Comment générer des bons mots de passe

Introduction

Depuis quelques années nous sommes amenés à gérer dans notre vie privée une multitude de mots de passe. De toute évidence notre activité sur Internet est devenue omniprésente et toutes nos actions qui en découlent, demandent une authentification par mot de passe. De même cette sécurité hautement nécessaire dans les services telles que les banques, les réseaux sociaux, les messageries ou le commerce en ligne n’est cependant pas toujours très bien respectée et performante. En effet bon nombre d’entre nous utilisons des mots de passe excessivement faibles qui laissent trop facilement une porte ouverte aux pirates et aux hackers. Par l’intermédiaire de cet article je vais essayer de vous sensibiliser et de vous aider à générer des mots de passe robustes.

Les pires mots de passe

Avant d’entrer dans le vif du sujet je voudrais souligner l’importance en sécurité d’utiliser un mot de passe de type fort. De nos jours et en cette fin d’année 2018 près de 30% des utilisateurs utilisent encore des mots de passe trop simples voir même totalement vulnérables en matière de sécurité.

A ce sujet la société SplashData a publié récemment un classement des pires mots de passe les plus utilisés. Le mot de passe « 123456 » est encore une nouvelle fois le grand gagnant pour l’année 2018 !

En ce sens je tiens de nouveau à mettre l’accent sur toutes vos transactions que vous engagez sur Internet car bien souvent elles sont validées grâce à vos mots de passe. Essayez d’imaginer ce qu’un pirate pourrait faire s’il disposait d’un seul de vos mots de passe ! Prenons le cas d’un pirate qui a réussi à avoir accès à votre boîte mail. Ce dernier peut réinitialiser vos autres mots de passe par la simple commande « Mot de passe oublié » que beaucoup de services utilisent. En conclusion avec un seul mot de passe piraté, un hacker peut donc prendre le contrôle naturellement de vos autres comptes.

Voici les 20 pires premiers mots de passe de cette liste :

123456
password
123456789
12345678
12345
11111
1234567
sunshine
qwerty
iloveyou
princess
admin
welcome
666666
abc123
football
123123
monkey
654321
!@#$ %^&*

https://splashdata.com/index.htm

Voici le lien pour accéder à la liste complète : https://www.teamsid.com/100-worst-passwords-top-50/

Comme le souligne l’article nous pouvons remarquer que les internautes n’ont pas beaucoup d’imagination ! Je vous encourage tout de même à consulter la suite de cette liste car vous allez être surpris. Je pense même que certains risquent d’apercevoir des mots de passe qu’ils utilisent ou ont utilisé

Comment calculer la force d’un mot de passe

Ne fuyez pas ! Même si les mathématiques ne sont pas votre tasse de thé, cela va rester simple à appréhender.
En sécurité il est important de connaitre la robustesse d’un mot de passe. En effet plus cet indice est élevé et plus votre mot de passe sera robuste et difficile à hacker par un pirate. Pour rester simple dans cet approche la robustesse d’un mot de passe est sa capacité à résister à une attaque de type « Brute de force« . Par définition une attaque « Brute de force » consiste à essayer l’ensemble des combinaisons possibles d’un mot de passe jusqu’à trouver la solution. D’après cette définition je vais en déduire deux vérités : 

• Plus un mot de passe sera long (nombre de caractères importants le composant) et plus il sera difficile de le déduire par ce type d’attaque.
• Plus on aura le choix parmi un ensemble de caractère différent pour composer notre mot de passe et plus il sera difficile de le trouver également.

Pour étayer mes deux affirmations je vais vous présenter plusieurs exemples. Ainsi nous allons dans un premier temps apprendre à calculer le nombre de combinaisons possibles d’un mot de passe qui est d’ailleurs le seul élément de complexité et de comparaison entre deux mots de passe. Et deuxièmement nous allons vérifier avec la suite de nos exemples nos deux vérités que la robustesse d’un mot de passe en est étroitement liée au nombre de caractères disponibles dans son élaboration.

1er exemple

Pour ce premier exemple nous allons prendre le code secret d’une carte bleue : 1418

• Nombre de caractères à saisir : 4 caractères.
• Nature des caractères : des chiffres uniquement compris entre 0 et 9 soit 10 caractères différents disponibles.

Calcul du nombre de combinaisons

Pour calculer le nombre de combinaisons possibles de ce mot de passe on en déduit que ce mot de passe est compris entre les nombres 0000 et 9999. Il y a donc 10000 combinaisons possibles.
En mathématique pour calculer le nombre de combinaisons on utilise cette formule : n ^ P (le caractère ^ désigne le signe de la puissance en mathématique).
n = Nombre de caractères différents disponibles pour composer le mot de passe (ici 10 pour notre exemple).
p = Nombre de caractère formé par le mot de passe (ici 4 pour notre exemple).
10 ^ 4 = 10 x 10 x 10 x 10 = 10000 combinaisons.
Si vous avez assimilé cet exemple, vous avez alors tout compris et nous n’irons pas plus loin concernant les mathématiques !

2ème exemple

Dans ce deuxième cas nous allons prendre un mot de passe composé cette fois-ci de 6 caractères : 491213

• Nombre de caractères à saisir : 6 caractères.
• Nature des caractères : Des chiffres toujours compris entre 0 et 9 soit 10 caractères différents.

Calcul du nombre de combinaison

10 ^ 6 =  1 000 000 combinaisons
Nous venons de prouver la première vérité : Plus un mot de passe sera long et plus vous augmentez le nombre de combinaisons et donc sa robustesse. Naturellement plus le nombre de combinaisons est important et plus vous rendez difficile la tâche d’un hacker.

3ème exemple

Ici nous allons prendre le mot de passe d’ouverture de session d’un système Windows (ex : tjkdro).

• Nombre de caractères à saisir : 6 caractères.
• Nature des caractères : constitués de lettres minuscules (uniquement) comprises entre a et z (26 caractères différents).

Calcul du nombre de combinaison

26 ^ 6 =  308 915 776 combinaisons
Ce troisième exemple nous confirme l’exactitude de la deuxième vérité. Ici notre mot de passe est toujours composé de 6 caractères mais avec un choix de caractères plus important disponible. Un nombre de combinaisons plus importantes nous confirme donc une robustesse encore accrue.

4ème exemple

Cette fois nous allons prendre le mot de passe d’une connexion Wifi (ex : F12rtE8u).

• Nombre de caractères à saisir : 8 caractères.
• Nature des caractères : constitués de lettres minuscules (26 caractères) ou majuscules (26 caractères) ou de chiffres (10 caractères). Nous arrivons ici à un choix total de 62 caractères différents.

Calcul du nombre de combinaison

62 ^ 8 =  218 340 105 584 896 combinaisons. Cela commence à devenir intéressant en terme du nombre de combinaisons ! Et nous allons faire encore mieux avec l’exemple suivant.

5ème exemple

Quelques petites remarques concernant les caractères spéciaux

Avant de continuer avec notre 5ème exemple je désire m’attarder sur les caractères spéciaux. Il est recommandé d’utiliser des caractères spéciaux afin augmenter la robustesse de vos mots de passe. Voici en théorie l’ensemble des caractères spéciaux que vous pouvez utilisez :
~ ! @ # $ % ^ & * ( ) – _ = + [ ] { } ; : , . < > / ?
Ils sont au nombre de 27 et ainsi cela allonge de façon significative l’ensemble des caractères disponibles pour la création de vos mots de passe.

Attention certains sites n’acceptent pas certains caractères de cette liste mais ils vous le signaleront lors de la création. Je tiens à souligner également que vous ne pouvez pas utiliser n’importe quel caractère spécial. Par exemple les caractères accentués ne peuvent pas être utilisés car il font parti de la langue française uniquement. Prenons l’exemple que vous devez utiliser un clavier « QWERTY » pendant vos vacances à l’étranger, et bien les lettres accentuées ne figurant pas sur ce type clavier. Je pense que vous serez bien embarrassés pour saisir votre mot de passe !

Pour ce dernier exemple nous allons prendre celui d’un site d’une banque en ligne (ex : F1!rtZ$8)

• Nombre de caractères à saisir : 8 caractères.
• Nature des caractères : constitués de lettre minuscule (26 caractères) ou majuscule (26 caractères) ou de chiffre (10 caractères) ou de 27 caractères spéciaux. Nous arrivons ici à un choix total de 89 caractères différents.

Calcul du nombre de combinaison

Calcul du nombre de combinaison possible : 89 ^ 8 =  3 936 588 805 702 081 combinaisons
Le nombre de combinaison est maintenant impressionnant ! Nous approchons les 4 mille milliards de combinaisons.

Comment générer des bons mots de passe

Beaucoup de méthodes existent pour retenir des mots de passe mais je ne vous encourage pas à les utiliser. En effet si elles existent alors je peux vous assurer que les hackers les connaissent également. Voici quelques exemples que j’ai pu trouver sur la toile et que je vous recommande de bannir : 

• La méthode de la phrase en récupérant la première lettre de chaque mot.
• Remplacer certaines lettres par des chiffres ou des caractères spéciaux.
• L’utilisation d’un mot de passe unique mais en le changeant en fonction du site ou du service utilisé.
• Dessiner un motif sur le clavier.
• Autres techniques par association, acronyme, néologisme ou phonétique.

Un bon mot de passe est un mot de passe que vous n’arrivez pas à retenir. Dans tous les mots de passe à base de mots ou des techniques citées précédemment vous retirez l’aléatoire. En effet c’est ce qui est lié au hasard qui en fait quelque chose d’unique. Si le hasard n’existait pas, il n’y aurait pas de Lotto ! Si vous retirez l’aléatoire alors cela peut être prévisible. Les hackers utilisent d’autres attaques comme celle par dictionnaires ou sont stockés des mots, phrases, prénoms, villes, marques et autres. A la différence de l’attaque par brute de force qui est très très longue et qui demande un matériel informatique puissant, l’attaque par dictionnaire est plus rapide car elle utilise des mots usuels et communs. Si une partie de votre mot de passe figure dans le dictionnaire utilisé alors vous facilitez la tâche des hackers.

Quelques conseils et règles pour créer de bon mot de passe

• Ne pas utiliser le même mot de passe pour des services différents.
• Éviter que votre mot de passe soit le même que votre login.
• Bannir les noms, prénoms et date de naissance dans vos mots de passe.
• Aucune donnée personnelle ne doit être utilisée dans vos mots de passe.
• Changer vos mots de passe minimum tous les 6 mois pour les sites les plus sensibles (Banques et boite mail).
• Utiliser la double authentification quand le site vous le propose (validation d’un achat).
• Un mot de passe que vous n’arrivez pas à retenir est bien souvent un bon mot de passe !

Voici la méthode que je m’astreins pour créer un mot de passe robuste. Il doit être composé de :

• 14 caractères minimum.
• lettres minuscules.
• lettres majuscules.
• chiffre.
• caractères spéciaux.

Voici un exemple d’un très bon mot de passe : B1u#!kZ?7d3Ws5

Il m’arrive d’augmenter le nombre de caractères pour certains services qui demandent une sécurité en béton. Vous allez me demander comment je fais pour les retenir ? Je n’en retiens qu’un seul et c’est celui de mon gestionnaire de mots de passe.

La méthode Diceware

C’est une méthode pour bâtir des phrases secrètes plus ou moins faciles à retenir. Ce mot de passe est constituée de plusieurs mots tirés d’une liste prédéfinie. Cette liste Diceware est composée de 15625 mots. A chaque mot correspond un nombre unique composé de 5 chiffres compris entre 1 à 6.

Voici la méthode pour constituer la phrase :

• Prenez un dé à 6 faces numéroté de 1 à 6 (un dé à jouer standard).
• Lancez 5 fois de suite le dé et notez la série de chiffres afin de constituer un nombre.
• Répétez l’opération 5 fois pour obtenir 5 séries de 5 chiffres.
• Consultez la liste des mots pour récupérer les 5 mots correspondant aux cinq nombres.

Voilà votre mot de passe est prêt ! Vous pouvez l’adapter légèrement en ajoutant ou remplaçant les espaces par des caractères spéciaux.

Voici un exemple de cette liste :

21225 canule
21226 cap
21231 cape
21232 caper
21233 capes
21234 capot
21235 capots
21236 caps

Pour conclure une phrase type est généralement constitué d’un minimum de 5 mots, soit d’environ 24 caractères. En revanche rien ne vous empêche d’augmenter le nombre de mot ! Les cryptomonnaies utilisent ce genre de phrase pour leur mot de passe mais ce dernier est composé de près de 80 caractères. Essayez de calculer la complexité ?

Quelques outils pour la gestion de vos mots de passe

Le gestionnaire de mots de passe est devenue pour moi un logiciel incontournable et je vous recommande d’en utiliser un. Ce coffre-fort à mots de passe a énormément d’avantage : 

• Déverrouillage du logiciel par un seul mot de passe maître à retenir (celui du gestionnaire)
• Éviter de noter tous ses mots de passe dans un carnet.
• Permet de générer des mots de passe en « Béton » automatiquement pour les nouveaux services que vous utilisez.
• Gestion des sauvegardes ou de changements des mots de passe automatiquement.
• Permet de se connecter automatique sur n’importe lequel terminal.
• Plugin existant pour les navigateurs Web.
• Fonction d’exportation (sauvegarde).
• Disponibles sur différents systèmes d’exploitation.

1Password

Site : https://1password.com/fr/
Disponible sur : Android, iOs, Linux, Mac et Windows.
Offre : Payant en version Stand Alone ou par abonnement.
Remarque : Disponible sur Mac et iPad depuis plusieurs année il est maintenant disponible sur Windows.

Dashlane

Site : https://www.dashlane.com
Disponible sur : Android, iOs, Linux, Mac et Windows.
Offre : Gratuit pour 1 seul appareil et 50 mots de passe. Illimité en version Premium à 3.33€/mois.
Remarque : Société française

EnPass

Site : https://www.enpass.io
Disponible sur : Android, iOs, Linux, Mac et Windows.
Offre : Gratuit sur Windows, Linux, Mac mais payant sur mobile.
Remarque : Stockage des mots de passe sur la machine mais synchronisation sur le Cloud de votre choix.

Keepass Password Safe

Site : https://keepass.info/
Disponible sur : Android, iOs, Linux, Mac et Windows.
Offre : Gratuit
Remarque : Ce n’est certes pas le logiciel le plus ergonomique mais c’est un logiciel libre et gratuit. Aucune fonction de stockage annexe (carte bancaire, autres données et formulaires). Il n’a pas d’interactions avec les navigateurs et on doit utiliser le bon vieux « coller/copier« . Je l’ai utilisé pendant plusieurs années avant de passer vers Dashlane. Une version portable existe, c’est important de le souligner.

LastPass

Site : https://www.lastpass.com
Disponible sur : Android, iOs, Linux, Mac et Windows.
Offre : Version gratuit disponible. Version Premium 1 utilisateur à 3€/mois.
Remarque : Beaucoup de fonctions.

Si vous possédez une suite antivirus payante, bien souvent les grands éditeurs (Avast, Avira, Bitdefender, Kaspersky, McAfee…) proposent un gestionnaire de mots de passe.

Il peut sembler risquer de mettre tous ces mots de passe dans un seul coffre-fort et de laisser cette gestion à un seul logiciel. En effet rien ne dit que la société éditrice du logiciel peut se faire pirater un jour ! Mais il est encore plus dangereux de continuer à utiliser des mots de passe faibles et désuets.

Pour ma part j’ai fait le choix de Dashlane que j’utilise depuis plus de 3 ans. Je fonctionne avec la version payante sur mes différents appareils de façon synchroniser.

Conclusion

Voilà vous avez maintenant tous les moyens pour générer des bons mots de passe. Pour terminer essayez de prendre une bonne résolution pour l’année 2019, créez des mots de passe forts et robustes, et adopter un gestionnaire de mots de passe.