-
-
-
-
-
- Tools
- Dev
- Bash
- Recherche web
-
Conseils, méthodes et outils pour créer des mots de passe sécurisés.
(Voir aussi la page : Faut-il changer ses mots de passe fréquemment ?)
Sur le web et dans la vie courante, la plupart des gens utilisent des codes trop simples et de surcroît, communs à plusieurs comptes. Cette pratique est dangereuse. Vous pensez que j'exagère ? Le sondage micro-trottoir du journal télévisé France 2 du 23 mars 2012 est accablant :
youtube.com > JT France 2 : Des codes plein la tête
Voici une typologie des mauvais mots de passes, qui sont pourtant couramment utilisés. Cette liste provient d'une synthèse des pires mots de passes utilisés, réalisée par Google1), et d'autres sources :
Objectif : retenez que le but est de créer un mot de passe qui soit "PSI". Il doit être :
Méthode : pendant sa création, pensez que votre mot de passe doit être "PUMA". Il doit être :
Notes :
Tenez compte des critères imposés par le service au moment de la création du mot de passe. La plupart du temps, ils sont partiellement indiqués : longueur minimale et types de symboles obligatoires. Mais le nombre de lettre maximum est trop rarement indiqué. Dans les pires cas – par exemple chez EDF et GDF tacitement limités à 20 symboles –, les nouveaux mots de passe trop longs semblent acceptés, tandis que seuls les premiers symboles sont mémorisés par le serveur, à l'insu de l'utilisateur.
Même si un site web l'autorise, évitez d'introduire des caractères "espace" dans les mots de passe. Cette pratique peut conduire à des erreurs de votre part (confusions si le mot de passe est écrit sur papier) ou bien à des bugs logiciels (développeurs n'ayant pas envisagé cette possibilité).
Pour estimer le degré de complexité du futur mot de passe, commencez par vous demander si le compte à protéger est susceptible de comporter des données sensibles :
Un mot de passe doit être renouvelé plus ou moins fréquemment en tenant compte des critères suivants :
Un mot de passe doit être renouvelé à une fréquence proportionnelle aux risques de divulgation du mot de passe.
Risque de divulgation des mots de passe depuis les machines émettrices et réceptrices indépendamment de la qualité du réseau local :
Site web | Ordinateur | Risque de divulgation du mot de passe |
---|---|---|
Peu sécurisé | Tablette ou smartphone | Très élevé |
Très sécurisé | Tablette ou smartphone | Élevé |
Peu sécurisé | Windows à jour sans mouchard ni virus | Élevé |
Très sécurisé | Windows à jour sans mouchard ni virus | Faible |
Peu sécurisé | GNU/Linux à jour | Moyen |
Très sécurisé | GNU/Linux à jour | Très faible |
Risque de divulgation des mots de passe sur le réseau local indépendamment de la qualité des machines :
Type de réseau local | Risque de divulgation du mot de passe |
---|---|
Réseaux publics wifi (gares, galeries marchandes, etc.) | Très élevé (utilisation de VPN fortement recommandée) |
Réseaux semi-publics wifi (entreprises, hôtels, écoles, universités, bibliothèques, etc.) | Très élevé (utilisation de VPN fortement recommandée) |
Réseaux semi-publics filaires d'entreprises | Élevé |
Réseaux privé wifi sécurisés WEP | Élevé |
Réseaux privé wifi sécurisés WPA | Moyen (WPA2 recommandé) |
Réseaux privés par courants porteurs (prises CPL) | Faible si configuré après achat |
Réseaux privés filaires | Très Faible |
Dans les contextes publics et semi-publics, si la sécurité des machines émettrices et réceptrices est élevée et que la communication utilise un canal chiffré, alors le risque de divulgation est diminué d'un cran (Très élevé → Élevé, Élevé → Moyen).
Accès visuel au clavier par autrui : l'augmentation du risque de témoin oculaire des frappes sur le clavier (vidéosurveillance, vigiles, etc.) doit conduire à l'augmentation de la fréquence de renouvellement des mots de passe.
Les médias relaient régulièrement des faits d'intrusions dans les systèmes informatiques des grandes sociétés (Orange, Google, Yahoo, Microsoft, etc.). Ces actualités ne sont pas de simples faits divers : il est important de prendre la mesure de ces informations et de modifier votre mot de passe à chaque fois qu'il y a intrusion dans un serveur informatique de l'entreprise chez qui qui vous avez un compte.
Le risque de divulgation d'un mot de passe est à minima multiplié par le nombre de personnes qui en ont connaissance.
Exemple :
Si 5 personnes connaissent légitimement un mot de passe et l'on écrit chacune 1 fois sur un papier, alors le risque de divulgation est multiplié par 5. Si l'une de ces personnes, utilisent ce mot de passe sur un équipement faiblement sécurisé (tablette ou smartphone) et que de surcroît, une deuxième utilise ce mot de passe sur un PC Windows infecté de logiciels mouchards publicitaires, alors le mot de passe ne peut plus vraiment être considéré comme secret. Mais les 3 autres personnes qui ont un accès réseau sécurisé et des machines sécurisées continuent d'agir comme si le secret du mot de passe était sûr…
Si votre PC était infecté de logiciels malveillants et qu'il est désormais propre, il est fortement recommandé de modifier tous vos mots de passe.
Les sites web qui transmettent les mot de passe par email pour confirmer une inscription, déprécient considérablement la sécurité (à fortiori si l'identifiant est inclus dans le même email).
Tout mot de passe diffusé par email (non chiffré) doit être considéré comme compromis.
Si vous ne pouvez pas contrôler l'envoi de ce mot de passe par email, alors vous devriez le changer très régulièrement…
Le texte ci-dessous est un extrait de la version du 11/10/2017 de la page "Authentification par mot de passe : les mesures de sécurité élémentaires" fournie par le site web de la CNIL sous licence libre de diffusion Creative Commons BY-ND 3.0. Les crochets […] ajoutés ci-dessous indiquent le masquage de passages qui concernent les administrateurs des serveurs informatiques et ne signifient rien pour l'internaute non informaticien.
L’authentification par mot de passe : longueur, complexité, mesures complémentaires
Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification : ainsi, si une authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composé de majuscules de minuscules, de chiffres et de caractères spéciaux. Des mesures complémentaires à la saisie d’un mot de passe (restrictions, d’accès, collecte d’autres donnée, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe, car ces mesures permettent d’assurer un niveau de sécurité équivalent au mot de passe seul.
Le tableau ci-dessous fait état des 4 cas d’authentification par mot de passe identifiés par la CNIL dans sa recommandation.
Exemple d'utilisation | Longueur minimum | Composition du mot de passe | Mesures complémentaires | |
---|---|---|---|---|
Mot de passe seul | Forum, blog | 12 | majuscules minuscules chiffres caractères spéciaux | Conseiller l'utilisateur sur un bon mot de passe |
Avec restriction d'accès (le plus répandu) | Sites de e-commerce, compte d'entreprise, webmail | 8 | Au moins 3 des 4 types suivants : majuscules minuscules chiffres caractères spéciaux | Blocage des tentatives multiples (exemples) : Temporisation d'accès au compte après plusieurs échecs Capcha Verrouillage du compte après 10 échecs |
Avec information complémentaire | Banque en ligne | 5 | Chiffres et/ou lettres | Blocage des tentatives multiples + Information complémentaire communiquée en propre d'une taille d'au moins 7 caractères (ex : identifiant dédié au service) ou Identification du terminal de l’usager (ex : adresse IP, adresse MAC…) |
Avec matériel détenu par la personne | Carte bancaire ou téléphone | 4 | Chiffres | Matériel détenu en propre par la personne (ex : carte SIM, carte bancaire, certificat) + Blocage au bout de 3 tentatives échouées |
Dans tous les cas,
le mot de passe ne doit pas être communiqué à l'utilisateur en clair par courrier électronique.
Ces exigences sont des règles minimales. Le contrôle d’accès peut devoir reposer sur des règles plus robustes selon les risques auxquels le système est exposé.
La conservation des mots de passe
Le mot de passe ne doit jamais être stocké en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non-réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.
[…]
Le renouvellement du mot de passe
Renouvellement périodique
[…]
La personne concernée doit être en mesure de changer elle-même son mot de passe. Dans ce cas, les règles afférentes à la création de mots de passe s’appliquent.
Renouvellement sur demande
À la demande de la personne concernée, par exemple en cas d’oubli, le responsable de traitement met en œuvre une procédure de renouvellement du mot de passe.
Si ce renouvellement nécessite l’intervention d’un administrateur, un mot de passe temporaire est attribué à la personne concernée, le changement du mot de passe attribué temporairement lui est imposé lors de sa première connexion.
Si ce renouvellement intervient de manière automatique : le mot de passe ne doit pas être transmis en clair. L’utilisateur doit être redirigé vers une interface dont la validité ne doit pas excéder 24 heures, lui permettant de saisir un nouveau mot de passe, et ne permettre qu’un seul renouvellement.
Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale…) :
[…] ;
afin de prévenir les tentatives d’usurpation s’appuyant sur le changement de ces éléments, la personne doit être immédiatement informée de leur changement.
Texte officiel
Jsj,iev,maâbn,Lvn'aplnda.
és1sikeléomvivent?
(traducteur en ligne français -> SMS)Note : le site microsoft.com propose une page "Vérifiez votre mot de passe : est-il fort ?" sans la possibilité d'en générer (en javascript : page web enregistrable et exécutable depuis le disque dur).
Le carnet en papier est un outil encore souvent utilisé, pratique, mais peu performant en terme de rapidité et de stockage de symboles de ponctuation… Compte-tenu des enjeux sécuritaires actuels, ce type d'outil ne répond plus aux exigences de complexité des mots de passe.
Les autres outils possible sont constitués par les logiciels gestionnaires de mots de passe, parfois appelés "coffres forts" ou bien "trousseaux". Les grands navigateurs internet du marché ainsi que les principaux environnement de bureau GNU/Linux incluent nativement des logiciels de gestion des mots de passe, simples d'utilisation. D'autres programmes proposent des fonctions similaires et plus sophistiquées qui incluent souvent un générateur de mot de passes. Ces différents programmes sont créés par des grand éditeurs anti-virus, par des sociétés indépendantes et par des communautés de logiciel libre.
Notez qu'un nombre croissant de ces programmes incitent à sauvegarder nos mots de passe sur un serveur qui ne nous appartient pas, situé dans un endroit indéterminé de la planète (Cloud computing). Pour des raisons d'éthique, de confidentialité et de sécurité, je déconseille fortement ces logiciels. Des serveurs informatiques réputés sécurisés sont pénétrés frauduleusement tous les jours, autant par des groupes mafieux que par des services de renseignement d'états, et l'on ne compte plus les cas d'identifiants, mots de passe données personnelles disséminées dans la nature (cf. articles en bas de page). Si vous souhaitez vraiment prendre le risque de stocker vos mots de passe sur internet, je vous conseille le service Firefox Sync grâce au navigateur sécurisé Mozilla Firefox (logiciel libre), qui permet de partager ses paramètres entre plusieurs machines et profils Firefox à la fois.
Voici quelques gestionnaires de mots de passe :
Les fuites de données massives par compromission de serveurs étant extrêmement fréquentes, seuls les articles les plus importants sont répertoriés ci-dessous.