Les mots de passe. Nous les détestons. Et nous détestons les nôtres en particulier. Nous savons qu'ils sont mauvais mais les rendre plus sûrs semble si difficile : utilisez des majuscules et des minuscules. Des chiffres. Des symboles. N'utilisez pas de phrases, n'utilisez pas de mots, blablabla.

Au final, on se retrouve avec des mots de passe ressemblant à M@5t3Rp@$$w0rd1967.

Mais qui est capable de s'en souvenir ?

Si je vous disais que prêcheur glouton légiférer plus court mousson auteur constituent un mot de passe plus sûr que M@5t3Rp@$$w0rd1967 ?

Ce type de mot de passe s'appelle une phrase de passe : une association aléatoire de mots communs. C'est beaucoup plus facile à retenir que les « mots de passe conventionnels » et vous n'avez pas besoin d'être Edward Snowden pour en faire un : même un enfant de 11 ans peut le faire.

Il vous suffit d'avoir quelques minutes devant vous et des dés...

Comment créer une phrase de passe ?

Créer une phrase de passe est très simple. Mais ne choisissez pas les mots vous-même. Les humains sont notoirement mauvais pour créer le vrai hasard. Nous aimons les modèles et tous nos mots ont un sens. Il est donc doublement difficile pour nous de générer des phrases de passe au hasard.

Mieux vaut s'appuyer sur Diceware, une méthode de génération de mots de passe développée par un homme beaucoup plus intelligent que moi : Arnold Reinhold. Elle consiste à utiliser une simple liste de 7 776 mots, dont chacun a un nombre correspondant de 5 chiffres que vous pouvez obtenir avec un dé.

C'est beaucoup plus simple que cela en a l'air. Je vais vous expliquer :

  1. Téléchargez la liste de mots de Diceware (en anglais) : un simple éditeur Word ou de texte peut l'ouvrir.
  2. Lancez un dé cinq fois (ou cinq dés une fois) et marquez les chiffres dans l'ordre.
  3. Trouvez le mot qui correspond au chiffre obtenu et notez-le.
  4. Répétez cette action de façon à obtenir un total de 6 ou 7 mots.

Et voilà. C'est tout.

Ainsi, par exemple, si vous lancez votre dé cinq fois et que vous obtenez 34 462, vous parcourez la liste :

34 456   jobs
34 461   jock
34 462   jockey
34 463   jody
34 464   joe
34 465   joel
34 466   joey
34 511   jog

… le numéro correspond donc à Jockey.

Vous répétez le processus jusqu'à ce que vous ayez choisi au moins six mots.

N'hésitez pas à ajouter des symboles, des majuscules ou des chiffres à votre résultat si vous le souhaitez. Ces ajouts augmenteront le degré de sécurité de la phrase de passe. Par ailleurs, la plupart des services qui souhaitent une certaine sécurité exigent des symboles spéciaux.

Mais attention à ces deux rares occurrences :

  • Vous vous retrouvez avec tellement de mots courts que vous avez moins de 17 caractères.
  • Vous vous retrouvez avec une sorte de phrase.

Dans les deux cas, recommencez à zéro.

Rappelez-vous qu'avec cette méthode, vous laissez littéralement les dés décider de votre phrase de passe pour la rendre aléatoire. N'essayez donc pas de truquer les résultats parce que vous pensez que deux mots vont bien ensemble. Car ce serait créer un modèle.

Il existe plusieurs listes anglaises différentes parmi lesquelles vous pouvez choisir et ce dans d'autres langues également. Le mélange et la correspondance des listes peuvent créer des phrases de passe encore plus sûres.

Notez votre phrase de passe sur une feuille de papier jusqu'à ce que vous l'ayez mémorisée. Vous devriez pouvoir la mémoriser au bout de quelques utilisations. Si vous avez des difficultés pour vous en rappeler, créez des histoires pour qu'il soit plus facile de s'en souvenir.

Par exemple : Le prêcheur glouton devrait légiférer en faveur d'une saison plus courte de mousson , dit l'auteur.

Les maîtres de la mémoire procèdent ainsi. Une fois que vous l'avez retenue, détruisez le papier.

Je n'aime pas utiliser des dés. Est-ce que cette méthode peut être automatisée ?

Oui, c'est possible. En fait, il existe de nombreux générateurs de phrases de passe Diceware utiles comme celui-ci.

Cependant, souvenez-vous que même si les générateurs comme celui-ci sont encore très sûrs, les ordinateurs ne sont jamais totalement aléatoires, et ils ne seront jamais aussi sûrs que de créer votre propre phrase de passe avec des dés.

Puis-je utiliser cette phrase de passe partout ?

Non, il ne vaut mieux pas.

Utiliser les mêmes mots de passe ou phrases de passe pour différents services est l'une des pires pratiques en matière de sécurité. Si un de vos comptes est piraté, ils le seront tous au final.

Dans l'idéal, vous devriez utiliser une phrase de passe comme mot de passe principal pour un gestionnaire de mots de passe. Le gestionnaire peut alors créer de longs mots de passe aléatoires pour chacun de vos comptes et en faire le suivi pour vous. Il existe beaucoup de gestionnaires de mots de passe gratuits ou abordables, donc il n'y a aucune raison de ne pas en essayer un.

Si vous ne voulez pas utiliser de gestionnaire de mots de passe, vous devez prendre quelques mesures supplémentaires :

  1. Créer une phrase de passe pour vos comptes les plus importants, puis ajouter des modificateurs
    Il peut s'agir de simples raccourcis pour le service ou du nom complet. En utilisant l'exemple ci-dessus, vous pourriez obtenir :
    G@G1 prêcheur glouton légiférer plus court mousson auteur
    OU
    prêcheur glouton légiférer plus court mousson auteur Facebook1@
  2. Créer une seconde phrase de passe pour tous les comptes jetables
    Mais même la gestion de deux phrases de passe peut être contraignante, c'est pourquoi nous vous recommandons d'utiliser un gestionnaire de mots de passe.

Et c'est tout ce que vous avez à faire. Vous êtes maintenant armé d'un des mots de passe les plus puissants possible. Connectez-vous et profitez du Web...

mais si vous voulez en savoir plus sur les phrases de passe et pourquoi elles renforcent la sécurité, continuez à lire cet article.

Pourquoi les mots de passe courants ne nous protègent-ils pas ?

Tous les conseils habituels que vous recevez pour les mots de passe ne sont pas vraiment faux. Sans entrer dans des détails trop techniques (sans être technique du tout, en fait), il n'y a que deux conditions essentielles pour un mot de passe sûr :

  • Il doit être long : très long. Il doit contenir au minimum 17 caractères. À l'avenir, il sera préférable d'en créer un avec plus de 20 caractères.
  • Il doit être aléatoire : les pirates informatiques sont très forts pour reconnaître les modèles et programmer leurs outils pour les rechercher.

C'est tout.

Ajout de majuscules et de minuscules, de symboles bizarres et de chiffres : tout cela est censé renforcer les mots de passe, même les plus petits, en augmentant le nombre de combinaisons possibles bien au-delà de ce que l'on peut obtenir avec les 26 lettres de l'alphabet. Mais la longueur peut compenser cela.

L'autre problème avec tous ces symboles ajoutés, c'est que nous, les humains, nous ne sommes pas doués avec le hasard, et pire pour nous en souvenir. Nous créons donc inévitablement des modèles. On est juste conçus comme ça.

Donc, pour en revenir à mon exemple original, M@$t3Rp@$$w0rd1967 peut sembler être un mot de passe sûr et de nombreux contrôleurs de mots de passe comme celui-ci vous diront la même chose. Mais il n'aurait aucune chance contre les pirates d'aujourd'hui parce qu'il a en fait une structure très simple : deux mots + une date.

Non seulement les deux mots sont très communs (« master » et « password ») mais ils vont généralement de pair. Les substitutions sont prévisibles et donc aussi faciles à pirater : A ressemble à @, S ressemble à $, et ainsi de suite. Et lorsque les utilisateurs ajoutent des chiffres à leurs mots de passe, ils le font souvent à la fin et utilisent un code PIN ou une date (leur date de naissance souvent).

Les pirates connaissent toutes ces astuces et les essaient généralement en premier. Et ils utilisent des machines pour le faire alors que nous avons des difficultés à nous rappeler quelle lettre est en majuscule et où nous avons ajouté le @.

Pourquoi les phrases de passe permettent d'obtenir de meilleurs mots de passe ?

Malgré leur longueur, les phrases de passe sont beaucoup plus faciles à retenir parce que vous n'utilisez pas de majuscules, d'ajouts ou d'échange de symboles, et ce en utilisant simplement de vieux mots simples.

Mots de passe - Chaos Cartoon - XKCD


Wouah, je vous entends dire de là. Attendez une minute. Vous n'êtes pas censé utiliser des mots.

Enfin, oui et non.

Le sens commun préconise de ne pas utiliser de mots parce que les mots sont des modèles par définition. Les modèles réduisent le caractère aléatoire contre lequel un pirate informatique se bat lorsqu'il essaie de pirater votre mot de passe.

Pire encore, les mots ont tendance à être utilisés dans des phrases qui ont des règles logiques, et donc plus de modèles. Les citations populaires, les dictons, les paroles de chansons, les noms, etc. sont les pires types de modèles parce qu'ils seront forcément essayés en premier.

Si votre phrase de passe est « C'était la meilleure des époques, c'était la pire des époques », vous pouvez aussi bien vous en tenir à un mot de passe comme le vôtre.

Ce qui fait que les phrases de passe fonctionnent, c'est qu'elles représentent un compromis : elles utilisent juste assez de modèles pour être faciles à retenir tout en compensant cela par la longueur. La clé réside dans le fait que les choix de mots doivent être totalement aléatoires. D'où les dés.

AVG AntiVirus FREE Téléchargement GRATUIT