Outils du site

Menu du site


pratiquer:conseils_pratiques:mots_de_passe

Mots de passe

Conseils, méthodes et outils pour créer des mots de passe sécurisés.
(Voir aussi la page : Faut-il changer ses mots de passe fréquemment ?)

(Crédit: Pixabay sous licence libre Creative Commons CC0)

Sur le web et dans la vie courante, la plupart des gens utilisent des codes trop simples et de surcroît, communs à plusieurs comptes. Cette pratique est dangereuse. Vous pensez que j'exagère ? Le sondage micro-trottoir du journal télévisé France 2 du 23 mars 2012 est accablant :
youtube.com > JT France 2 : Des codes plein la tête

Les mauvais mots de passe

Voici une typologie des mauvais mots de passes, qui sont pourtant couramment utilisés. Cette liste provient d'une synthèse des pires mots de passes utilisés, réalisée par Google1), et d'autres sources :

  • Noms :
    • Noms propres :
      • Membre de la famille (enfant, etc.)
      • Animal de compagnie
      • Personnalité
    • Lieux :
      • Lieu de naissance
      • Lieu de vacances
    • Sports :
      • Nom d'un sport
      • Nom d'une équipe sportive
    • Mot triviaux :
      • Mots trop simples : "Password", "Secret", "admin", "chut!", etc.
      • Séries combinatoires "Abcd", "Azerty", "ACEG", "a1b2c3d4", etc.
      • Caractères adjacents répétés : "aazzrr", etc.
    • Mots des dictionnaires (noms propres et communs, abréviations, sigles) : des programmes les essaient tous un par un
  • Nombres :
    • Dates :
      • Naissance d’un membre de la famille
      • Événement important pour l’utilisateur
    • Séries : "012345", "02468", "13579", "159", "357", etc.
    • Chiffres adjacents répétés : "1111", "1115", "1159", etc.

Règles

Critères de choix d'un bon mot de passe

Objectif : retenez que le but est de créer un mot de passe qui soit "PSI". Il doit être :

  • PERSONNEL ("Stromae", "Rihanna" et "maison" ne sont pas personnels)
  • SECRET (vos prénom, nom et date de naissance ne sont pas secrets)
  • INTROUVABLE (il ne doit pas être deviné parce qu'il est trop simple ou que vous l'avez déjà utilisé)

Méthode : pendant sa création, pensez que votre mot de passe doit être "PUMA". Il doit être :

  • PROPORTIONNÉ : les critères Mélangé et Ample ci-dessous doivent être relativisés et adaptés au type de compte
  • UNIQUE : votre mot de passe ne doit pas être déjà utilisé. Il doit être exclusif et dédié au compte dont il s'agit de protéger l'accès
  • MÉLANGÉ : votre mot de passe doit tendre vers la complexité de symboles mélangés : majuscules, minuscules, chiffres, ponctuation
  • AMPLE : votre mot de passe doit tendre vers la longueur : il doit être étendu (dans l'idéal, au-moins 20 symboles2)

Notes :
Tenez compte des critères imposés par le service au moment de la création du mot de passe. La plupart du temps, ils sont partiellement indiqués : longueur minimale et types de symboles obligatoires. Mais le nombre de lettre maximum est trop rarement indiqué. Dans les pires cas – par exemple chez EDF et GDF tacitement limités à 20 symboles –, les nouveaux mots de passe trop longs semblent acceptés, tandis que seuls les premiers symboles sont mémorisés par le serveur, à l'insu de l'utilisateur.

Même si un site web l'autorise, évitez d'introduire des caractères "espace" dans les mots de passe. Cette pratique peut conduire à des erreurs de votre part (confusions si le mot de passe est écrit sur papier) ou bien à des bugs logiciels (développeurs n'ayant pas envisagé cette possibilité).

Adapter le mot de passe au type de compte

Pour estimer le degré de complexité du futur mot de passe, commencez par vous demander si le compte à protéger est susceptible de comporter des données sensibles :

  • Comptes bancaires
  • Comptes marchands liés à des opérations bancaires (FNAC, Amazon et le paiement one-clic, ebay, etc.)
  • Comptes donnant accès aux données administratives et/ou délivrant des justificatifs administratifs
  • Compte email principal (généralement utilisé comme compte de secours pour ré-initialiser les mots de passe perdus d'autres comptes)
  • Comptes donnant accès à des données numériques personnelles (selon l'appréciation de chacun)
  • Comptes donnant accès à des adresses emails de personnes de votre entourage

Quand faut-il changer de mot de passe ?

Un mot de passe doit être renouvelé plus ou moins fréquemment en tenant compte des critères suivants :

  • Contexte global d'accès au compte
    • Qualité des machines émettrices et réceptrices des mots de passe
    • Qualité du réseau local par lequel transitent les mots de passe
    • Accès visuel au clavier par autrui
  • Alertes piratages diffusées dans les médias (cf. page "Tableau de bord sécurité")
  • Nombres de personnes connaissant le mot de passe
  • Présence de logiciels malveillants

Contexte d'accès au compte

Un mot de passe doit être renouvelé à une fréquence proportionnelle aux risques de divulgation du mot de passe.

Risque de divulgation des mots de passe depuis les machines émettrices et réceptrices indépendamment de la qualité du réseau local :

Site web Ordinateur Risque de divulgation du mot de passe
Peu sécuriséTablette ou smartphone Très élevé
Très sécuriséTablette ou smartphone Élevé
Peu sécuriséWindows à jour sans mouchard ni virus Élevé
Très sécuriséWindows à jour sans mouchard ni virus Faible
Peu sécuriséGNU/Linux à jour Moyen
Très sécuriséGNU/Linux à jour Très faible

Risque de divulgation des mots de passe sur le réseau local indépendamment de la qualité des machines :

Type de réseau local Risque de divulgation du mot de passe
Réseaux publics wifi (gares, galeries marchandes, etc.) Très élevé (utilisation de VPN fortement recommandée)
Réseaux semi-publics wifi
(entreprises, hôtels, écoles, universités, bibliothèques, etc.)
Très élevé (utilisation de VPN fortement recommandée)
Réseaux semi-publics filaires d'entreprises Élevé
Réseaux privé wifi sécurisés WEP Élevé
Réseaux privé wifi sécurisés WPA Moyen (WPA2 recommandé)
Réseaux privés par courants porteurs (prises CPL) Faible si configuré après achat
Réseaux privés filaires Très Faible

Dans les contextes publics et semi-publics, si la sécurité des machines émettrices et réceptrices est élevée et que la communication utilise un canal chiffré, alors le risque de divulgation est diminué d'un cran (Très élevé → Élevé, Élevé → Moyen).

Accès visuel au clavier par autrui : l'augmentation du risque de témoin oculaire des frappes sur le clavier (vidéosurveillance, vigiles, etc.) doit conduire à l'augmentation de la fréquence de renouvellement des mots de passe.

Actualité du piratage informatique

Les médias relaient régulièrement des faits d'intrusions dans les systèmes informatiques des grandes sociétés (Orange, Google, Yahoo, Microsoft, etc.). Ces actualités ne sont pas de simples faits divers : il est important de prendre la mesure de ces informations et de modifier votre mot de passe à chaque fois qu'il y a intrusion dans un serveur informatique de l'entreprise chez qui qui vous avez un compte.

Nombres de personnes connaissant le mot de passe

Le risque de divulgation d'un mot de passe est à minima multiplié par le nombre de personnes qui en ont connaissance.
Exemple :
Si 5 personnes connaissent légitimement un mot de passe et l'on écrit chacune 1 fois sur un papier, alors le risque de divulgation est multiplié par 5. Si l'une de ces personnes, utilisent ce mot de passe sur un équipement faiblement sécurisé (tablette ou smartphone) et que de surcroît, une deuxième utilise ce mot de passe sur un PC Windows infecté de logiciels mouchards publicitaires, alors le mot de passe ne peut plus vraiment être considéré comme secret. Mais les 3 autres personnes qui ont un accès réseau sécurisé et des machines sécurisées continuent d'agir comme si le secret du mot de passe était sûr…

Présence de logiciels malveillants

Si votre PC était infecté de logiciels malveillants et qu'il est désormais propre, il est fortement recommandé de modifier tous vos mots de passe.

Danger des mots de passe par email

Les sites web qui transmettent les mot de passe par email pour confirmer une inscription, déprécient considérablement la sécurité (à fortiori si l'identifiant est inclus dans le même email).

Tout mot de passe diffusé par email (non chiffré) doit être considéré comme compromis.
Si vous ne pouvez pas contrôler l'envoi de ce mot de passe par email, alors vous devriez le changer très régulièrement…

Les exigences de la CNIL

Le texte ci-dessous est un extrait de la version du 11/10/2017 de la page "Authentification par mot de passe : les mesures de sécurité élémentaires" fournie par le site web de la CNIL sous licence libre de diffusion Creative Commons BY-ND 3.0. Les crochets […] ajoutés ci-dessous indiquent le masquage de passages qui concernent les administrateurs des serveurs informatiques et ne signifient rien pour l'internaute non informaticien.

L’authentification par mot de passe : longueur, complexité, mesures complémentaires
Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification : ainsi, si une authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composé de majuscules de minuscules, de chiffres et de caractères spéciaux. Des mesures complémentaires à la saisie d’un mot de passe (restrictions, d’accès, collecte d’autres donnée, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe, car ces mesures permettent d’assurer un niveau de sécurité équivalent au mot de passe seul.

Le tableau ci-dessous fait état des 4 cas d’authentification par mot de passe identifiés par la CNIL dans sa recommandation.

Exemple d'utilisation Longueur minimum Composition du mot de passe Mesures complémentaires
Mot de passe seul Forum, blog 12 majuscules
minuscules
chiffres
caractères spéciaux
Conseiller l'utilisateur sur un bon mot de passe
Avec restriction d'accès
(le plus répandu)
Sites de e-commerce,
compte d'entreprise,
webmail
8 Au moins 3 des 4 types suivants :
majuscules
minuscules
chiffres
caractères spéciaux
Blocage des tentatives
multiples (exemples) :
Temporisation d'accès
au compte après plusieurs échecs
Capcha
Verrouillage du compte après 10 échecs
Avec information
complémentaire
Banque en ligne 5 Chiffres et/ou lettres Blocage des tentatives multiples
+ Information complémentaire
communiquée en propre d'une
taille d'au moins 7 caractères
(ex : identifiant dédié au service)
ou
Identification du terminal
de l’usager (ex : adresse IP,
adresse MAC…)
Avec matériel détenu
par la personne
Carte bancaire ou téléphone 4 Chiffres Matériel détenu en propre
par la personne
(ex : carte SIM, carte bancaire, certificat)
+
Blocage au bout de 3 tentatives échouées

Dans tous les cas,
le mot de passe ne doit pas être communiqué à l'utilisateur en clair par courrier électronique.

Ces exigences sont des règles minimales. Le contrôle d’accès peut devoir reposer sur des règles plus robustes selon les risques auxquels le système est exposé.

La conservation des mots de passe
Le mot de passe ne doit jamais être stocké en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non-réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.

[…]

Le renouvellement du mot de passe
Renouvellement périodique […]
La personne concernée doit être en mesure de changer elle-même son mot de passe. Dans ce cas, les règles afférentes à la création de mots de passe s’appliquent.

Renouvellement sur demande
À la demande de la personne concernée, par exemple en cas d’oubli, le responsable de traitement met en œuvre une procédure de renouvellement du mot de passe.

Si ce renouvellement nécessite l’intervention d’un administrateur, un mot de passe temporaire est attribué à la personne concernée, le changement du mot de passe attribué temporairement lui est imposé lors de sa première connexion.

Si ce renouvellement intervient de manière automatique : le mot de passe ne doit pas être transmis en clair. L’utilisateur doit être redirigé vers une interface dont la validité ne doit pas excéder 24 heures, lui permettant de saisir un nouveau mot de passe, et ne permettre qu’un seul renouvellement.

Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale…) :
[…] ;
afin de prévenir les tentatives d’usurpation s’appuyant sur le changement de ces éléments, la personne doit être immédiatement informée de leur changement.

Texte officiel

Outils pour mots de passe

Création de mot de passe

Note : le site microsoft.com propose une page "Vérifiez votre mot de passe : est-il fort ?" sans la possibilité d'en générer (en javascript : page web enregistrable et exécutable depuis le disque dur).

Gestion des mots de passe

Le carnet en papier est un outil encore souvent utilisé, pratique, mais peu performant en terme de rapidité et de stockage de symboles de ponctuation… Compte-tenu des enjeux sécuritaires actuels, ce type d'outil ne répond plus aux exigences de complexité des mots de passe.

Les autres outils possible sont constitués par les logiciels gestionnaires de mots de passe, parfois appelés "coffres forts" ou bien "trousseaux". Les grands navigateurs internet du marché ainsi que les principaux environnement de bureau GNU/Linux incluent nativement des logiciels de gestion des mots de passe, simples d'utilisation. D'autres programmes proposent des fonctions similaires et plus sophistiquées qui incluent souvent un générateur de mot de passes. Ces différents programmes sont créés par des grand éditeurs anti-virus, par des sociétés indépendantes et par des communautés de logiciel libre.

Notez qu'un nombre croissant de ces programmes incitent à sauvegarder nos mots de passe sur un serveur qui ne nous appartient pas, situé dans un endroit indéterminé de la planète (Cloud computing). Pour des raisons d'éthique, de confidentialité et de sécurité, je déconseille fortement ces logiciels. Des serveurs informatiques réputés sécurisés sont pénétrés frauduleusement tous les jours, autant par des groupes mafieux que par des services de renseignement d'états, et l'on ne compte plus les cas d'identifiants, mots de passe données personnelles disséminées dans la nature (cf. articles en bas de page). Si vous souhaitez vraiment prendre le risque de stocker vos mots de passe sur internet, je vous conseille le service Firefox Sync grâce au navigateur sécurisé Mozilla Firefox (logiciel libre), qui permet de partager ses paramètres entre plusieurs machines et profils Firefox à la fois.

Profil utilisateur familierVoici quelques gestionnaires de mots de passe :

Références

Presse

Règles de création des mots de passe

Gestionnaires de mots de passe

Les fuites de données massives par compromission de serveurs étant extrêmement fréquentes, seuls les articles les plus importants sont répertoriés ci-dessous.

Méthodes de cassage de mots de passe

Sites web

1)
Article "Google révèle les pires mots de passe utilisés". Cécile Bolesse, 01net.com, 09/08/2013.
2)
"Beaucoup de personnes que je connais utilisent des mots de passe qui ont entre 20 et 50 caractères. C'est un bon conseil qui rend le piratage peu probable, même dans l'éventualité d'une divulgation du hash du mot de passe." Costin Raiu – Directeur, Global Research & Analysis Team du Kaspersky Lab – dans son article du 21/09/2012 sur securelist.com : "Hotmail: Your Password Was Too Long; We Fixed it For You"
pratiquer/conseils_pratiques/mots_de_passe.txt · Dernière modification: 02/05/2019 00:42 par Médéric