Créer des Mots de Passe Forts

Se souvenir de plusieurs mots de passe n’est pas une tâche facile, les personnes réutilisent donc souvent un petit nombre de mots de passe sur différents comptes, sites et services. De nos jours, il est constamment demandé aux utilisateurs d’inventer de nouveaux mots de passe—de nombreuses personnes finissent par réutiliser le même mot de passe des dizaines, voire des centaines de fois.

Réutiliser un mot de passe est une pratique de sécurité particulièrement mauvaise, car si un attaquant s’empare d’un mot de passe, il tâchera de l’utiliser sur les divers comptes appartenant à la même personne. Si cette personne a réutilisé le même mot de passe plusieurs fois, l’attaquant pourra avoir accès à de multiples comptes. Ceci signifie qu’un mot de passe donnéest aussi sécurisé que le dernier service sécurisé sur lequel il a été utilisé.

Éviter de réutiliser les mots de passe est une précaution de valeur en matière de sécurité, mais vous ne pourrez pas vous souvenir de tous vos mots de passe si chacun d’entre eux est différent. Heureusement, il existe des outils logiciels conçus afin d’assister—un gestionnaire de mots de passe (également dénommé coffre-fort de mots de passe) est une application logicielle qui aide à stocker un grand nombre de mots de passe de manière sécurisée. Elle est pratique puisqu’elle vous évite d’utiliser le même mot de passe dans de multiples contextes. Le gestionnaire de mots de passe protège tous vos mots de passe grâce à un unique mot de passe principal (ou, idéalement, une phrase de passe—Cf. discussion ci-après), vous ne devez donc vous souvenir que d’une seule chose. Les personnes qui utilisent un gestionnaire de mots de passe ne connaissent plus les mots de passe correspondant à leurs différents comptes, le gestionnaire de mots de passe peut se charger du processus complet de création et de souvenance des mots de passe.

Par exemple, KeePassX est un coffre-fort de mots de passe libre et gratuit que vous conservez sur votre fond d’écran.Il est important de noter que si vous utilisez KeePassX, il ne sauvegardera pas automatiquement les modifications et les ajouts. Ceci signifie que s’il crashe après avoir ajouté quelques mots de passe, vous pouvez les perdre pour toujours. Vous pouvez le modifier dans les paramètres.

Utiliser un gestionnaire de mots de passe vous aide également à choisir des mots de passe forts, difficiles à deviner pour un attaquant. Ceci est également important car, trop souvent, les utilisateurs d’ordinateurs utilisent des mots de passe courts et simples qu’un attaquant peut facilement deviner, y compris "mot de passe1," "12345", une date d’anniversaire ou le nom d’un ami, de son épouse ou de son animal de compagnie. Un gestionnaire de mots de passe peut vous aider à créer et utiliser un mot de passe aléatoire, sans modèle ni structure—un mot de passe qui ne sera pas devinable. Par exemple, un gestionnaire de mots de passe peut choisir des mots de passe tels que "vAeJZ!Q3p$Kdkz/CRHzj0v7,” ce dont un être humain ne pourrait probablement pas se souvenir—ou deviner. Ne vous inquiétez pas, le gestionnaire de mots de passe s’en souvient pour vous !

Synchroniser Vos Mots de Passe Sur des Dispositifs Multiples Anchor link

Vous pouvez utiliser vos mots de passe sur plus d’un dispositif, comme votre ordinateur et votre Smartphone. De nombreux gestionnaires de mots de passe disposent d’une caractéristique de synchronisation des mots de passe intégrée. Lorsque vous synchronisez votre fichier de mots de passe, il s’actualisera sur tous vos dispositifs donc, si vous avez ajouté un nouveau compte sur votre ordinateur, vous pourrez toujours vous y connecter à partir de votre téléphone. D’autres gestionnaires de mots de passe vous offriront de stocker ceux-ci “dans le cloud,” c’est-à-dire, ils stockeront vos mots de passe chiffrés sur un serveur à distance et, lorsque vous en aurez besoin sur votre ordinateur ou téléphone portable, ils les récupèreront et déchiffreront automatiquement. Les gestionnaires de mot de passe qui utilisent leur propre serveur pour stocker ou aider à stocker vos mots de passe sont plus simple d'utilisation, mais le souci est qu'ils sont bien plus vulnérables aux attaques. Si vous gardez votre mot de passe sur votre ordinateur, alors une personne qui y à accès, pourras avoir accès à vos mots de passe. Si vous les gardez dans le cloud, ils peuvent aussi être attaqués. Ce n'est pas une chose dont il faut être inquiet sauf si votre "attaquant" à des pouvoirs légaux sur la société gérant les mots de passe ou si il est connu pour cibler des entreprises ou du trafic internet. Si vous utilisez un service de cloud, le société de gestion de mots de passe peut aussi connaitre les services que vous utilisez, quand vous les utilisez et d'où vous les utilisez.

Choisir des Mots de Passe Forts Anchor link

Il existe quelques mots de passe qui n’ont pas besoin d’être mémorisés mais qui doivent être tout spécialement forts : ceux qui bloquent définitivement vos propres données grâce au chiffrement. Ceux-ci comprennent, au moins, les mots de passe de vos dispositifs, les chiffrements comme celui du disque dans son intégralité et le mot de passe principal pour votre gestionnaire de mots de passe.

Les ordinateurs sont maintenant suffisamment rapide pour deviner les mots de passe qui ont moins de 10 caractères. Ce qui veut dire que les mots de passe courts de tous types, même ceux de type nQ\m=8*x or !s7e&nUY or gaG5^bG, ne sont pas asses forts pour le chiffrement de nos jours.

Il existe plusieurs manières de créer une phrase de passe forte et facile à mémoriser, la méthode la plus simple et infaillible est le Diceware d’Arnold Reinhold ."

La méthode de Reinhold implique de lancer physiquement des dés afin de choisir au hasard plusieurs mots à partir d’une liste de mots, ensemble, ces mots formeront une phrase de passe. En ce qui concerne le chiffrement des disques (et coffres forts de mots de passe), nous recommandons de choisir six mots au minimum.

Essayez d’élaborer un mot de passe en utilisant la méthode “Diceware” de Rheinhold.

Lorsque vous utilisez un gestionnaire de mots de passe, la sécurité de ces derniers et de votre mot de passe principal sera aussi forte que celle de l’ordinateur où le gestionnaire de mots de passe est installé et utilisé. Si votre ordinateur ou dispositif est mis en péril car un logiciel espion a été installé, ce dernier peut vous visualiser en train de saisir votre mot de passe principal et voler les contenus du coffre-fort de mots de passe. Il est donc toujours très important que votre ordinateur et autres dispositifs soient libres de logiciels malveillants lorsque vous utilisez un gestionnaire de mots de passe.

Quelques Mots À Propos Des “Questions de Sécurité” Anchor link

Méfiez-vous des “questions de sécurité” (comme “Quel est le nom de jeune fille de votre mère ?” ou "Quel est le nom de votre premier animal de compagnie ?") que les sites Web utilisent afin de confirmer votre identité dans le cas où vous oublieriez votre mot de passe. Les réponses honnêtes à de nombreuses questions de sécurité sont des faits pouvant se découvrir publiquement et qu’un adversaire déterminé peut aisément trouver, donc totalement contourner votre mot de passe. Par exemple, le compte de Yahoo ! de Sarah Palin, candidate à la Vice-présidence des États-Unis fut piraté de cette manière. Fournissez plutôt des réponses qui, tout comme votre mot de passe, sont fictives et que personne ne connaît sauf vous. Par exemple, si la question associée au mot de passe est le nom de votre animal de compagnie, vous pouvez avoir publié des photos afin de les partager en y ajoutant des légendes telles que “Voici une photo de mon adorable chat, Spot !” Au lieu d’utiliser “Spot” comme la réponse qui vous aidera à récupérer votre mot de passe, vous pouvez choisir “Rumplestiltskin.” Évitez d’utiliser les mêmes mots de passe ou réponses aux questions de sécurité pour de multiples comptes sur différents sites Web ou services. Vous devriez stocker vos réponses fictives dans votre coffre-fort de mots de passe également.

Pensez aux sites où vous avez utilisé des questions de sécurité. Envisagez de vérifier vos paramètres et de modifier vos réponses.

Souvenez-vous de conserver une copie de sauvegarde de votre coffre-fort de mots de passe ! Si vous perdez votre coffre-fort de mots de passe suite à un crash (ou si les dispositifs vous sont dérobés), il sera difficile de récupérer les mots de passe. Les programmes des coffres forts de mots de passe disposent normalement d’une manière de réaliser une copie de sauvegarde indépendante, soit vous pouvez également utiliser votre programme de copies de sauvegarde habituel.

Vous pouvez réinitialiser vos mots de passe en demandant aux services de vous envoyer un e-mail de récupération de votre mot de passe à votre adresse e-mail enregistrée. Pour cette raison, vous devez également mémoriser la phrase de passe associée à ce compte e-mail. Ainsi, vous pourrez réinitialiser vos mots de passe sans dépendre de votre coffre-fort de mots de passe.

Authentification Multi-facteur et Mots de Passe Non Réutilisable Anchor link

De nombreux services et outils logiciels vous permettent d’utiliser une authentification à double facteur, également dénommée authentification ou connexion en deux étapes. L’idée, afin de vous connecter, est d’être en possession d’un certain objet physique : un téléphone portable normalement mais, dans certaines versions, un dispositif spécial dénommé marque de sécurité. Utiliser une authentification à double facteur garantit que, même si le mot de passe se fait cracker ou voler, le voleur ne pourra pas se connecter sous réserve de posséder ou de contrôler un deuxième dispositif, ainsi que les codes spéciaux que seul celui-ci peut créer.

De manière générale, ceci signifie qu’un voleur ou un pirate informatique devrait contrôler à la fois votre ordinateur et votre téléphone portable avant de pouvoir avoir totalement accès à vos comptes.

Ceci ne peut se configurer qu’avec la coopération de l’opérateur du service, vous ne pouvez pas y procéder par vous-même si vous utilisez un service qui n’offre pas cette possibilité.

L’authentification à double facteur en utilisant un téléphone portable peut s’effectuer de deux manières : le service peut envoyer un message de texte via SMS à votre téléphone lorsque vous tâchez de vous connecter (en vous fournissant un code de sécurité complémentaire que vous devrez saisir), ou votre téléphone peut exécuter une application d’authentification générant des codes de sécurité à l’intérieur du téléphone lui-même. Ceci aidera à protéger votre compte dans des situations où l’attaquant dispose de mot de passe mais pas de l’accès physique à votre téléphone portable.

Quelques services, comme Google, vous permettent également de générer une liste de mots de passe jetables, également dénommés mots de passe non réutilisables. Ceux-ci doivent être imprimés ou écrits sur un papier que vous devez porter sur vous (bien que, dans certains cas, il soit possible d’en mémoriser quelques-uns). Chacun de ces mots de passe fonctionne une seule fois donc, si l’un d’entre eux est volé par un logiciel espion lorsque vous le saisissez, le voleur ne pourra plus l’utiliser à l’avenir.

Si votre société ou vous-même vous chargez de votre propre infrastructure de communications, comme de serveurs d’e-mails propres, il existe un logiciel gratuitement disponible qui peut être utilisé afin d’activer l’authentification à double facteur pour avoir accès à vos systèmes. Demandez à votre administrateur de systèmes de chercher des logiciels offrant des implémentations du standard libre “Time-Based One-Time Passwords” ou RFC 6238.

Menaces de Dommages Physiques ou d’Emprisonnement Anchor link

Enfin, comprenez qu’il existe toujours une manière pour vos attaquants d’obtenir votre mot de passe : ils peuvent directement vous menacer de dommages physiques ou de détention. Si vous craignez que cette possibilité soit probable, envisagez les manières grâce auxquelles vous pouvez cacher l’existence des données ou du dispositif que vous protégez moyennant mot de passe, au lieu de croire que vous n’aurez jamais à le remettre. Une possibilité est de maintenir au moins un compte contenant pour la plupart des informations sans importance, dont vous pouvez divulguer rapidement le mot de passe.

Si vous avez de bonnes raisons de croire que quelqu’un est susceptible de vous menacer afin d’obtenir vos mots de passe, assurez-vous de configurer vos dispositifs de manière à ce qu’il résulte évident que le compte que vous divulguez n’est pas le compte “authentique”. Votre compte réel s’affiche-t-il sur l’écran de connexion de votre ordinateur ou automatiquement lorsque vous ouvrez un navigateur ? Le cas échéant, vous devez reconfigurer votre compte afin qu’il paraisse moins évident.

Dans certains ressorts, comme les États-Unis ou la Belgique, vous pouvez vous opposer de manière légale à toute requête de votre mot de passe. Dans d’autres ressorts, tels que le Royaume-Uni ou l’Inde, les lois locales permettent au gouvernement de requérir la divulgation. La Fondation Frontières Digitales possède des informations détaillées à la disposition de toute personne voyageant au sein des États-Unis et souhaitant protéger ses données sur ses dispositifs digitaux dans notre guide relatif à la Défense de la Confidentialité à la Frontière des États-Unis.

Veuillez noter que la destruction délibérée des preuves ou l’obstruction à une enquête peut être considérée comme un délit indépendant, dont les conséquences sont souvent graves. Dans certains cas, il sera plus facile pour le gouvernement de le prouver et de permettre des sanctions plus substantielles que celles associées au délit allégué et enquêté à l’origine.

Dernière actualisation: 
2016-01-13
Cette page a été traduite de l’anglais. La version anglaise peut contenir des informations plus récentes.
JavaScript license information