Un joli tour de passe-passe
Les mots de passe… Un calvaire si l’ont veut bien faire, totalement inutile si on ne le choisit pas correctement.
Avant Internet, on avait besoin d’un mot de passe pour se connecter à l’ordinateur du travail (pour autant que votre société fût tatillonne sur la sécurité) et un autre pour sa carte bancaire, si on n’utilisait pas encore les chèques… De nos jours, ce sont des dizaines voir des centaines de connexions différentes dont on a besoin. De l’entrée de son immeuble au verrou de son vélo, de sa carte bancaire au code de son téléphone et bien entendu au moindre site internet, que ce soit pour laisser un commentaire sur un forum ou gérer ses comptes bancaires…
La tentation est grande de garder le même partout et c’est ce que la plupart d’entre nous font. Au mieux on en a 2 ou 3 que l’on utilise suivant un degré d’importance. Et il faudrait avoir un mot de passe différent partout!? Quasiment impossible, ou alors avec l’aide d’un logiciel qui les recense tous et les verrouille par un « mot de passe principal« . Mais qui vous dit que ce logiciel n’a pas une faille de sécurité? ou pire, qu’il ne partage pas vos mots de passe en douce?
La solution est pourtant simple bien que l’explication puisse s’avérer indigeste… Je tente le coup tout de même!
L’idée est la suivante: utiliser le même mot de passe partout! Mais y ajouter une variation qui dépendra de l’endroit ou vous l’utilisez et que, de préférence, vous aurez sous le nez. Faites-en une règle stricte et le tour est joué!
Un exemple plus parlant: votre mot de passe est « 2Bleu » (très Genevois Style tout ça…). Vous êtes sur le site d’Apple (www.apple.com) votre mot de passe devient 2Bleu@Appl. Mais voyons cela en détail.
Qu’est ce qui définit un bon mot de passe?
Commençons par ce qu’il ne devrait pas être:
- intelligible: dans quelle langue que ce soit. Il ne résisterait pas à une attaque par dictionnaire.
- rattachable à votre personne: le prénom de votre enfant, de votre chien, votre date de naissance, etc. Trop facile à deviner.
- trop court: en dessous de 6 caractères, il ne faut que quelques minutes pour cracker un mot de passe quel qu’il soit, par force brute
- pas assez complexe: qui ne contient que des chiffres ou que des lettres. Là aussi il ne résisterait pas à une attaque par force brute.
Que devrait-il être?
- facile à mémoriser, pour vous…
- évident, pour vous…
- horriblement compliqué, pour quelqu’un d’autre!
- impossible à mémoriser si quelqu’un le voit furtivement.
pas évident de remplir tous ces critères?… Un de mes professeurs de math disait « Si un problème vous semble trop difficile, découpez-le en plusieurs petits problèmes plus faciles à résoudre ! » Découpons donc notre problème!
1ère partie: le mot de passe « maître »
Comme la deuxième partie va dépendre de l’endroit où vous vous trouvez et qu’elle ne remplira pas forcement les règles de base de sécurité, il est nécessaire que votre mot de passe principal remplisse les conditions suivantes:
- au moins un chiffre
- des lettres en majuscule et en minuscule
- celles citées plus haut: facile à mémoriser, compliqué, etc.
- et une dernière que nous verrons en 3ème partie: l’intrus
Un moyen facile de remplir ces restrictions est de choisir une phrase, un titre de film ou de chanson et de n’en prendre que les premières lettres de chaque mots: Tintin et les sept boules de cristal devient « Tel7bdc« .
Même si les premières fois cela vous paraîtra compliqué à taper, après l’avoir fait une dizaine de fois, ce sera automatique, je vous le garantis!
2ème partie: la variante
Que pouvez-vous choisir que vous aurez sous le nez et qui ne variera pas?
- Le nom de la compagnie
- Le nom de domaine
- Le nom du logiciel
- …
Le choix doit toutefois s’adapter à toutes les situations. Certains sites internet limitent le nombre de caractère du mot de passe. L’ensemble doit donc être suffisamment long pour ne pas être trop simple à déchiffrer par une méthode dite de « force brute« , mais pas trop long pour être refusé par certain site web (et vous éviter une tendinite quand vous le tapez!). Une bonne moyenne se situe entre 10 et 20 caractères pour le total. Prenez par exemple les 5 premiers caractères ou les 5 derniers et ajoutez-y une majuscule en début ou en fin.
- Hewlett Packard devient « Hewle » ou « ckarD«
- www.leboncoin.fr devient « Lebon » ou « ncoiN«
- …
3ème partie – L’élément perturbateur
S’il y a une chose qu’il est difficile de cracker, ce sont les caractères spéciaux. Il y en a tellement et nombre d’entre eux dépendent d’une langue ou d’un clavier.
Il faut donc introduire au moins un caractère « spécial ».
Sur ce dernier point, il faut aussi penser à pouvoir facilement s’adapter au clavier sur lequel on le tape. Si vous choisissez une lettre accentuée de la langue française, votre mot de passe sera blindé mais vous ne la retrouverez pas forcement sur le clavier suédois où vous passez vos vacances :-).
De plus, certains sites internet refusent certains caractères spéciaux. Par exemple, l’espace constituerait un bon choix mais n’est pas excepté par tous les sites… Dommage! Une simple phrase avec espace constitue un bon mot de passe.
Par conséquent, si l’on veut être international et voyageur, il faut se cantonner à ce que l’on trouve sur la plupart des claviers: @ # * + % & / ( ) = – !
4ème partie – Les paranos
« C’est bien joli tout ça mais ma société m’oblige à changer mon mot de passe sans arrêt! » me direz-vous? Pas de soucis! Ajoutez à votre recette un 4ème ingrédient:
- vous devez changer tous les mois: ajouter le numéro du mois ou les 3 premières lettres du mois.
- vous changez toutes les semaines? Mon pauvre… Ajoutez le numéro de la semaine ou les trois premières lettres du nom de l’employé de la semaine.
L’assemblage
Nos ingrédients étant au point, il ne nous reste qu’à les assembler. Là encore, le choix vous incombe.
- le mot de passe « maître » + le caractère spécial + la variante : Tel7bdc@Hewle
- la variante + le mot de passe « maître » + le caractère spécial : LebonTel7bdc&
- …
Conclusion
Bien entendu ceci n’est qu’une recette et comme toute bonne recette il vous faut l’adapter à votre goût. Mais un conseil: ne faîtes pas trop compliqué, ne cherchez pas la petite bête, le résultat est déjà bien assez compliqué comme ça. Si vous introduisez trop de règles compliquées, vous ne vous en souviendrez sans doute pas.
L’essentiel est de vous fixer une recette et de vous y tenir. Une fois en place, vous aurez un mot de passe différent pour chaque site et vous n’aurez qu’un mot de passe et une règle à mémoriser.