LE BLOG - Un mot de passe solide.





Un mot de passe solide.Dans Sécurité

Solidité d'un mot de passe

 

Peut on vérifier la solidité de son mot de passe, sans risque ?

Il existe des sites permettent d'évaluer la force de résistance d'un mot de passe.
Ce qui implique de fait de le renseigner sur le dit site de test, et par conséquant le divulguer. Ce n'est pas un comportement sécuritaire. D'autant que certain site dit de test de mot de passe ont simplement pour but la collecte de ceux ci dans un but de revente sur le marché noir.
Pour pouvoir juger la robustesse d'un mot de passe sans le donner directement, l'ANSSI a mis en place une approche basée sur la cryptographie, sans saisir son mot de passe.

Chaque année des classements des pires mots de passe sortent, ce qui est l'occasion de voir et revoir toujours les même imbécilités  comme « 123456 », « Password » ou « qwerty ». C'est l'occasion de mettre à niveau son mot de passe.

Si vous vous demandez d'ailleurs quelle est la force d'un password, il est possible de l'estimer grâce à un outil de l'ANSSI : celui-ci ne  demande pas de le taper pour l'analyser — ce serait imprudent de confier votre mot de passe, même à l'ANSSI — mais de simplement indiquer sa longueur et de dire quelles tables de caractères est utilisée (chiffres, lettres, etc.).

Ecran ansi

L'outil de l'ANSSI qui permet d'évaluer la robustesse d'un mot de passe. Tester son mot de passe

La longueur qui sera indiquer avec cet outil n'inclut pas les nombres impairs et va de 2 à 30, en ignorant certains paliers (dès lors, il faudra prendre celui qui est le plus proche du mot de passe à tester pour avoir un ordre d'idée). L'Agence calcule alors la taille de clé équivalente au mot de passe et détermine si elle est très faible, faible, moyenne ou forte.

Mais pourquoi parler de taille de clé équivalente ? En fait, « la force d'un mot de passe peut être estimée par comparaison avec les techniques cryptographiques », explique l'ANSSI. Dès lors, en tenant compte de ses recommandations en cryptographie, il est possible de savoir si un mot de passe est fort ou non selon l'estimation de la taille de clé et sa faculté à atteindre certains seuils.

Or avec cet outil, on se rend compte qu'il est plus efficace de renforcer le mot de passe en l'allongeant de quelques caractères plutôt que de varier entre des majuscules et des minuscules.

Ainsi, un mot de passe de 16 symboles puisant dans une table de 36 caractères a une taille de clé de 83 bits ; ce score passe à 91 bits si l'on utilise un même mot de passe de 16 caractères qui a été créé via une table de 52 caractères (c'est en tenant compte des majuscules et des minuscules). Aux yeux de l'ANSSI, une clé de 81 bits a une solidité moyenne ; elle est forte si elle atteint 104 bits.

Si l'on opte pour un mot de passe fort de 20 symboles (donc quatre de plus que le cas précédent) en puisant toujours dans une table de 36 caractères (10 chiffres et les 26 lettres de l'alphabet), la taille de clé atteint 103 bits. Et en passant à une table de 52 symboles, le score atteint 114 bits. L'ANSSI précise qu'en cryptographie, il faut se servir d'une taille de clé minimale de 100 bits.

Bien sûr, l'idéal serait sans doute de combiner à la fois la table de caractères la plus étendue possible et un mot de passe d'une importante longueur, avec 30 caractères ou plus.

Mais encore faut-il pouvoir le retenir ! La mémorisation peut être difficile s'il n'y a aucun moyen mnémotechnique pour aider l'utilisateur. Par ailleurs, l'inscrire au clavier peut vite relever du parcours du combattant s'il fait appel à des symboles rares. Dans ce cas, un bon compromis peut être la « phrase de passe », qui repose sur le même principe que le mot de passe, mais en ayant du sens pour l'utilisateur.

Comment créer un mot de passe sécurisé solide ?

Le mot de passe ou la phrase de passe sont la base de la sécurité informatique. Que ce soit pour des comptes XY, des réseaux sociaux ou des smartphones, choisir un bon mot de passe est capital.

Rappel : qu’est un bon mot de passe ?

Il n'est pas conseillé d'utiliser un gestionnaire qui va générer un mot de passe complexe et aléatoire pour chacun des comptes, le mieux est d’appliquer la « méthode XKCD », popularisée par l’éditeur de bandes-dessinées. Elle repose sur un postulat simple : un mot de passe est sécurisé s’il est long, s’il n’a aucun sens litéral et s’il est facile à retenir.

Dès lors, XKCD conseille de choisir 4 mots communs qui n’ont rien à voir et de les associer :

telephonephotographieventilateurbureau a plus de force (de « bits d’entropie ») que j3su1sunh4ck3r.
Et puis se souvenir de 4 mots communs est bien plus simple que de se souvenir d'une chaine sans aucun sens.

Il faut éviter en revanche les citations ou les phrases toutes faites, dans la mesure où certaines techniques « brute force » testent aujourd’hui très facilement des citations connues en piochant dans des bases de données en ligne ou des livres en accès gratuit. L’incipit d'un roman est donc à bannir.

XKCD mot de passe

Pour raffiner un peu plus un mot de passe, on peut partir de la même base et le modifier pour chaque service. Il est alors possible de mettre le nom du service à la place d’un des 4 mots ou, si pour aller encore plus loin, donner simplement un indice sur la nature du service dont il faut se souvenir. Ainsi, un mot de passe pour Gmail sera telephonemoncourrierventilateurbureau et votre mot de passe Facebook sera telephonelivredefigureventilateurbureau. On peut, bien entendu, ajouter des majuscules, un chiffre et un signe de ponctuation dans la suite, afin de bien compliquer la tâche.

Une fois cela fait, ne pas oublier d’activer la double authentification sur tous les comptes qui le permettent voir d’investir dans une clef USB U2F. La CNIL a également récemment donné ses propres recommandations. Ainsi, vos comptes personnels devraient être particulièrement bien verrouillés.

Chez weblandes nous incitons nos client à adopter une stratégie sensiblement identique. A savoir :

Un mot de passe racine complexe sans voyelle : telephonephotographieventilateurbureau  -> tlphnphtgrphvntltrbr

A partir de cette chaine nous conseillons d'y ajouter des majuscule, chiffre et symbole -> tlPhn5-Phtgrph8*Vntltrbr

Puis ajouter un suffixe ou un préfixe selon se service : ex twitter : twttr*tlPhn5-Phtgrph8*Vntltrbr

 

#motdepasse #password #sécurité #vérification #clé



Dans la meme catégorie :

TOP