Outils pour utilisateurs

Outils du site


un_bon_mot_de_passe

Ceci est une ancienne révision du document !


Qu'est-ce qu'un bon mot de passe ?

Un mot de passe se doit d'être suffisamment compliqué. En effet, s'il est trop simple, il peut être deviné, ou cassé. Mais concrètement, qu'est-ce que ça veut dire ?

Un mot de passe ne doit pas être humainement possible à deviner

Si un mot de passe peut être deviné par un humain, c'est un mauvais mot de passe.

  • S'il est formé d'informations sur vous, comme le nom de vos enfants, conjoints, animaux, départements, passions, ou n'importe quelle information que l'on peut connaître de vous, dans la vie ou sur les réseaux sociaux numériques, il peut alors être deviné.
  • S'il est formé de mots ou informations communes même non personnelles, par exemple “azerty”, “soleil”, “123” ou n'importe quelle date, il pourra potentiellement être deviné.

Pire, même s'il n'est que partiellement composé de ce type d'informations, sa complexité diminue fortement. Il existe en effet des logiciels capables à partir de ces informations de tester d'abord toutes les combinaisons possibles avec ces informations. Si vous avez l'impression que ça fait beaucoup de possibilités, c'est en réalité très peu pour un ordinateur.

Un mot de passe doit être suffisamment long

Plus le mot de passe est long, plus le nombre de possibilités est grand. A défaut de deviner un mot de passe, on tentera souvent de le casser en essayant toutes les combinaisons, en commençant par les plus probables.

En 2022, avec une bonne carte graphique (capable de calculs intenses et accessible aux particuliers), un mot de passe de 8 caractères résistera au mieux pendant 40 minutes.

Un mot de passe doit être suffisamment complexe

En réalité, ce qui compte, c'est le nombre de combinaisons possibles.

  • Avec uniquement des chiffres, chaque caractère représente 10 possibilités. Pour un mot de passe de 8 caractères, cela fait 10⁸ (8 exposant 10), soit 10 000 000 possibilités (c'est très peu pour une machine).
  • Avec des chiffres, des lettres, des caractères spéciaux, chaque caractère représente 90 possibilités. Pour un mot de passe de 8 caractères, cela fait 90⁸, soit 4 304 672 100 000 000 possibilités (c'est mieux mais insuffisant). Pour un mot de passe de 16 caractères, cela fait 90¹⁶, soit 18 530 201 888 518 410 000 000 000 000 000 possibilités (c'est bien).
  • Avec des mots issus d'un dictionnaire de 5000 mots, chaque mot représente 5000 possibilités. Pour un mot de passe de 8 mots, cela fait 5000⁸, soit 390 625 000 000 000 000 000 000 000 000 possibilités (c'est bien).

On compte généralement plutôt en “taille de clé équivalente”, ou “entropie”, mesurée en bits. En 2022 un mot de passe doit avoir une entropie de 100 bits au moins.

Un mot de passe doit être VRAIMENT aléatoire

Un mot de passe ne doit pas seulement “ressembler” à de l'aléatoire.

  • Choisir dans votre tête des mots ou des nombres au hasard réduit la complexité du mot de passe. En effet certains mots ou nombres sont bien plus utilisés que d'autres et on pourra les tester en priorité.
  • Changer des caractères par d'autres, comme remplacer les “e” par des “3”, les “a” par des “@” n'a rien d'aléatoire. On pourra tester ces combinaisons en priorité.
  • Taper au hasard sur votre clavier réduit la complexité du mot de passe. Certains caractères et certaines séries de frappe seront plus fréquentes que d'autres et on pourra les tester en priorité.

Bref, le cerveau humain n'est pas capable d'un aléatoire vraiment aléatoire. Les machines beaucoup plus. On demandera donc à un ordinateur de générer des mots de passe aléatoires.

Un mot de passe doit être unique

Utiliser le même mot de passe partout, ou presque, présente des risques importants. S'il est cassé, deviné, ou si un des services que vous utilisez avec ce mot de passe se fait pirater, ce mot de passe ou son “hash” pourra être utilisé pour casser d'autres comptes.

Il faut donc un mot de passe différent pour chaque service, compte, etc…

Un mot de passe doit être à l'épreuve du futur

Les capacités de calcul informatique, et donc de cassage de mot de passe, augmentent avec le temps. Ainsi, il arrivera sans doute un jour où un mot de passe incassable aujourd'hui sera finalement cassable. Il s'agit donc d'avoir des mots de passe suffisamment complexes pour ne pas être cassés dans 5, 10, 15 ans, y compris rétrospectivement.

Un mot de passe ne doit jamais être en clair

Si votre mot de passe est stocké dans un fichier non protégé, et que votre ordinateur ou téléphone se fait pirater (à distance ou via un accès physique), le mot de passe sera très facile à trouver.

Un mot de passe ne doit jamais être donné en ligne

Si votre mot de passe est stocké en clair dans un cloud, il arrivera un jour où ce cloud se fera pirater, exposant ainsi votre mot de passe.

De même, nombre de sites proposent de “tester la solidité de votre mot de passe”, ou même de vous “générer des mots de passe”. Faire confiance à ces sites est très dangereux. Certains sont malveillants, d'autres peuvent être compromis, aujourd'hui ou dans le futur.

Un mot de passe ne doit jamais être visible

On l'oublie souvent, mais un mot de passe peut être découvert, via l'espionnage visuel.

Au dessus de votre épaule, dans le train, via une caméra de surveillance, il est tout à fait possible de découvrir tout ou partie de votre mot de passe. On pourra donc copier/coller ses mots de passe sans qu'ils soient visibles, et si c'est impossible, analyser son entourage avant de le taper.

Un mot de passe ne doit jamais être entendu

On l'oublie souvent, mais un mot de passe peut être découvert, via l'espionnage audio.

Avec un microphone, une application dictaphone d'appareil mobile, ou tout simplement une oreille indiscrète, si vous lisez votre mot de passe en le tapant, il peut être compromis. On ne lira donc jamais un mot de passe à voix haute ni même à voix basse.

Un mot de passe doit être retenable par un humain

C'est là toute la difficulté, compte tenu des contraintes précédentes. On pourra donc séparer les mots de passe en 2 catégories :

  • Ceux qu'on n'a pas à retenir, et qu'on peut simplement copier/coller. Ces mots de passe peuvent être très complexes, comme 30 caractères aléatoires parmi 90.
  • Ceux qu'on doit taper plus ou moins régulièrement. Il est plus facile pour un humain de retenir et taper 8 mots aléatoires parmi 5000, que 16 caractères aléatoires parmi 90.

Ainsi &VLl;)`~ghb|-SqH est similaire en complexité à classe fantasque pondre piloter mijote poil travaux salami, mais le second est plus facile à retenir et taper pour un humain.

Un mot de passe doit être sauvegardé quelque part

Incendie, vol, disque dur cassé, il existe de nombreuses manières de perdre la liste de ses mots de passe, en particulier ceux que l'on ne fait que copier/coller.

Il est donc nécessaire de faire une sauvegarde de ses mots de passe ailleurs, idéalement dans un autre endroit physique que le votre (un ami, un cloud?). Évidemment, ces mots de passe devront être chiffrés avec un mot de passe qu'il faudra cette fois retenir.

Un mot de passe doit parfois être changé

Si un mot de passe a été exposé, prêté, ou si vous avez un doute, il doit être changé.

Si votre mail apparaît dans cet outil, les comptes associés à ce mail peuvent avoir été piratés. Il faut donc changer de mot de passe.

A noter que si votre mail n’apparaît pas, cela ne veut pas dire qu'un compte n'a pas été piraté, seulement que ce piratage n'a pas été rendu public.

Ressources

un_bon_mot_de_passe.1660147410.txt.gz · Dernière modification : 2022/08/10 16:03 de manumerique