Outils pour utilisateurs

Outils du site


un_bon_mot_de_passe

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
un_bon_mot_de_passe [2022/08/10 16:03] manumeriqueun_bon_mot_de_passe [2022/08/11 08:14] (Version actuelle) manumerique
Ligne 2: Ligne 2:
 Un mot de passe se doit d'être suffisamment compliqué. En effet, s'il est trop simple, il peut être deviné, ou cassé. Mais concrètement, qu'est-ce que ça veut dire ? Un mot de passe se doit d'être suffisamment compliqué. En effet, s'il est trop simple, il peut être deviné, ou cassé. Mais concrètement, qu'est-ce que ça veut dire ?
  
-==== Un mot de passe ne doit pas être humainement possible à deviner ====+===== Un mot de passe ne doit pas être humainement possible à deviner =====
 Si un mot de passe peut être deviné par un humain, c'est un mauvais mot de passe. Si un mot de passe peut être deviné par un humain, c'est un mauvais mot de passe.
  
Ligne 11: Ligne 11:
 Pire, même s'il n'est que partiellement composé de ce type d'informations, sa complexité diminue fortement. Il existe en effet des logiciels capables à partir de ces informations de tester d'abord toutes les combinaisons possibles avec ces informations. Si vous avez l'impression que ça fait beaucoup de possibilités, c'est en réalité très peu pour un ordinateur. Pire, même s'il n'est que partiellement composé de ce type d'informations, sa complexité diminue fortement. Il existe en effet des logiciels capables à partir de ces informations de tester d'abord toutes les combinaisons possibles avec ces informations. Si vous avez l'impression que ça fait beaucoup de possibilités, c'est en réalité très peu pour un ordinateur.
  
-==== Un mot de passe doit être suffisamment long ====+===== Un mot de passe doit être suffisamment long =====
  Plus le mot de passe est long, plus le nombre de possibilités est grand. A défaut de deviner un mot de passe, on tentera souvent de le casser en essayant toutes les combinaisons, en commençant par les plus probables.  Plus le mot de passe est long, plus le nombre de possibilités est grand. A défaut de deviner un mot de passe, on tentera souvent de le casser en essayant toutes les combinaisons, en commençant par les plus probables.
  
 En 2022, avec une bonne carte graphique (capable de calculs intenses et accessible aux particuliers), un mot de passe de 8 caractères résistera au mieux pendant 40 minutes. En 2022, avec une bonne carte graphique (capable de calculs intenses et accessible aux particuliers), un mot de passe de 8 caractères résistera au mieux pendant 40 minutes.
  
-==== Un mot de passe doit être suffisamment complexe ====+===== Un mot de passe doit être suffisamment complexe =====
 En réalité, ce qui compte, c'est le nombre de combinaisons possibles. En réalité, ce qui compte, c'est le nombre de combinaisons possibles.
  
Ligne 27: Ligne 27:
 On compte généralement plutôt en "taille de clé équivalente", ou "entropie", mesurée en bits. En 2022 un mot de passe doit avoir une entropie de 100 bits au moins. On compte généralement plutôt en "taille de clé équivalente", ou "entropie", mesurée en bits. En 2022 un mot de passe doit avoir une entropie de 100 bits au moins.
  
-==== Un mot de passe doit être VRAIMENT aléatoire ====+===== Un mot de passe doit être VRAIMENT aléatoire =====
 Un mot de passe ne doit pas seulement "ressembler" à de l'aléatoire. Un mot de passe ne doit pas seulement "ressembler" à de l'aléatoire.
  
Ligne 38: Ligne 38:
 Bref, le cerveau humain n'est pas capable d'un aléatoire vraiment aléatoire. Les machines beaucoup plus. On demandera donc à un ordinateur de générer des mots de passe aléatoires. Bref, le cerveau humain n'est pas capable d'un aléatoire vraiment aléatoire. Les machines beaucoup plus. On demandera donc à un ordinateur de générer des mots de passe aléatoires.
  
-==== Un mot de passe doit être unique ====+===== Un mot de passe doit être unique =====
 Utiliser le même mot de passe partout, ou presque, présente des risques importants. S'il est cassé, deviné, ou si un des services que vous utilisez avec ce mot de passe se fait pirater, ce mot de passe ou son "hash" pourra être utilisé pour casser d'autres comptes. Utiliser le même mot de passe partout, ou presque, présente des risques importants. S'il est cassé, deviné, ou si un des services que vous utilisez avec ce mot de passe se fait pirater, ce mot de passe ou son "hash" pourra être utilisé pour casser d'autres comptes.
  
 Il faut donc un mot de passe différent pour chaque service, compte, etc... Il faut donc un mot de passe différent pour chaque service, compte, etc...
  
-==== Un mot de passe doit être à l'épreuve du futur ====+===== Un mot de passe doit être à l'épreuve du futur =====
 Les capacités de calcul informatique, et donc de cassage de mot de passe, augmentent avec le temps. Ainsi, il arrivera sans doute un jour où un mot de passe incassable aujourd'hui sera finalement cassable. Il s'agit donc d'avoir des mots de passe suffisamment complexes pour ne pas être cassés dans 5, 10, 15 ans, y compris rétrospectivement. Les capacités de calcul informatique, et donc de cassage de mot de passe, augmentent avec le temps. Ainsi, il arrivera sans doute un jour où un mot de passe incassable aujourd'hui sera finalement cassable. Il s'agit donc d'avoir des mots de passe suffisamment complexes pour ne pas être cassés dans 5, 10, 15 ans, y compris rétrospectivement.
  
-==== Un mot de passe ne doit jamais être en clair ====+===== Un mot de passe ne doit jamais être en clair =====
 Si votre mot de passe est stocké dans un fichier non protégé, et que votre ordinateur ou téléphone se fait pirater (à distance ou via un accès physique), le mot de passe sera très facile à trouver. Si votre mot de passe est stocké dans un fichier non protégé, et que votre ordinateur ou téléphone se fait pirater (à distance ou via un accès physique), le mot de passe sera très facile à trouver.
  
-==== Un mot de passe ne doit jamais être donné en ligne ====+===== Un mot de passe ne doit jamais être donné en ligne =====
 Si votre mot de passe est stocké en clair dans un cloud, il arrivera un jour où ce cloud se fera pirater, exposant ainsi votre mot de passe. Si votre mot de passe est stocké en clair dans un cloud, il arrivera un jour où ce cloud se fera pirater, exposant ainsi votre mot de passe.
  
 De même, nombre de sites proposent de "tester la solidité de votre mot de passe", ou même de vous "générer des mots de passe". Faire confiance à ces sites est très dangereux. Certains sont malveillants, d'autres peuvent être compromis, aujourd'hui ou dans le futur. De même, nombre de sites proposent de "tester la solidité de votre mot de passe", ou même de vous "générer des mots de passe". Faire confiance à ces sites est très dangereux. Certains sont malveillants, d'autres peuvent être compromis, aujourd'hui ou dans le futur.
  
-==== Un mot de passe ne doit jamais être visible ====+===== Un mot de passe ne doit jamais être visible =====
 On l'oublie souvent, mais un mot de passe peut être découvert, via l'**espionnage visuel**. On l'oublie souvent, mais un mot de passe peut être découvert, via l'**espionnage visuel**.
  
 Au dessus de votre épaule, dans le train, via une caméra de surveillance, il est tout à fait possible de découvrir tout ou partie de votre mot de passe. On pourra donc copier/coller ses mots de passe sans qu'ils soient visibles, et si c'est impossible, analyser son entourage avant de le taper. Au dessus de votre épaule, dans le train, via une caméra de surveillance, il est tout à fait possible de découvrir tout ou partie de votre mot de passe. On pourra donc copier/coller ses mots de passe sans qu'ils soient visibles, et si c'est impossible, analyser son entourage avant de le taper.
  
-==== Un mot de passe ne doit jamais être entendu ====+===== Un mot de passe ne doit jamais être entendu =====
 On l'oublie souvent, mais un mot de passe peut être découvert, via l'**espionnage audio**. On l'oublie souvent, mais un mot de passe peut être découvert, via l'**espionnage audio**.
  
 Avec un microphone, une application dictaphone d'appareil mobile, ou tout simplement une oreille indiscrète, si vous lisez votre mot de passe en le tapant, il peut être compromis. On ne lira donc jamais un mot de passe à voix haute ni même à voix basse. Avec un microphone, une application dictaphone d'appareil mobile, ou tout simplement une oreille indiscrète, si vous lisez votre mot de passe en le tapant, il peut être compromis. On ne lira donc jamais un mot de passe à voix haute ni même à voix basse.
  
-==== Un mot de passe doit être retenable par un humain ====+===== Un mot de passe doit être retenable par un humain =====
 C'est là toute la difficulté, compte tenu des contraintes précédentes. On pourra donc séparer les mots de passe en 2 catégories : C'est là toute la difficulté, compte tenu des contraintes précédentes. On pourra donc séparer les mots de passe en 2 catégories :
  
Ligne 73: Ligne 73:
 Ainsi **&VLl;)`~ghb|-SqH** est similaire en complexité à **classe fantasque pondre piloter mijote poil travaux salami**, mais le second est plus facile à retenir et taper pour un humain. Ainsi **&VLl;)`~ghb|-SqH** est similaire en complexité à **classe fantasque pondre piloter mijote poil travaux salami**, mais le second est plus facile à retenir et taper pour un humain.
  
-==== Un mot de passe doit être sauvegardé quelque part ====+===== Un mot de passe doit être sauvegardé quelque part =====
 Incendie, vol, disque dur cassé, il existe de nombreuses manières de perdre la liste de ses mots de passe, en particulier ceux que l'on ne fait que copier/coller. Incendie, vol, disque dur cassé, il existe de nombreuses manières de perdre la liste de ses mots de passe, en particulier ceux que l'on ne fait que copier/coller.
  
 Il est donc nécessaire de faire une sauvegarde de ses mots de passe ailleurs, idéalement dans un autre endroit physique que le votre (un ami, un cloud?). Évidemment, ces mots de passe devront être chiffrés avec un mot de passe qu'il faudra cette fois retenir. Il est donc nécessaire de faire une sauvegarde de ses mots de passe ailleurs, idéalement dans un autre endroit physique que le votre (un ami, un cloud?). Évidemment, ces mots de passe devront être chiffrés avec un mot de passe qu'il faudra cette fois retenir.
  
-==== Un mot de passe doit parfois être changé ====+===== Un mot de passe doit parfois être changé =====
 Si un mot de passe a été exposé, prêté, ou si vous avez un doute, il doit être changé. Si un mot de passe a été exposé, prêté, ou si vous avez un doute, il doit être changé.
  
Ligne 85: Ligne 85:
 A noter que si votre mail n’apparaît pas, cela ne veut pas dire qu'un compte n'a pas été piraté, seulement que ce piratage n'a pas été rendu public. A noter que si votre mail n’apparaît pas, cela ne veut pas dire qu'un compte n'a pas été piraté, seulement que ce piratage n'a pas été rendu public.
  
-==== Ressources ====+===== Ressources =====
   * [[https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/|Conseils de l'ANSSI]] [[https://www.ssi.gouv.fr/particulier/guide/recommandations-relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/|pdf]]   * [[https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/|Conseils de l'ANSSI]] [[https://www.ssi.gouv.fr/particulier/guide/recommandations-relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/|pdf]]
  
-  * [[https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe|Conseils de la CNIL]]+  * [[https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe|Conseils parfois un peu dépassés de la CNIL]]
  
   * [[https://xkcd.com/936/|XKCD résume tout ça :)]]   * [[https://xkcd.com/936/|XKCD résume tout ça :)]]
  
 {{tag>sécurité}} {{tag>sécurité}}
un_bon_mot_de_passe.txt · Dernière modification : 2022/08/11 08:14 de manumerique