Jeudi 7 juin 2018
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Créer des mots de passe efficaces

Imprimer Envoyer à un ami Contacter la rédaction
Par Alain Bastide le 13/06/2012 - indexel.net
 
Creer-des-mots-de-passe-efficaces

La sécurité informatique d'une entreprise repose avant tout sur ses utilisateurs. Les experts nous rappellent les règles de base pour créer des mots de passe solides et les utiliser correctement au quotidien.

 

On l'a oublié, mais les ordinateurs sont nés lors de la seconde guerre mondiale pour casser des mots de passe. Depuis, ces sésames protègent l'accès aux documents sensibles, aux transactions qui circulent sur internet, et plus généralement à l'ensemble du système d'information de l'entreprise. Mais avec la progression exponentielle de la puissance des processeurs ces dix dernières années et l'adoption du web, n'importe qui possède désormais la puissance de calcul et les logiciels pour casser un mot de passe en force brute. Il est donc nécessaire de créer des mots de passes plus solides et de les utiliser correctement.

Des mots de passe d'une affligeante banalité

Paradoxalement, "on utilise depuis vingt ans des mots de passe qui sont très difficiles à retenir pour l'utilisateur et très faciles à casser pour un ordinateur" constate Hervé Schauer, consultant en sécurité informatique. Résultat ? Lorsqu'ils ont le choix, seuls 4 % des utilisateurs respectent les consignes qui garantissent la sécurité de leurs informations. La majorité recourt à des mots de passe d'une affligeante banalité. Spécialisé dans la détection d'intrusion, l'éditeur Imperva a analysé 32 millions de mots de passe dérobés sur le site RockYou.com. Les cinq mots de passe les plus courants sont, dans l'ordre : 123456, 12345, 123456789, password, iloveyou. Difficile de faire plus simple et aussi peu efficace ! L'occasion de vous rappeler les ingrédients de base d'un bon mot de passe.

Christophe Kiciak

"Un bon mot de passe doit être capable de résister le plus longtemps possible aux tentatives qui viseraient à le reconstituer en essayant toutes les combinaisons possibles ou en utilisant des informations sur son propriétaire. Pour cela, il doit être complexe et secret. N'utilisez pas le nom de votre chat !" explique en préambule Christophe Kiciak (photo), expert sécurité chez CheckMates.

1. Ne pas utiliser le même mot de passe partout

On ne protège pas l'accès à son compte bancaire en ligne de la même manière que sa messagerie. La première règle consiste donc à utiliser des mots de passe différents et de catégories différentes – dureté, recette de construction, etc. – en fonction des ressources informatiques que l'on souhaite protéger.

2. Éviter les mots de passe trop complexes

Rien de ne sert de définir des mots de passe basés sur une séquence alphanumérique pseudo-aléatoire du genre "LcdmVtlR9". D'une part, l'utilisateur aura le plus grand mal à s'en souvenir et sera donc tenter d'écrire son mot de passe quelque part. Le code n'est donc plus secret. D'autre part, ces formes de mots de passe sont faciles à casser en force brute.

3. Faciliter la mémorisation par l'utilisateur

Un bon mot de passe doit pouvoir être conservé en mémoire sans avoir à être écrit et sans risquer d'être oublié au moment où il doit être utilisé. "Pour cela il doit être structuré car les humains mémorisent plus facilement les informations complexes lorsqu'elles suivent une construction logique" explique Christophe Kiciak. "Mémorisable est le maître mot" confirme Hervé Schauer. "Le mot de passe doit être le résultat d'un exercice mnémotechnique. On ne se souvient pas de la liste des conjonctions de coordination mais tout le monde connaît la séquence : mais où est donc or ni car ?" illustre-t-il. Il faut donc définir une recette, un algorithme qui, à partir d'une phrase, d'une idée, d'une réécriture aboutira à un résultat.

4. Privilégier des mots qui n'existent pas

Dans tous les cas de figure, le mot de passe ne doit pas être une référence directe à un événement personnel ou un mot issu d'un dictionnaire, quel qu'il soit (langues parlées ou mortes, dialectes, acronymes, symboles mythologiques, formules chimiques...). Il faut donc utiliser une technique simple pour créer des mots inconnus : on peut par exemple écrire une phrase courte, sans espace entre les mots, en enlevant toutes les voyelles, en faisant précéder chaque mot d'un chiffre ou d'un signe de ponctuation, etc. Par exemple, la phrase "Le chat mange la souris" deviendra "1Cht2Mng3L4Srs5".

5. Ne pas avoir peur de la longueur

Plus un mot de passe est long et plus il est difficile à deviner. On peut donc privilégier une approche qui repose sur la longueur. Par exemple mettre bout à bout plusieurs vers d'un poème : "jefais souventcerêveétrangeetpénétrantdunefemme".

6. Mixer les techniques

Une fois qu'un pirate informatique a réussi à décrypter un de vos mots de passe, il est capable de décrypter les autres très vite si vous utilisez toujours la même méthode. Il faut donc changer de recette à chaque mot de passe, ou, tout au moins, entre les clés qui doivent être solides et celles qui protègent des secrets moins sensibles.

7. Savoir utiliser d'autres moyens de protection

Bien qu'archaïque, un mot de passe est une technique qui suffit dans bon nombre de situations. Cependant, la robustesse doit aussi prendre en considération la sophistication ou la puissance de l'attaque. Auquel cas, un autre moyen d'authentification doit être envisagé. On peut alors se tourner vers des mécanismes d'authentification reposant sur une clé physique – carte avec ou sans puce, token, clef, etc. – ou sur un paramètre biométrique : empreinte digitale, vélocimétrie sanguine, reconnaissance de l'iris, frappe au clavier, etc.

8. Ne jamais stocker ses mots de passe dans son smartphone

Évidemment, toutes ces mesures protègent efficacement l'accès aux données et logiciel de l'entreprise à la condition que les mots de passe ne soient pas stockés dans un endroit facilement accessible : smartphone, téléphone, tablette numérique, post-it collé derrière l'écran, etc.

9. Ne jamais communiquer son mot de passe

Le mot de passe doit être strictement personnel. "Même lorsqu'il n'est plus utilisé ou qu'il a été changé il ne doit pas être révélé. Car il trahit la recette de construction de l'utilisateur et peut donc être utilisé pour décrypter un nouveau mot de passe" indique Christophe Kiciak.

 Information   Exemples non structurés difficiles à mémoriser  Exemples structurés faciles à mémoriser 
 Suite de 10 chiffres
5679390358
Numéro de téléphone
06 08 92 32 27
0 608 823 227
06 0882 3227 
Suite alphanumérique de 27 caractères  oIygjtzsr34intr65ery29olhsz  Adresse postale
10RueBlaisePascal75017Paris
Suite de n caractères alphanumériques et spéciaux  S!rHeh*.uip Tony.Kiciak@CheckMates-1.com
Formule mathématique
PrixTTC=PrixHT+19,6%
2H2+O2=2H2O

Source : Christophe Kiciak, expert sécurité chez CheckMates

LIRE AUSSI
 
Partager :
LIRE AUSSI
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages