Nov. 2007

Votre mot de passe vous protège-t-il?

30 secondes! C'est le temps maximum pour casser un mot de passe de 6 lettres.
Depuis quelques années, nous sommes assaillis de demandes de noms d'utilisateur (login), de numéros+digit, de dates d'expiration, de codes, de mots de passe pour une multitude de services d'importances variées.
Il est donc devenu vital d'établir une politique robuste de sécurité accompagnée de moyens mnémotechniques simples. Voyons comment se créer un ou plusieurs mots de passe solides.

Résumé de l'article:

N'utilisez pas votre nom d'utilisateur (login) comme mot de passe.
N'utilisez pas le même mot de passe pour l'accès à deux services différents.
Évitez les mots du dictionnaire et les prénoms.
Évitez les suites logiques.
Évitez les mots de passe devenus trop connus.
Ne vous limitez pas à quelques lettres en minuscule.

Les fautes d'orthographe appréciées.
Mélangez nombres et lettres.
Ajoutez une séquence au clavier.
Utilisez les paroles d'une chanson.
Comment faire lorsque l'on a plusieurs mots de passe à mémoriser?

(Revenir en haut)

1) Les mauvaises habitudes à éviter:

D'abord, évitons les pièges suivants:

N'utilisez pas votre nom d'utilisateur (login) comme mot de passe.

Il est tentant d'utiliser son login comme mot de passe. Mais n'oubliez pas que votre login est rarement stocké chiffré (codé). Il est donc très facile pour le pirate informatique de le trouver.

N'utilisez pas le même mot de passe pour l'accès à deux services différents.

Tous les services n'utilisent pas le même niveau de sécurité. Si un tiers malveillant découvre votre mot de passe en cassant la sécurité faible d'un service, il pourra alors l'utiliser pour franchir une sécurité supérieure d'un service plus important.
C'est la première attaque qu'un pirate informatique tentera contre vous!
Le niveau de sécurité du service c'est, entre autre, la manière dont il va garder secret le mot de passe que vous lui aurez transmis. En effet, cette sécurité dépend de l'importance des données et du sérieux du créateur du service.
Lorsque les données ou l'accès au service ne nécessitent pas une grande protection (par exemple: un forum) le mot de passe n'est pas toujours codé et il peut être facilement récupéré (degré de fiabilité faible). Par contre, lorsque les données ou les services sont extrêmement confidentiels (par exemple: l'accès aux données bancaires) aucun ordinateur ne doit pouvoir communiquer votre mot de passe. Et celui-ci ne doit pas pouvoir vous être rappelé en cas d'oubli (degré de fiabilité élevé).

Évitez les mots du dictionnaire et les prénoms.

Il existe beaucoup de sortes d'attaques, mais une des plus simples utilise une base de mots provenant de multiples dictionnaires. Pensez qu'un mot correctement orthographié, même décliné et quelle que soit sa longueur sera aussi facile à casser qu'un mot inintelligible de 4 lettres parmi les 26 de l'alphabet latin. En simple: anticonstitutionnellement est aussi facile à trouver que fjzt. Inutile d'aller pêcher dans les langues étrangères, elles sont rarement mieux loties que le français sauf peut-être les langues tribales ou les dialectes.

Évitez les suites logiques.

Exemple:

123456 ou 111111 ou 246810

Évitez les mots de passe devenus trop connus

Voici le top 15 des mots de passe les plus utilisés:

Top15:

123
password [+chiffres]
123456
qwerty
abc [+chiffres]
letmein
monkey
liverpool
test
charlie
arsenal
myspace1
azerty
blink182
Thomas

Ces mots de passe sont à bannir de notre utilisation.

Ne vous limitez pas à quelques lettres en minuscule.

Lorsque l'attaque par dictionnaire échoue, le pirate informatique tentera une attaque par "force brute". C'est-à-dire qu'il essaiera toutes les combinaisons de manière exhaustive. Pour connaître en combien de temps maximum ce pirate cassera votre code, c'est simple, il vous suffit de résoudre le calcul suivant: tmax=(bⁿ)/f
tmax= temps maximum pour découvrir un mot de passe
b= base de symboles dans laquelle vous allez puiser
n= taille de votre mot de passe.
f= fréquence de test par seconde. Par exemple, sur un ordinateur de moyenne gamme, la fréquence de test est d'environ 10 millions de mots de passe/seconde

Exemples de bases de symboles:

Alphabétiques simples: b=26 (a,b,c,...z)
Alphanumériques simples: b=36 (a,b,c,...9)
Alphanumériques minuscules et majuscules aléatoires: b=62 (a,A,b,B,...9)
Ensemble des caractères "latin-1": b=256 (a,A,à,...#)
Tout l'unicode 4.1: b=235223 (Ա,ং,ㄅ,a,...ᴫ)

Exemples de calculs:

Avec une fréquence de 10.000.000 tests/seconde:
fjzt: tmax=(26⁴)/10.000.000=0,04s ! 4 centièmes de seconde pour le forcer !
fjztdv: tmax=(26⁶)/10.000.000=30,89s ! 30 secondes pour le forcer !
Mt2Gg7rT: tmax=(62⁸)/10.000.000=436680211,16s Environ 253 jours pour le forcer !

(Revenir en haut)

2) Comment créer une politique de mot de passe fiable et facile à retenir?

Les fautes d'orthographe appréciées.

N'hésitez pas à créer un mot de passe rempli de fautes d'orthographe d'usage, ceci afin d'empêcher une attaque par dictionnaire:

Exemples:

frambwase ou eureuzement

Évitez les fautes d'orthographe habituelles ou de simplement supprimer les accents

Mélangez nombres et lettres.

Cela peut produire des mots de passe performant et facile à retenir

Exemples:

6llouettes, 1ten6fier ou dans un autre style: R0mant1qu3

Ajoutez une séquence au clavier.

Afin d'allonger de manière conséquente la base de symboles et la taille du mot de passe, et donc sa sécurité, il est facile d'ajouter une séquence personnelle et rapide au clavier.

Exemples:

les premiers symboles des 4 lignes du clavier ajoutés à frambwase: frambwase²aq<
ou encore les symboles contigus à "t" ajoutés à 6llouettes: 6llouettes(§ryfg

Utilisez les paroles d'une chanson.

Il suffit alors de prendre la première lettre de chaque mot d'une chanson ainsi que la ponctuation.

Exemples:

Au clair de la lune,
Mon ami Pierrot.

Donne:

Acdll,MaP.

qui prendra déjà plusieurs années avant d'être décrypté.
Attention de ne pas siffloter votre mot de passe dans votre bureau tous les matins.

Comment faire lorsque l'on a plusieurs mots de passe à mémoriser?

1) Créez un mot de passe simple de base.

Exemples:

auceanne

2) Ajoutez-lui en préfixe ou suffixe un terme se rapportant au service protégé

Exemples:

mailauceanne ou auceannecompta

3) Ensuite modifiez le mot de passe suivant le niveau de sécurité du service protégé pour le rendre graduellement plus complexe.

Exemples:

Compte forum (fiabilité 0): forumauceanne
Compte Mail privé (fiabilité 1): mailauceanne-&&&
Compte Mail pro (fiabilité 2): Mailproauceanne-²aqw
Comptabilité (fiabilité 2): Comptaauceanne-(§ryfg

(Notez que les banques traditionnelles ont d'autres procédés bien plus efficaces mais requérant un calculateur externe.)

(Revenir en haut)

3) Le futur du mot de passe.

Avec la démocratisation des lecteurs d'empreintes digitales, de formes du visage, de pigmentations de l'iris puis plus tard de signatures génétiques, les mots de passe deviendront vite désuets. Se poseront alors d'autres problèmes ergonomiques, éthiques, politiques voir marketing.
Mais la vie privée sera-t-elle mieux protégée?
En attendant, un mot de passe solide peut vous faire épargner beaucoup d'argent et de soucis.

Bernard Cédrik

Expert informatique

Auceanne IT


	Nov. 2007 Votre mot de passe vous protège-t-il? (Revenir à l'index) 30 secondes! C'est le temps maximum pour casser un mot de passe de 6 lettres. Depuis quelques années, nous sommes assaillis de demandes de noms d'utilisateur (login), de numéros+digit, de dates d'expiration, de codes, de mots de passe pour une multitude de services d'importances variées. Il est donc devenu vital d'établir une politique robuste de sécurité accompagnée de moyens mnémotechniques simples. Voyons comment se créer un ou plusieurs mots de passe solides. Résumé de l'article: N'utilisez pas votre nom d'utilisateur (login) comme mot de passe. N'utilisez pas le même mot de passe pour l'accès à deux services différents. Évitez les mots du dictionnaire et les prénoms. Évitez les suites logiques. Évitez les mots de passe devenus trop connus. Ne vous limitez pas à quelques lettres en minuscule. Les fautes d'orthographe appréciées. Mélangez nombres et lettres. Ajoutez une séquence au clavier. Utilisez les paroles d'une chanson. Comment faire lorsque l'on a plusieurs mots de passe à mémoriser? (Revenir en haut) 1) Les mauvaises habitudes à éviter: D'abord, évitons les pièges suivants: N'utilisez pas votre nom d'utilisateur (login) comme mot de passe. Il est tentant d'utiliser son login comme mot de passe. Mais n'oubliez pas que votre login est rarement stocké chiffré (codé). Il est donc très facile pour le pirate informatique de le trouver. N'utilisez pas le même mot de passe pour l'accès à deux services différents. Tous les services n'utilisent pas le même niveau de sécurité. Si un tiers malveillant découvre votre mot de passe en cassant la sécurité faible d'un service, il pourra alors l'utiliser pour franchir une sécurité supérieure d'un service plus important. C'est la première attaque qu'un pirate informatique tentera contre vous! Le niveau de sécurité du service c'est, entre autre, la manière dont il va garder secret le mot de passe que vous lui aurez transmis. En effet, cette sécurité dépend de l'importance des données et du sérieux du créateur du service. Lorsque les données ou l'accès au service ne nécessitent pas une grande protection (par exemple: un forum) le mot de passe n'est pas toujours codé et il peut être facilement récupéré (degré de fiabilité faible). Par contre, lorsque les données ou les services sont extrêmement confidentiels (par exemple: l'accès aux données bancaires) aucun ordinateur ne doit pouvoir communiquer votre mot de passe. Et celui-ci ne doit pas pouvoir vous être rappelé en cas d'oubli (degré de fiabilité élevé). Évitez les mots du dictionnaire et les prénoms. Il existe beaucoup de sortes d'attaques, mais une des plus simples utilise une base de mots provenant de multiples dictionnaires. Pensez qu'un mot correctement orthographié, même décliné et quelle que soit sa longueur sera aussi facile à casser qu'un mot inintelligible de 4 lettres parmi les 26 de l'alphabet latin. En simple: anticonstitutionnellement est aussi facile à trouver que fjzt. Inutile d'aller pêcher dans les langues étrangères, elles sont rarement mieux loties que le français sauf peut-être les langues tribales ou les dialectes. Évitez les suites logiques. Exemple: 123456 ou 111111 ou 246810 Évitez les mots de passe devenus trop connus Voici le top 15 des mots de passe les plus utilisés: Top15: 123 password [+chiffres] 123456 qwerty abc [+chiffres] letmein monkey liverpool test charlie arsenal myspace1 azerty blink182 Thomas Ces mots de passe sont à bannir de notre utilisation. Ne vous limitez pas à quelques lettres en minuscule. Lorsque l'attaque par dictionnaire échoue, le pirate informatique tentera une attaque par "force brute". C'est-à-dire qu'il essaiera toutes les combinaisons de manière exhaustive. Pour connaître en combien de temps maximum ce pirate cassera votre code, c'est simple, il vous suffit de résoudre le calcul suivant: tmax=(bⁿ)/f tmax= temps maximum pour découvrir un mot de passe b= base de symboles dans laquelle vous allez puiser n= taille de votre mot de passe. f= fréquence de test par seconde. Par exemple, sur un ordinateur de moyenne gamme, la fréquence de test est d'environ 10 millions de mots de passe/seconde Exemples de bases de symboles: Alphabétiques simples: b=26 (a,b,c,...z) Alphanumériques simples: b=36 (a,b,c,...9) Alphanumériques minuscules et majuscules aléatoires: b=62 (a,A,b,B,...9) Ensemble des caractères "latin-1": b=256 (a,A,à,...#) Tout l'unicode 4.1: b=235223 (Ա,ং,ㄅ,a,...ᴫ) Exemples de calculs: Avec une fréquence de 10.000.000 tests/seconde: fjzt: tmax=(26⁴)/10.000.000=0,04s ! 4 centièmes de seconde pour le forcer ! fjztdv: tmax=(26⁶)/10.000.000=30,89s ! 30 secondes pour le forcer ! Mt2Gg7rT: tmax=(62⁸)/10.000.000=436680211,16s Environ 253 jours pour le forcer ! (Revenir en haut) 2) Comment créer une politique de mot de passe fiable et facile à retenir? Les fautes d'orthographe appréciées. N'hésitez pas à créer un mot de passe rempli de fautes d'orthographe d'usage, ceci afin d'empêcher une attaque par dictionnaire: Exemples: frambwase ou eureuzement Évitez les fautes d'orthographe habituelles ou de simplement supprimer les accents Mélangez nombres et lettres. Cela peut produire des mots de passe performant et facile à retenir Exemples: 6llouettes, 1ten6fier ou dans un autre style: R0mant1qu3 Ajoutez une séquence au clavier. Afin d'allonger de manière conséquente la base de symboles et la taille du mot de passe, et donc sa sécurité, il est facile d'ajouter une séquence personnelle et rapide au clavier. Exemples: les premiers symboles des 4 lignes du clavier ajoutés à frambwase: frambwase²aq< ou encore les symboles contigus à "t" ajoutés à 6llouettes: 6llouettes(§ryfg Utilisez les paroles d'une chanson. Il suffit alors de prendre la première lettre de chaque mot d'une chanson ainsi que la ponctuation. Exemples: Au clair de la lune, Mon ami Pierrot. Donne: Acdll,MaP. qui prendra déjà plusieurs années avant d'être décrypté. Attention de ne pas siffloter votre mot de passe dans votre bureau tous les matins. Comment faire lorsque l'on a plusieurs mots de passe à mémoriser? 1) Créez un mot de passe simple de base. Exemples: auceanne 2) Ajoutez-lui en préfixe ou suffixe un terme se rapportant au service protégé Exemples: mailauceanne ou auceannecompta 3) Ensuite modifiez le mot de passe suivant le niveau de sécurité du service protégé pour le rendre graduellement plus complexe. Exemples: Compte forum (fiabilité 0): forumauceanne Compte Mail privé (fiabilité 1): mailauceanne-&&& Compte Mail pro (fiabilité 2): Mailproauceanne-²aqw Comptabilité (fiabilité 2): Comptaauceanne-(§ryfg (Notez que les banques traditionnelles ont d'autres procédés bien plus efficaces mais requérant un calculateur externe.) (Revenir en haut) 3) Le futur du mot de passe. Avec la démocratisation des lecteurs d'empreintes digitales, de formes du visage, de pigmentations de l'iris puis plus tard de signatures génétiques, les mots de passe deviendront vite désuets. Se poseront alors d'autres problèmes ergonomiques, éthiques, politiques voir marketing. Mais la vie privée sera-t-elle mieux protégée? En attendant, un mot de passe solide peut vous faire épargner beaucoup d'argent et de soucis. Bernard Cédrik Expert informatique Auceanne IT Revenir au menu principal