Les mots de passe. En général, nous les détestons. Et surtout nos propres mots de passe. Nous savons qu'ils sont mauvais mais les rendre plus sûrs semble si difficile : utiliser des minuscules et des majuscules. Des chiffres. Des symboles. Ne pas utiliser de phrases, de mots, blablabla.

Au final, on se retrouve avec des mots de passe ressemblant à M0t2p@$$e1967.

Mais qui est capable de s'en souvenir ?

Si nous vous disions que prêcheur glouton légiférer plus court mousson auteur constituent un mot de passe plus sûr que M0t2p@$$e1967 ?

Ce type de mot de passe s'appelle une phrase de passe : une association aléatoire de mots communs. Elle est bien plus simple à mémoriser que les « mots de passe conventionnels » et bien plus difficiles à déchiffrer pour les pirates. Parfait !

Avant d'aborder plus en détails la mécanique de création de votre propre phrase de passe, vous pouvez vous demander en quoi elle est nécessaire. Vos mots de passe actuels sont-ils si mauvais ?

Dois-je réellement modifier tous mes mots de passe ?

Pour faire court : oui. Si vous êtes comme la plupart des utilisateurs, il est fort probable que votre mot de passe ne soit pas très bon. Le fait d'utiliser un mot de passe simple à deviner revient à laisser la porte ouverte aux pirates

Comment ? Eh bien, les pirates ont plusieurs méthodes :

  • Saisie des mots de passe les plus courants : Les pirates peuvent facilement prendre le contrôle de comptes en saisissant certains des mots de passe les plus couramment utilisés, tels que 123456 ou le mot motdepasse lui-même. Si vous utilisez l'un de ces mots de passe et que les comptes associés n'ont pas encore été compromis, vous pouvez jouer au loto car vous êtes l'une des personnes les plus chanceuses au monde. 
  • Attaques par force brute : si votre nom d'utilisateur et votre mot de passe sont exposés à une faille de données, les pirates peuvent utiliser des attaques par force brute pour déchiffrer vos données. À l'aide d'un programme, des personnes mal intentionnées peuvent essayer tous les mots de passe possibles (en testant des centaines ou des milliers de possibilités) jusqu'à ce qu'elles trouvent le bon. Même si vous avez utilisé une combinaison de minuscules et majuscules et de caractères spéciaux, les technologies modernes peuvent pirater un mot de passe à 8 caractères en seulement deux heures (!).
  • Recyclage d'identifiants : une fois que les pirates et les expéditeurs de spam connaissent votre nom d'utilisateur et mot de passe pour un compte, ils peuvent facilement essayer ces identifiants sur tous les autres comptes. Si vous avez recyclé vos identifiants (en utilisant le même nom d'utilisateur et mot de passe sur un autre site, par exemple), alors ces pirates détiennent probablement les clés du château pour accéder à tous vos comptes qui partagent ces identifiants.

Que faut-il faire pour repousser les pirates ? Quel type de mot de passe est considéré comme sécurisé ? Aussi ennuyeux que cela paraisse, vous devez vraiment augmenter la longueur et la complexité de vos mots de passe, et utiliser des mots de passe uniques pour chaque compte.

Toutefois, ne désespérez pas : c'est plus simple que vous le pensez si vous utilisez des phrases de passe.

Qu'est-ce qu'une phrase de passe ?

Comme indiqué précédemment, une phrase de passe est un ensemble de mots courants combinés de manière aléatoire pour créer une phrase. Pour rappel, voici un exemple de phrase de passe : prêcheur glouton légiférer plus court mousson auteur.

Les meilleurs mots de passe sont ceux qui sont 1) faciles à mémoriser et 2) difficiles à déchiffrer pour les pirates. Les phrases de passe constituent les meilleurs mots de passe car elles utilisent des mots réels que vous pouvez mémoriser (plutôt qu'une suite de symboles farfelus et de lettres) et elles sont très longues, ce qui les rend plus difficiles à pirater par des attaques par force brute ou d'autres méthodes.

Pour constituer un mot de passe réellement efficace, les mots courants de votre phrase de passe doivent être totalement aléatoires.

Heureusement, nous avons une méthode pour cela. Il vous suffit de quelques minutes et d'un dé…

Comment créer une phrase de passe ?

Créer une phrase de passe est très simple. Mais ne choisissez pas les mots vous-même. Les humains sont notoirement mauvais pour créer le vrai hasard. Nous aimons les modèles et tous nos mots ont un sens. Il est donc doublement difficile pour nous de générer des phrases de passe au hasard.

Plutôt que d'utiliser un générateur de phrase de passe aléatoire en ligne, vous pouvez facilement en créer une vous-même. Nous vous recommandons d'utiliser Diceware, une méthode de génération de phrases de passe développée par le spécialiste informatique Arnold Reinhold. Elle consiste à utiliser une simple liste de 7 776 mots, dont chacun a un nombre correspondant de 5 chiffres que vous pouvez obtenir avec un dé.

C'est beaucoup plus simple que cela en a l'air. Voici comment procéder :

  1. Téléchargez la liste de mots de Diceware (en anglais) : un simple éditeur Word ou de texte peut l'ouvrir.
  2. Lancez un dé cinq fois (ou cinq dés une fois) et marquez les chiffres dans l'ordre.
  3. Trouvez le mot qui correspond au chiffre obtenu et notez-le.
  4. Répétez cette action de façon à obtenir un total de 6 ou 7 mots.

Et voilà. C'est tout.

Ainsi, par exemple, si vous lancez votre dé cinq fois et que vous obtenez 34 462, vous parcourez la liste :

34 456

 

jobs

34 461

 

jock

34 462

 

jockey

34 463

 

jody

34 464

 

joe

34 465

 

joel

34 466

 

joey

34 511

 

jog

…le numéro correspond à jockey.

Vous répétez le processus jusqu'à ce que vous ayez choisi au moins six mots.

N'hésitez pas à ajouter des symboles, des majuscules ou des chiffres à votre résultat si vous le souhaitez. Ces ajouts augmenteront le degré de sécurité de la phrase de passe. Par ailleurs, la plupart des services qui souhaitent une certaine sécurité exigent des symboles spéciaux.

Mais attention à ces deux rares occurrences :

  • Vous vous retrouvez avec tellement de mots courts que vous avez moins de 17 caractères.
  • Vous vous retrouvez avec une sorte de phrase.

Dans les deux cas, recommencez à zéro.

Rappelez-vous qu'avec cette méthode, vous laissez les dés décider de votre phrase de passe pour la rendre aléatoire. N'essayez donc pas de truquer les résultats parce que vous pensez que deux mots vont bien ensemble. Cela reviendrait à créer des liens logiques (et donc à diminuer le niveau de sécurité de votre phrase de passe.)

Il existe plusieurs listes anglaises différentes parmi lesquelles vous pouvez choisir et ce dans d'autres langues également. Le mélange et la correspondance des listes peuvent créer des phrases de passe encore plus sûres.

Notez votre phrase de passe sur une feuille de papier jusqu'à ce que vous l'ayez mémorisée. Vous devriez pouvoir la mémoriser au bout de quelques utilisations. Si vous avez des difficultés pour vous en rappeler, créez une histoire pour qu'il soit plus facile de s'en souvenir.

Par exemple : le prêcheur glouton devrait légiférer en faveur d'une saison plus courte de mousson, dit l'auteur.

Les maîtres de la mémoire procèdent ainsi. Une fois que vous l'avez retenue, détruisez le papier.

Je n'aime pas utiliser des dés. Est-ce que cette méthode peut être automatisée ?

Oui, c'est possible. En fait, il existe de nombreux générateurs de phrases de passe Diceware utiles comme celui-ci.

Cependant, souvenez-vous que même si les générateurs comme celui-ci sont encore très sûrs, les ordinateurs ne sont jamais totalement aléatoires, et ils ne seront jamais aussi sûrs que de créer votre propre phrase de passe avec des dés.

Puis-je utiliser cette phrase de passe partout ?

Non, il ne vaut mieux pas.

Utiliser les mêmes mots de passe ou phrases de passe pour différents services est l'une des pires pratiques en matière de sécurité. Si un de vos comptes est piraté, ils le seront tous au final.

Dans l'idéal, vous devriez utiliser une phrase de passe comme mot de passe principal pour un gestionnaire de mots de passe. Le gestionnaire peut alors créer de longs mots de passe aléatoires pour chacun de vos comptes et en faire le suivi pour vous. (Finis les longs moments de réflexion pour trouver une idée de mot de passe, le programme s'en charge pour vous !) Il existe beaucoup de gestionnaires de mots de passe gratuits ou abordables, donc il n'y a aucune raison de ne pas en essayer un.

Si vous ne voulez pas utiliser de gestionnaire de mots de passe, vous devez prendre quelques mesures supplémentaires :

  1. Créer une phrase de passe pour vos comptes les plus importants, puis ajouter des modificateurs
    Il peut s'agir de simples raccourcis pour le service ou du nom complet. En utilisant l'exemple ci-dessus, vous pourriez obtenir :
    G@G1 prêcheur glouton légiférer plus court mousson auteur OU
    prêcheur glouton légiférer plus court mousson auteur Facebook1@
  2. Créer une seconde phrase de passe pour tous les comptes jetables
    Mais même la gestion de deux phrases de passe peut être contraignante, c'est pourquoi nous vous recommandons d'utiliser un gestionnaire de mots de passe.

Et c'est tout ce que vous avez à faire. Vous êtes maintenant armé d'un des mots de passe les plus puissants possible. Connectez-vous et profitez du Web...

…mais si vous souhaitez en savoir plus sur les phrases de passe et découvrir une façon supplémentaire d'améliorer votre sécurité, restez avec nous.

Mots de passe forts : résumé

Tous les conseils habituels que vous recevez pour les mots de passe ne sont pas vraiment faux. Sans entrer dans des détails trop techniques (sans être technique du tout, en fait), il n'y a que deux conditions essentielles pour un mot de passe sûr :

  • Il doit être long : très long. Il doit contenir au minimum 17 caractères. À l'avenir, il sera préférable d'en créer un avec plus de 20 caractères.
  • Il doit être aléatoire : les pirates informatiques sont très forts pour reconnaître les modèles et programmer leurs outils pour les rechercher.

C'est tout.

Revenons à notre exemple d'origine, M@$t3Rp@$$w0rd1967. Il peut sembler être un bon mot de passe et de nombreux vérificateurs de mot de passe tels que celui-ci iront en ce sens. Mais il n'aurait aucune chance contre les pirates d'aujourd'hui parce qu'il a en fait une structure très simple : deux mots + une date.

Non seulement les deux mots sont très communs (« master » et « password ») mais ils vont généralement de pair. Les substitutions sont prévisibles et donc aussi faciles à pirater : A ressemble à @, S ressemble à $, et ainsi de suite. Et lorsque les utilisateurs ajoutent des chiffres à leurs mots de passe, ils le font souvent à la fin et utilisent un code PIN ou une date (leur date de naissance souvent).

Les pirates connaissent toutes ces astuces et les essaient généralement en premier. Et ils utilisent des machines pour le faire alors que nous avons des difficultés à nous rappeler quelle lettre est en majuscule et où nous avons ajouté le @.

Voici un résumé drôle illustrant à quel point les utilisateurs se trompent lorsqu'ils pensent créer un mot de passe fort :Ce dessin animé montre à quel point nous nous trompons en essayant de créer un mot de passe sécurisé.

Munissez-vous d'une paire de dés et attelez-vous à la création d'un mot de passe fort pour assurer la sécurité de vos comptes.

Comment augmenter encore davantage votre niveau de sécurité

Après avoir créé votre toute nouvelle phrase de passe, vous pourriez vous demander si vous pouvez faire autre chose pour protéger vos comptes. La réponse est oui !

Même si vous avez le meilleur mot de passe du monde, vous pouvez toujours améliorer votre sécurité en utilisant l'identification à deux facteurs, qui nécessite un second moyen de vérification de votre identité en plus de votre mot de passe.

L'identification à deux facteurs utilise généralement l'un de ces trois éléments :

  1. Quelque chose que vousconnaissez : il peut s'agir d'un code PIN ou d'autre chose, comme les réponses à vos questions de sécurité.
  2. Quelque chose que vous possédez : par exemple, votre téléphone (qui peut recevoir un code d'authentification par SMS) ou votre carte bancaire physique (que vous pouvez vérifier à l'aide du code de sécurité au verso).
  3. Quelque chose que vous êtes : données biométriques, telles que vos empreintes digitales.

Cela peut sembler compliqué au premier abord, mais si vous êtes comme la plupart des internautes, vous utilisez déjà l'authentification à deux facteurs depuis longtemps. Par exemple, chaque fois que vous retirez de l'argent à un distributeur, vous combinez quelque chose que vous possédez (votre carte bancaire) et quelque chose que vous connaissez (votre code PIN).

De même, vous pouvez activer l'authentification à deux facteurs sur la plupart de vos comptes en ligne : votre messagerie électronique, vos comptes de réseaux sociaux et (particulièrement important !) vos comptes bancaires en ligne doivent tous être dotés de l'authentification à deux facteurs. Souvent, cela nécessitera l'envoi d'un code PIN à usage unique par le service lorsque vous tenterez de vous connecter ou d'effectuer une transaction bancaire.

Vous souhaitez savoir lesquels de vos comptes sont dotés de l'option d'authentification à deux facteurs ? Vous pouvez consulter la liste complète ici et même demander à ce qu'un site donné ajoute l'authentification à deux facteurs s'il ne propose pas encore cette option.

L'authentification à deux facteurs peut nécessiter quelques secondes supplémentaires pour vous connecter, mais croyez-nous, cela en vaut la peine.

Armé de votre phrase de passe simple à mémoriser, d'un gestionnaire de mots de passe et de l'authentification à deux facteurs, vous serez plus en sécurité qu'un coffre-fort suisse. Voilà !

AVG AntiVirus FREE Téléchargement GRATUIT