« Mon mot de passe est fort ! » Vraiment ?

Les mots de passe, ces sésames donnant accès à toutes vos données ou presque. À quand le mot de passe pour lire vos pensées ?

Que ce soit votre boite mail, votre carte de crédit, votre téléphone, votre compte en banque, parfois même votre voiture, les mots de passe sont partout.

L'être humain est intelligent, et pour ça, il cherche à être fainéant dans le but de gagner du temps et d'éviter les tâches rébarbatives mais aussi éviter de devoir se souvenir de choses complexes.

Créer un mot de passe

Vous avez pourtant déjà lu que vos mots de passe doivent faire 56 caractères minimum, contenir des minuscules, des majuscules, des chiffres, des caractères spéciaux, 200g de farine, 3 oeufs, une plaque d'immatriculation, un paragraphe de la bible en araméen, etc Le faites vous ? Sérieusement ? Honnêtement ?

Non, ceci n'est pas un bon mot de passe, lisez le 5 secondes, fermez les yeux et répétez le. Voilà, vous avez compris.

SuPeRm0td3p4SSe?#!aSSeZlOnG999

Il est fort probable que votre mot de passe soit plus simple que ça, j'espère me tromper. Remarquez, je dis "votre mot de passe" comme si vous n'en aviez qu'un. Mais rassurez moi, vous n'en avez pas qu'un ? Ni même que deux ?

Il est très important d'avoir un mot de passe différent pour chaque site, service, produit que vous utilisez. Et quand je dis différent, je veux vraiment dire différent. Ajouter ou modifier un caractère ne rends pas un mot de passe suffisamment différent.

Ces trois là ne sont pas assez différents :

julio1979?boiteaweb123

julio1979?boiteaweb456

julio1979?boiteaweb789

Alors me direz vous, oui, j'ai un mot de passe différent pour chaque site et service. Mais, ces mots de passe respectent-ils un motif que vous seul connaissez ? Si oui, de nouveau, ce n'est pas suffisant.

La motifs (patterns) c'est le mal :

Mot de passe pour gmail : Juli0+Gm41L=11!

Mot de passe pour facebook : Julio+F4c3b00K=14!

Mot de passe pour twitter : (je vous laisse deviner ?)

Le pattern est le suivant :

  1. Commence toujours par Julio+
  2. Ajoute le nom du site avec la première et dernière lettre en majuscule,
  3. le reste en minuscule
  4. et si possible, tranforme les lettres en chiffres o=0, e=3, i=1, a=4
  5. Ajoute un =
  6. compte le nombre de caratères (sans le =) puis l'ajoute en chiffres
  7. Termine par !

Si un de vos mot de passe se fait découvrir, tous les autres suivront, on ne reconnait que trop bien qu'un motif a été mis en place.

Help me

Pour vous aider, il existe des petits scripts, que WordPress utilise par ailleurs lorsque vous modifier votre mot de passe dans votre profil. Ces scripts vous donnent une indication de la force de votre mot de passe, de faible, à fort habituellement.

Mais peut-on se fier à ces scripts ? J'ai testé pour vous, spoiler : non.

Voici un champ de mot de passe WordPress (en clair pour la démo) dans lequel j'ai utilisé le mot de passe suivant   ²  ² (espace espace ² espace espace ²)

strong_password_6c

 

Oui, ce mot de passe est soit-disant fort, mais l'est-il ? Combien de temps mettrais un brute force pour le trouver ? Réponse chez howsecureismypassword.net testez vous même, il faut moins d'un dixième de seconde pour cracker ce mot de passe en brute force ... Super fort, le brute force !

ps : Dans d'autres tests vous pourriez avoir des temps impressionnants genre 48 billions d'années, en vérité il en faudra moins MAIS cela reste un mot de passe bien plus acceptable.

Mais alors comment avoir un mot de passe fort

Il existe 2 façons, une manuelle, une automatique.

L'automatique c'est l'utilisation d'un outil comme OnePassword qui genèrera pour vous des mots de passe long, complexes et aléatoires. Vous n'aurez pas à connaitre vos mots de passe, lui seul les connait.

Ces mots sont stockés de façon cryptés très sécurisé (AES-256bits) et vous n'aurez qu'un seul mot de passe à connaitre : celui qui vous donne accès aux autres ! Choisissez le bien, c'est le seul.

L'inconvénient, c'est que vous devez toujours avoir votre porte-feuille de mots de passe pour vous connecter quelque-part. Il existe bien sûr des apps et addons pour faciliter ça.

La façon manuelle est celle que vous faites déjà, mais il faut alors le faire mieux, un mot de passe long vaut mieux qu'un court et complexe.

Edward Snowden parle des mots de passe dans cette vidéo, si vous avez lu jusque là, vous devez la regarder. Dans cette interview, le journaliste lui donne des mots et Edward doit lui dire si c'est un mot de passe fort ou non, c'est sérieux et drôle à la fois.

 

Un bon mot de passe fort ? margarettatcheris110%SEXY et c'est Edward qui le dit ;)

J'ai posté mon avis que le sujet dans ce ticket chez zxcvbn, peu de chance que ça bouge rapidement, attention à vous et ne faites pas trop confiance aux scripts !

ps : ne prenez pas celui-là hein !