou les enregistrer. Quitte à les enregistrer, on peut le faire dans un simple fichier texte, sur lequel on applique un cryptage fort (par un logiciel de cryptage de fichier).

Authentification par un service distant

L’authentification consiste à prouver l’identité d’une « personne », ici par mot de passe. Lors de votre connexion à Internet, vous tapez votre code utilisateur et votre mot de passe sur votre ordinateur, ces deux informations sont envoyées sur le réseau jusqu’à l’ordinateur d’authentification de votre Fournisseur d’Accès Internet (FAI). Un programme spécifique regarde dans ses fichiers si votre code utilisateur existe et si votre mot de passe est correct, auquel cas il autorise votre connexion, sinon il vous renvoie un message de refus.

Le mécanisme est le même pour un service Internet (caramail, hotmail …) ou un réseau local (windows …).

Le problème posé est que si vos code utilisateur et mot de passe sont interceptés pendant leur acheminement, il vont pouvoir être utilisé pendant un certain temps – d’où le nom de mot de passe statique – par une personne non autorisée à s’en servir. En effet un pirate pourrait se brancher sur un point de passage et capturer les chaînes d’authentification.

Changer de mot de passe ?

Une première idée est de changer régulièrement de mot de passe. La transmission et le stockage à distance représentent un risque à terme. Même si le pirate a trouvé un filon pour intercepter votre mot de passe, si vous en changez il lui faudra courir à nouveau un risque.
Ce n’est pas une mauvaise solution, à condition que :

  • la procédure de changement soit sécurisée. Pour changer votre mot de passe de connexion Internet n’utilisez l’email que si vous le cryptez. Il faudrait aussi que vous signiez votre email pour authentifier votre identité.
    Sinon utilisez le site Web de votre Fournisseur d’Accès Internet (FAI), le téléphone ou le courrier postal.
  • et de ne pas en changer trop souvent. Sinon à force on risque la confusion ou l’oubli, on finit par noter le mot de passe sur un papier qu’on laisse trainer n’importe où (ou on l’enregistre sur son ordinateur), donc à terme on baisse fatalement le niveau de sécurité.

A quelle fréquence ? Fonction du nombre d’utilisateurs du service, de l’exposition du système et de la nature des informations à protéger.
Si votre abonnement Internet est facturé prorata temporis, surveillez votre facture chaque semaine. Changez le mot de passe dès qu’un accès vous paraît anormal, et prévenez votre FAI.

Cryptage de la transmission

Le cryptage de la transmission du code utilisateur et du mot de passe (entre l’ordinateur de l’utilisateur et l’ordinateur authentifiant), réduirait déjà pas mal le risque d’interception.

Mais c’est valable si le résultat du chiffrement change à chaque fois, ce qui n’est pas si facile. Il me semble que cela revient à la solution des mots de passe dynamiques.

Mots de passe dynamiques ou jetables (one-time passwords)

La meilleure solution est sans doute les mots de passe dynamiques ou à usage unique, jetables, non rejouables (one-time passwords). Ca consiste à changer de mot de passe à chaque connexion. S’il est intercepté, ça ne servira pas à grand chose puisqu’il sera valable jusqu’à ce que vous vous déconnectiez et changera la fois suivante.

Malheureusement ce système n’est pas simple à mettre en œuvre : voir « En savoir plus (ailleurs) ».

Conclusion

Si les mots de passe dynamiques ne sont pas dans vos moyens, choisissez chaque mot de passe avec votre propre méthode mnémotechnique et changez-le assez régulièrement en fonction du risque.

Par ailleurs la CNIL propose ses bons conseils en matière de gestion de mot de passe. Tout est bon mais utiliser un générateur pour créer des mots de passe difficiles à mémoriser et les stocker dans un fichier ne me paraît pas le meilleur choix.

Enfin un type de logiciel malveillant s’attaquent à vos mots de passe. Ainsi les troyens peuvent installer un keylooger sur votre ordi pour enregistrer tout ce que vous tapez au clavier et envoyer ça au serveur distant du pirate.