Bien gérer ses mots de passe   Enregistrer au format PDF


Question

Roseline
France

nous dit :

Je viens de me faire pirater mon compte courriel, comment peut-on mettre en place un mot de passe puissant tout en étant facile à retenir ?

++++Introduction

Tout cet article est tiré du tutoriel de Killator sur le forum de pcinpact.

Sites d’informations, achats en ligne, blogs, messageries, forums, réseaux sociaux, chats... Ce n’est pas un scoop, nous passons de plus en plus de temps connectés au web... Ces activités sont très souvent conditionnées par l’utilisation d’un "précieux" couple de login/mot de passe, ces sésames devenant les garants de vos identités numériques, de votre vie privé et même parfois, de votre porte monnaie !

Qu’il me soit permis de vous posez 2 questions très simples :
Toutes activités confondues, combien de comptes personnels avez-vous sur internet ? 10 ? 20 ? 30 ? Difficile de le savoir exactement, non ?
Parmi tous ces comptes, combien de mot de passe différents avez-vous ? 1 ? 2 ? 3 ?

Le mot de passe... C’est là qu’est la faille ! Parce qu’après tout, avec toutes les informations que l’on doit mémoriser au quotidien, pourquoi se torturer les neurones ? ’azerty’, ’123456’, ’la_date_de_mon_anniversaire’, ’le_nom_du_chien’ sont des valeurs nettement plus faciles à retenir, non ? Mes exemples prêtent à rire, pourtant ils sont beaucoup plus fréquents qu’on le croit, poussant certains géants du web, comme Twitter, à bannir certaines valeurs par défaut.

Personnellement, j’ai pendant très longtemps utilisé un mot de passe unique, avec des mots de langue étrangère intégré, pour tous mes comptes... Par la suite, j’ai ajouté un peu de complexité en ajoutant un caractère supplémentaire pour les comptes vraiment importants... Pour finalement me décider à mettre en place une stratégie de mot de passe complète que j’ai trouvé dans un tutoriel de Killator sur le forum de pcinpact.

++++Théorie

Commençons par enfoncer les portes ouvertes...

Un mot de passe est considéré comme fiable que s’il est composé d’au moins 6 caractères mélangeant chiffres/lettres, majuscules/minuscules et symboles spéciaux... En théorie toujours, il faudrait avoir un mot de passe différents pour chaque compte, ne jamais le noter quelque part et le changer régulièrement... Bref, concilier toutes ces règles peut rapidement devenir un vrai casse tête

Le top du top serait de pouvoir respecter toutes ces règles sans même avoir recourt à certains logiciels ou services web se proposant de stocker vos mots de passe et vous permettre de les retrouver facilement... Car en cas de faille de sécurité ou de la découverte de votre mot de passe principal, c’est toute votre vie numérique qui sera mise à nue

Mais rassurez-vous, dernière cette "introduction" alarmistes, le but de ce topic est justement de vous expliquez comment respecter toutes ces recommandations sans vous arrachez les cheveux, à l’aide de règles mnémotechniques. Sachez aussi que je n’ai rien inventé, vous trouverez des explications similaires partout sur le web... La plus-value de ce topic réside dans l’ajout du retour d’expérience de Killator.

++++Composition

Comment composer un mot de passe intelligemment...

En appliquant les 2 règles suivantes :

  1. Commencer par choisir un bon invariant, une clef fixe : pour cela, prenez les initiales d’une phrase originale ou utilisez simplement le mot de passe le plus complexe que vous ayez actuellement.
  2. Ensuite : accoler un préfixe et un suffixe qui contiendront une syntaxe variable, déduite du nom du service ou de son URL, facilement mémorisable.

Exemple de syntaxe variable
- Recopier un certain nombre de lettre de l’url (la première, la dernière, les deux premières, etc)
- Compter le nombre de lettre dans l’url (Facebook = 8 lettres)
- Compter le nombre de voyelles et/ou consonnes (Twitter = 2 voyelles, 5 consonnes)
- Opérer un décalage alphabétique d’une lettre particulière ou de l’extension ( Le F de Facebook lettres devient H en ajoutant 2 lettres dans l’alphabet)
- Opérer un décalage "visuel" d’une touche en rapport avec une lettre particulière ou de l’extension (Google > La lettre G devient F par un décalage à gauche d’une touche sur un clavier azerty)
- Associer l’extension avec un caractère particulier (*.com devient $ / *.fr devient # / etc)
- Jouer sur la casse avec certaines lettres
- etc

++++Conséquences

- Mot de passe unique pour chaque service
- Mot de passe long et complexe qui reste pourtant très facile à retrouver pour son proprio.
- Quasiment impossible à comprendre/mémoriser si jamais quelqu’un voit rapidement un de vos mots de passe.
- Facile à modifier si un de vos mots de passe est compromis (on change la clef fixe ou les règles de construction)
- Vous pouvez créer des "catégories" de mot de passe en possédant plusieurs clefs fixes : vous gardez les même règles de constructions dynamiques MAIS vous disposez d’une clef fixe pour les réseaux sociaux, une autre clef fixe pour les services e-Commerce/paiement/banque, etc etc.
- Pour changer vos mots de passes, il suffit de changer la clef fixe et/ou la méthode de construction. Pendant la période de transition, il n’est pas compliqué de retrouver un ancien mot de passe, le delta de composition étant "maîtrisé".
Inconvénients :
- Si vous optez pour des transformations très "visuels" sur votre clavier, il peut être délicat de taper votre mot de passe sur un clavier étranger.
- Même remarque si vos règles de construction aboutissent à des caractères spéciaux absents des claviers étrangers (lettres accentuées, symboles, etc)
- Composer des règles qui ne soient pas valable en toute circonstance (Nom de service trop court "free", pas de voyelle, un tiret dans l’URL "voyage-sncf", etc)
- Faire attention pour les services qui exposent plusieurs URL (playsation, playsation network, playstation store)
- Ne marche pas pour le digicode de l’ascenceur

++++Exemple

Pour vous faire un exemple concret, j’ai choisit les règles de composition suivante :
- Invariant : "j’ai rendez-vous à 6 heures demain" > gRDVa6h2M
- Préfixe, digit 1 : Nombre de voyelles du service
- Préfixe, digit 2 : Dernière lettre du service, en majuscule
- Suffixe, digit 1 : Décalage "visuel" à gauche de la 1ère lettre de l’extension (*.com devient ’x’ sur un clavier azerty)
- Suffixe, digit 2 : 1ere lettre du service, en majuscule

Ce qui devient une fois appliqué : PP gRDVa6h2M SS
- Google.fr : 3E gRDVa6h2M dG > 3EgRDVa6h2MdG
- Facebook.com : 4K gRDVa6h2M xF > 4KgRDVa6h2MxF
- Twitter.com : 2R gRDVa6h2M xT > 2RgRDVa6h2MxT
- PcINpact.com : 2T gRDVa6h2M xP > 2TgRDVa6h2MxP
- Gandi.net : 2I gRDVa6h2M bG > 2IgRDVa6h2MbG

La gymnastique n’est pas facile les 1ère fois, mais je vous promets qu’après 2 semaines, c’est très rapide à retrouver/taper !

++++Attention

Attention aux caractères spéciaux...

D’expérience personnelle, faites très attention à l’utilisation des caractères spéciaux ! Vous tomberez forcément sur un site/service qui ne prendra en charge qu’un jeu limité de caractères spéciaux... Et là vous pouvez dire adieu à l’aspect universel de votre belle méthodologie de construction...

Pire encore, la version web supporte très bien vos caractères spéciaux MAIS l’appli mobile ne les supporte pas ! Quote, single quote, dollars sont des écueils redoutables pour les développeurs... J’ai eu le cas très souvent, donnant lieu a de joli plantage sur mon smartphone

Sur ce point, sachez que j’ai abandonné : je me concentre sur de l’alpha-numérique étendu aux majuscules (a z, A Z et 0 9), ce qui est suffisant avec des mot de passe de 13 caractères (dans mon exemple)

Attention à votre question secrète...

Très souvent, les gens choisissent mal leur question... Rien ne sert de peaufiner des mots de passe en béton armé si un minimum de social engineering sur votre petite personne permet de retrouver le nom de votre chien... Paris Hilton en a fait les frais... Le chargé de com’ du compte Twitter de Barack Obama aussi... Méfiez-vous !

Et pour les plus paranos d’entre vous...

Afin de prendre TOUTES les précautions possibles (ce que je ne fais pas personnellement, mais au moins, c’est dit) :
- ne mémorisez jamais vos mots de passe, que ce soit dans votre navigateur ou dans un logiciel spécialisé... Une fois stocké sur votre disque dur, il est toujours plus ou moins possible de vous les voler ou de les "perdre" en cas de problème... En plus, c’est le meilleur moyen pour oublier votre règle de composition à moyen terme...
- Configurez votre navigateur afin qu’il supprime automatiquement les cookies à la fermeture... Evitant de laisser des traces sur le disque, permettant d’accéder à vos comptes sans même utiliser votre mot de passe.
- Favorisez, dans la mesure du possible les connexions, en HTTPS aux services WEB.

Voilà, j’espère que mes explications et remarques vous aiderons à fiabiliser vos mots de passe.

++++Astuces

Si il arrive régulièrement d’avoir plusieurs ID pour un même service

Et bien tu déclines une énième fois la méthodologie :
- utilise un digit dont la syntaxe variable sur base sur ton identifiant/login...
- Si cette subtilité est limité à un ou deux services, tu peux envisager un digit "spécial" qui fera le discriminant quand c’est nécessaire
— 2RgRDVa6h2MxT1 oet 2RgRDVa6h2MxT2
— 2RgRDVa6h2Mxfr (fr = forum) et 2RgRDVa6h2Mxco (co = courriel)