April 02, 2016

[Demande à Steph] Sécurité: comment faire facilement un bon mot de passe?

Ah... les mots de passe. On sait tous qu'il ne faudrait jamais les réutiliser, utiliser des mots de passe impossibles à mémoriser, etc... L'an dernier, j'ai mis sur pied un petit workshop sur le sujet. Je ne vais pas vous le faire en entier en résumé ici (ce serait bien trop long), mais je vais vous mettre aujourd'hui sur la piste de la méthode diceware, qui permet de créer des mots de passe super durs à craquer et super faciles à mémoriser.

Il vous faut juste deux choses:
  1. cette liste de mots (foncez direct à la page 3 si vous ne voulez pas les explications)
  2. un dé (oui, un dé à six faces)
Le principe est le suivant:
  • on lance cinq fois le dé, ce qui nous donne un nombre à 5 chiffres complètement aléatoire
  • on cherche dans la liste le mot qui correspond à notre nombre
  • on répète le processus 5 ou 6 fois, suivant le degré de sécurité désiré, pour avoir à la fin une "phrase de passe" composée de 5 ou 6 mots
Si vous avez un peu la flemme (ça se comprend), il y a un générateur en ligne de mots de passe diceware. Mais c'est mieux d'utiliser de vrais dés, car les vrais dés sont "plus aléatoire" qu'un programme qui génère des nombres "au hasard". Vous pouvez aussi en acheter un à Mira Modi ;-)

Pourquoi ça marche? Imaginez une liste longue de 7776 mots. Si on en prend deux au hasard, le nombre de combinaisons possibles est de 7776 fois 7776. Pour chaque mot qu'on rajoute, on multiplie le nombre de possibilités par 7776.

Si on travaille avec des lettres, par contre, chaque lettre rajoutée au mot de passe multiplie le nombre de possibilités par 52 (2 fois 26, si on utilise majuscules et minuscules). Et nos mots de passe "normaux" sont très rarement aléatoires! Ça les rend bien plus faciles à craquer. Un diceware de 4 mots est aussi "solide" qu'un mot de passe vraiment aléatoire de 8 caractères -- mais en 2016, ce n'est plus suffisant.

Bon à savoir:
  • les attaques sur les mots de passe sont rarement ciblées: imaginez un voleur qui fait tous les étages d'un gratte-ciel pour voir si quelqu'un a oublié de fermer à clé. Ce ne sera jamais vous qu'on vise, mais si vous avez un mot de passe faible, c'est votre compte qui sera compromis
  • il vaut mieux avoir un bon mot de passe écrit sur un bout de papier en lieu sûr qu'un mauvais mot de passe dont on se souvienne
  • le mot de passe de l'e-mail est très important, car avec l'accès à l'e-mail, on peut "remettre à zéro" tous les autres mots de passe
  • c'est une bonne idée d'utiliser un gestionnaire de mots de passe, avec un mot de passe diceware comme mot de passe principal (j'utilise personnellement 1Password et le trousseau iCloud)
  • c'est aussi une bonne idée d'activer partout où vous le pouvez la double authentification -- voici une liste des services en ligne qui l'offrent (ça inclut Google, Facebook, Wordpress, Apple, Dropbox, Evernote...)
Au minimum, allez maintenant changer les mots de passe de votre e-mail et de votre compte Apple si vous en avez un. Pensez à tous les dégâts que pourrait faire quelqu'un qui craquerait votre mot de passe!

Steph
--
http://climbtothestars.org -- http://stephanie-booth.com -- http://eclau.ch