Blog GlobalSign

12 déc. 2016

Comment créer un mot de passe fort

Aujourd’hui, celui qui souhaite pirater votre mot de passe ne lorgne plus par-dessus votre épaule pendant que vous le tapez. Les hackers utilisent des logiciels sophistiqués pour percer à jour votre mot de passe et votre nom d’utilisateur. Suivant la taille et le nombre de combinaisons possibles, l’opération peut prendre moins d’une minute.

Pour le code à 4 chiffres de votre téléphone ou de votre carte bancaire, on a uniquement 10 valeurs possibles par chiffre — soit 10 000 combinaisons pour ce mot de passe. Trop compliqué pour être deviné par un être humain, mais pas pour un logiciel de piratage qui effectue la tâche en quelques millisecondes.

Cela vous inquiète ?

Avant de faire vos bagages et de partir vivre coupé de tout réseau, découvrez nos conseils pour sécuriser vos mots de passe. Et si vous le pouvez, faites passer ces conseils à vos collaborateurs pour les sensibiliser au problème.

Combinez différents types de caractères et privilégiez les mots de passe longs

Étudions la question du point de vue d’un pirate informatique. Imaginons que je sois un hacker. Vous, vous êtes employé dans une entreprise où le personnel n’a jamais été formé ni informé sur le bon usage des mots de passe. À vos débuts, on vous a indiqué vos comptes et vous avez créé des mots de passe pour tous les systèmes auxquels vous avez accès. Il est fort probable qu’une grande majorité, si ce n’est la totalité, de ces mots de passe soient identiques. Il y a aussi de fortes chances que votre mot de passe comprenne de 6 à 8 caractères, histoire de le mémoriser plus facilement.

Prenons quelques statistiques de Kevin Fogarty publiées dans IT World. Pour un mot de passe de six caractères (lettres et chiffres en minuscules et sans symboles), il existe 2,25 milliards de combinaisons.

  • Avec une application Web qui effectue 1 000 tentatives par seconde sur le site, il me faut 3,7 semaines pour pirater ce mot de passe.
  • Hors ligne, si j’utilisais des serveurs ou ordinateurs de bureau ultra puissants, je pourrais effectuer 100 milliards de tentatives à la seconde, et je réussirais à deviner et pirater votre mot de passe en 0,00224 secondes.
  • En poussant un peu plus loin, si j’utilisais plusieurs clusters pour effectuer des calculs en parallèle, je pourrais tester 100 000 milliards de combinaisons à la seconde pour essayer de deviner votre mot de passe, et j’y arriverais en 0,0000224 secondes.

Mais si vous ajoutez un symbole et que vous allongez votre mot de passe jusqu’à 10 caractères, là, vous me compliqueriez fortement la tâche.

  • Avec une appli Web, il me faudrait 54,46 millions de siècles.
  • Hors connexion avec des serveurs ultra puissants : 54,46 ans.
  • Hors connexion avec des clusters multi-processeurs parallèles : 2,83 semaines.

Si j’étais extrêmement déterminé, je pourrais certes gagner quelques semaines, mais je ne le ferais que si j’avais l’assurance que ce mot de passe protège une fortune colossale. Autrement, à quoi bon ? J’ai autre chose à faire dans la vie.

Utilisez un mot de passe unique pour chaque compte

Cela peut sembler évident, mais vous seriez surpris du nombre de personnes qui ignorent ce conseil (plus de 80 % réutilisent le même mot de passe plusieurs fois, d’après une récente étude). Pour pirater votre mot de passe, j’essaierais de me connecter aux principaux services en ligne auxquels je vous soupçonne d’être inscrit. Je ne me contenterais pas d’accéder à vos e-mails. J’exploiterais vos e-mails pour identifier les autres services auxquels vous êtes inscrit et je tenterais de m’y connecter à l’aide de ce mot de passe.

Qui sait, je trouverai peut-être un moyen de m’introduire dans votre messagerie professionnelle puis de remonter jusqu’au système interne de suivi des données financières des clients. Une mine d’or.

Si vous avez du mal à vous souvenir de tous vos mots de passe, ce que je peux aisément concevoir — car vous n’êtes pas Sheldon, dans la série The Big Bang Theory —, utilisez un gestionnaire de mots de passe. Si vous dirigez une entreprise, intégrez le gestionnaire de mots de passe à votre système interne. Les équipes peuvent stocker et partager leurs mots de passe au sein d’un même département ou avec d’autres services.

Techradar a publié une liste des meilleurs gestionnaires de mots de passe en 2016. LastPass est le gestionnaire de mots de passe n°1 d’après Techradar ; il comprend même un générateur de mots de passe pour vous aider à créer des mots de passe plus sûrs.

N’utilisez pas de données personnelles pour vos mots de passe

Je suppose qu’il est plus pratique et facile de créer un mot de passe à partir d’informations simples à mémoriser comme votre anniversaire ou l’anniversaire d’une de vos connaissances, le nom de votre rue, votre nom ou le nom d’un membre de la famille, voire le nom d’un animal de compagnie.

En faisant passer le côté pratique devant la sécurité, vous me simplifiez considérablement la vie ! Vous vous souvenez du logiciel de piratage de mots de passe dont je vous parlais plus haut ? Beaucoup de logiciels de ce type intègrent une fonction permettant de renseigner des données personnelles qui vous concernent... Et naturellement, le logiciel exploite ces données lorsqu’il tente de deviner votre mot de passe.

Du pain béni pour moi car je peux percer vos mots de passe longs encore plus rapidement que s’ils étaient générés de manière totalement aléatoire.

Utilisez l’authentification à deux facteurs

Si vous utilisiez l’authentification à deux facteurs, j’aurais deux moyens de pirater votre mot de passe.

Pour ceux qui l’ignorent, l’authentification à deux facteurs consiste à ajouter un facteur pour vérifier votre identité avant de vous autoriser à vous connecter. Un service pourrait par exemple vous demander votre mot de passe qu’il associerait à votre empreinte digitale, à un message envoyé sur votre téléphone ou à un code généré par une clé USB cryptographique ou une carte à puce. L’authentification en deux étapes implique, comme son nom l’indique, une seconde étape (et donc un second mot de passe).

Certains des meilleurs outils de piratage de mots de passe possèdent des fonctions qui permettent également de pirater la seconde étape, à supposer que celle-ci soit également un mot de passe, et pas un facteur supplémentaire.

Mais l’authentification à deux facteurs n’est pas une cause perdue. Si vous l’associez à un mot de passe fort, j’aurais un mal épouvantable à le percer à jour. Et si votre mot de passe devient trop difficile à pirater, je m’en prendrai à une autre cible plus facile.

Si de nombreux services et applications autorisent l’ajout d’une authentification à deux facteurs dans les paramètres, ce n’est pas le cas de tous. Si j’agissais pour le bien de la société, ce qui n’est pas mon cas puisque je suis un hacker, j’envisagerais de contacter ces services pour leur indiquer comment faire pour protéger réellement leurs clients, notamment par le biais d’un second facteur d’authentification.

Si vous êtes une entreprise, vous pouvez mettre en place un second facteur applicable à tous les employés qui accèdent aux systèmes abritant les données les plus confidentielles ou sensibles. Commencez par effectuer un audit de l’ensemble de vos données et systèmes, et des personnes qui y ont accès. Vous pourrez ainsi définir le périmètre du projet et choisir le meilleur prestataire pour vous accompagner dans votre démarche.

Attendez encore un peu avant de quitter le monde connecté...

Les hackers sont rarement aussi pointus que Mr Robot, le héros éponyme de la série. La plupart du temps, ces pirates des temps modernes sont à la recherche de gros volumes de données à revendre ou se bornent à tester la résistance des systèmes pour y détecter d’éventuelles vulnérabilités à exploiter. Mais, face à plus fort qu’eux, ils jettent l’éponge.

L’arsenal à mettre place face aux cyberméchants s’articule autour de trois outils : les mots de passe forts, les systèmes de gestion des mots de passe et l’authentification à deux facteurs.

Partager ce blog