Un utilisateur lambda derrière son écran :
– C’était quoi déjà mon mot de passe…
*se souvient de son premier animal de compagnie*
*écrit : frimousse*
– et ma date de naissance…
*réécrit avec confiance : frimousse84*
– non c’est pas ça il fallait une majuscule…
*commençant à perdre patience : Frimousse84*
– et un caractère spécial…
*frappant frénétiquement les touches du clavier : Frimou$$e84*
– un autre chiffre…
*écrit sans plus aucun espoir : Frim0u$$e84*
*clique sur “mot de passe oublié”*
Une scène qui vous rappelle sûrement quelque chose.
Comme l’écrit l’auteur Randall Munroe dans son webcomic xkcd :
« APRÈS 20 ANS D’EFFORT, NOUS AVONS INCITÉ TOUT LE MONDE À CHOISIR DES MOTS DE PASSE DIFFICILES À RETENIR POUR DES HUMAINS, MAIS FACILES À DEVINER POUR DES ORDINATEURS. »
Car malgré les apparences Frim0u$$3 (ou Tr0ub4dor&3 dans la BD) est loin d’être un mot de passe sûr.
Explications :
Sans rentrer dans les détails complexes du cryptage, il sera facile de cracker un mot de passe dont les lettres ont été changées pour des chiffres ou des caractères spéciaux ou encore avec des ordres de lettres inversés car ce sont des comportements attendus.
Pour autant il sera difficile pour un utilisateur lambda de le retenir.
Alors comment choisir un mot de passe facile à retenir et difficile à deviner ?
Méthode 1 :
Choisissez 4 mots aléatoires que vous pouvez facilement visualiser. Si nous restons sur l’exemple de votre lapin Frimousse, prenez une photo que vous aurez du mal à oublier :
Et faites en un mot de passe du type lapintrumpcelebrationbalcon.
Pour donner un ordre d’idée, cela sera environ 65 000 fois plus difficile à déchiffrer qu’un mot de passe issu d’un nom courant dont les caractères auraient été modifiés.
Bon, il restera toujours le problème des sites qui vous demanderont d’ajouter une majucule, un chiffre, un caractère spécial… et vous ne souhaitez peut-être pas visualiser Monsieur Trump à chaque saisie de mot de passe.
Essayons donc une deuxième astuce.
Méthode 2 :
Imaginez une phrase facile à retenir et qui vous est personnelle, par exemple : « J’ai payé ma première voiture, une Citroën Saxo, 3 000€ ». Transformons là en utilisant les premières lettres de chaque mot et en arrangeant quelque peu le texte : « Jpm1v,1CS,3k€ » Et vous voilà avec un mot de passe sécurisé, ne demandant qu’une phrase à retenir.
Si la mémoire n’est vraiment pas votre fort, il reste toujours des logiciels de génération et de gestion de mots de passe qui vous faciliteront la vie comme nous en parlions dans un précédent article. Dans tous les cas, il est aujourd’hui indispensable de se doter d’un mot de passe impossible à déchiffrer et dans la mesure du possible différent d’un site à un autre.
Pour aller plus loin :
Un mot de passe sécurisé est-il suffisant ?
Malheureusement non. Il convient d’adopter d’autres mesures pour garantir la sécurité de vos données, à savoir :
- ne divulguez jamais votre mot de passe (par mail, post-it qui traînent etc.)
- préférez renseigner directement un site dans la barre d’adresse plutôt qu’en cliquant sur un lien reçu par mail ou messagerie
- vérifiez que le site sur lequel vous naviguez porte bien la mention HTTPS avec un certificat valide (dans la barre d’adresse)
- vérifiez que vous n’êtes pas infecté par un virus qui pourrait récupérer votre saisie clavier en vous dotant d’un antivirus / antimalware.
UNE QUESTION ?