Comment protéger ses informations personnelles avec un mot de passe ?

Certains sites web vous demandent un mot de passe pour protéger vos informations personnelles: sites financiers ou marchands, comptes emails, etc. Ce mot de passe est associé à un compte ou à une adresse email.

Le mot de passe est la clef de voûte de votre sécurité.

Si vous voulez augmenter la sécurité de vos mots de passe, vous trouverez ci-dessous les conseils sur ce qu’il ne faut pas faire et ce qu’il est préférable de faire. Les explications détaillées sont présentées avec les outils.

Ce qu’il ne faut pas faire

  • Connaître ses mots de passe ou choisir des mots de passe faciles à se rappeler,
  • Choisir le même mot de passe pour tous les sites,
  • Utiliser une série de mots de passe identiques; chaque mot de passe est associé à des sites de niveaux de confidentialités similaires,
  • Utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques,
  • Stocker ses mots de passe dans une feuille Excel protégée elle-même par un mot de passe.

Ce qu’il faut faire

  • Ne pas connaître ses mots de passe (cf. plus bas),
  • Avoir un mot de passe généré aléatoirement,
  • Générer aléatoirement un mot de passe à partir d’une combinaison de lettres MAJUSCULES, minuscules, de chiffres et de symboles (par exemple: % $ ! etc.), si c’est autorisé par le site web. Les caractères spéciaux doivent se trouver aussi au milieu du mot de passe et pas seulement au début ou à la fin du mot de passe,
  • Quand c’est possible, avoir un mot de passe d’au moins 28 caractères,
  • Avoir un mot de passe différent par site web,
  • Stocker tous ces mots de passe dans un gestionnaire de mots de passe. Le gestionnaire de mots de passe est une sorte de coffre-fort logiciel.

Outils gratuits

Plus un mot de passe est long et plus il est difficile de s’en souvenir avec exactitude. Pourtant un mot de passe long est aussi plus difficile à percer. Actuellement, il est estimé qu’un mot de passe complexe et aléatoire de 64 caractères résisterait aux attaques de force brute menées par les organismes gouvernementaux.

Dans la pratique, les sites web acceptent rarement d’aussi long mots de passe. Ils limitent souvent à 20 caractères et parfois moins, la longueur des mots de passe. Toutefois, vous avez tout intérêt à utiliser des mots de passe de 28 caractères minimum quand c’est possible. Attention de ne pas prendre trop à la lettre le fait d’avoir un mot de passe de 28 caractères. Une longueur de 27, 30, 31 ou 43 fait aussi l’affaire.

Les outils présentés ci-dessous, vont vous permettre de mettre en application le principe d’avoir des mots de passe longs, complexes et aléatoires. Ils vous permettent même d’utiliser vos mots de passe sans jamais les connaître !

Gestionnaire de mots de passe

Il s’agit d’utilitaires de base de données de mots de passe. Les utilisateurs peuvent conserver leurs mots de passe cryptés sur leurs ordinateurs. Une seule combinaison du coffre les déverrouille tous.

Dans la vraie vie, il n’est pas possible de se rappeler tous les mots de passe: connexion au réseau Windows, compte e-mail, compte FTP de votre site web, etc.

En outre, vous devez utiliser un mot de passe différent pour chaque compte. Si vous utilisez un seul mot de passe sur tous les sites, ou sur une certaine catégorie de sites, il suffit qu’un cybercriminel vole le mot de passe sur un site peu protégé pour se connecter sur d’autres sites comme celui que vous utilisez pour gérer vos emails ou votre compte bancaire.

Stocker ses mots de passe dans un document Excel, ou Word, protégé lui-même n’est pas suffisant non plus. Bien que Microsoft ait largement renforcé la sécurité des documents dans les nouvelles versions (Office 2007 et surtout Office 2010 / 2014), ce n’est pas le cas des versions anciennes (2003 et avant) qui restent facilement « crackables ».

Les gestionnaires de mot de passe vous aident à gérer vos mots de passe de manière sécurisée. Vous pouvez mettre tous vos mots de passe dans une base de données, qui est verrouillée avec une clé maître et / ou un fichier clé et / ou votre compte Windows. Il suffit donc de se rappeler un mot de passe principal et / ou de sélectionner le fichier clé pour déverrouiller la base de données avec les mots de passe cryptés.

KeePass Password Safe
KeePass est certifié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Password Safe
La communauté autour de Password Safe est aussi très active. Password Safe affiche peu d’informations à l’écran, ce qui est positif.

L’avantage d’un gestionnaire de mot de passe est de pouvoir les générer automatiquement. Il est aussi possible de copier-coller le mot de passe, ainsi que l’identifiant du compte, l’URL et d’autres informations. De cette manière, vous n’êtes pas obligé de connaître votre mot de passe.

Démonstration avec KeePass

keepass-creation-compte Une entrée est créée dans Keepass pour stocker le mot de passe du compte email. Un mot de passe est généré automatiquement.

keepass-generation-mot-de-passe Un nouveau mot de passe peut être généré. Dans Keepass, la complexité est exprimée en bits. Plus le nombre de bits est grand, plus la complexité est importante. Par défaut, le mot de passe n’apparaît jamais.

keepass-nouveau-mot-de-passe Un nouveau mot de passe a été généré. Par défaut, il n’apparaît pas en clair. Pour connaître sa valeur il faut cliquer sur les 3 points en face de Password.

keepass-copie-mot-de-passe Grâce à un copier-coller, il est possible de copier le mot de passe sans le connaître.

Il est important de ne pas connaître le mot de passe, car il n’est pas rare d’entendre un utilisateur le dire, au moins partiellement, pendant qu’il le tape.

Il n’est pas toujours possible de coller un mot de passe. Certains site, comme par exemple PayPal à la création d’un compte, n’autorise pas la copie dans la zone de mot de passe. D’autres sites génèrent un clavier numérique aléatoire, comme par exemple le site de la Caisse d’épargne ou celui de Boursorama lors de l’accès à son compte.

Certains sites interdisent aussi l’utilisation de caractères spéciaux et même parfois des lettres accentuées (!). Toutefois, grâce aux paramètres et aux options des gestionnaires de mot de passe, il est possible de s’adapter à chaque exigence particulière des sites web.

Démonstration avec Password Safe

password-safe-entree Une nouvelle entrée pour stocker un compte et son mot de passe a été créée dans Password Safe.

Modification de la stratégie de mot de passe dans Password Safe Il est possible de s’adapter à une stratégie de mot de passe propre à un site en jouant sur ces critères.

Vérification de la complexité des mots de passe

Les études qui portent sur l’analyse des mots de passe utilisés par les internautes révèlent l’utilisation intensive de mots du dictionnaire. Ce qui est une erreur car les cybercriminels vont pouvoir faire des attaques sur les mots de passe en utilisant des dictionnaires gigantesques. Outre les mots des dictionnaires usuels, ces dictionnaires contiennent aussi des noms propres, des noms figurés, des prénoms, des personnages de dessins animés, des jurons, etc.

Cela est vrai aussi pour les altérations de mots du dictionnaire:

  • mots au pluriel,
  • lettres inversées (totalement ou en partie),
  • rajout d’un ou plusieurs chiffres ou caractères spéciaux ($ % ! …) en début ou en fin de mot de passe,
  • abréviations habituelles (Sté pour Société, h pour heure, …)
  • conversions connues (€ pour e, @ pour a, 2 pour de, …)

Idem pour l’utilisation de mots d’une langue étrangère à la vôtre: les cybercriminels sont très ouverts au monde…

La complexité d’un mot de passe dépend de l’usage ou pas de mots du dictionnaire, mais aussi d’autres critères. Par exemple, l’utilisation des lettres adjacentes du clavier est connue aussi. Tout comme la répétition (aaaaaaa) ou la séquence (abcd, 1234, …).

Le mot de passe ne doit surtout pas utiliser des informations personnelles ou de vos proches ou même de vos animaux domestiques:

  • Prénom, surnom, …
  • Date de naissance, d’anniversaire, …
  • Numéro de sécurité sociale, de passeport, de permis, ..
  • etc.

Tous les sites n’offrent pas la possibilité de vérifier la complexité des mots de passe. Les outils de vérification qui existent permettent d’étalonner la complexité mais ils ne garantissent pas la sécurité absolue.

Password Checker

Contrairement à une idée fausse, Microsoft est très soucieux de la sécurité de ses produits. L’outil Password Checker permet de tester la complexité d’un mot de passe en tenant compte de plusieurs critères: longueur globale du mot de passe, mélange de caractères aléatoires, existence du mot dans un dictionnaire, etc.

Si vous ne connaissez pas la réputation de l’éditeur du site web, soyez prudent aussi vis à vis des outils de vérification de mots de passe. Il serait facile pour des cybercriminels de se faire passer pour une honnête organisation en vous proposant de vérifier la solidité de votre mot de passe. Une fois que vous aurez trouvé un mot de passe fort, il pourrait vous proposer un cadeau en échange d’un email et (pourquoi pas !) du nom de votre site web préféré. Restez attentif !

Algorithme de création de mots de passe

Pour les raisons qui viennent d’être évoquées, il ne faut pas utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques.

Cependant, il est parfois impossible de faire autrement. Notamment, lorsque vous utilisez un logiciel de cryptage de données (ce qui sera vu dans un autre billet) ou un gestionnaire de mots de passe (vu plus haut).

En effet, les mots de passe du gestionnaire de mots de passe sont cryptés. Leur décryptage nécessite de déverrouiller la base grâce à un mot de passe que vous devez savoir par cœur.

Il est vrai que les logiciels de cryptage de données ou les gestionnaires de mots de passe vous offrent la possibilité de crypter avec un fichier, par exemple une photo, et donc sans la nécessité d’un mot de passe.

Cependant, il est préférable d’avoir un mot de passe en plus du fichier. Ce mot de passe doit avoir les caractéristiques suivantes:

  • Il ne doit être connu que de vous-même,
  • Vous devez vous en rappeler ou le retrouver aisément,
  • Il doit être très difficile de le découvrir,
  • Il doit être très difficile de le déduire même en vous connaissant bien.

La tâche n’est pas aisée. Aussi, pour vous aider, vous pouvez utiliser la technique décrite ci-dessous. Il est important comprendre que la description d’un procédé automatique de calcul de mot de passe est facilement programmable par un cybercriminel.

Si vous faites preuve de la prudence la plus élémentaire

Sélectionnez une phrase tirée d’un texte que vous connaissez par cœur: chanson, poésie, proverbe, autre. La phrase doit faire au moins une trentaine de caractères, espaces compris. Ne prenez pas une phrase que vous répétez souvent !

Par exemple: Pour le meilleur et pour le pire !

Si vous êtes conscient des dangers potentiels d’internet

Supprimez les espaces entre les mots :
Pourlemeilleuretpourlepire!

Si vous savez qu’il existe des cyber-criminels

Insérer après le second ou le troisième mot, un ou plusieurs chiffres. Par exemple, ce chiffre peut représenter le nombre de mots que vous avez « sautés » ou le nombre de lettres précédentes:
Pourlemeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés

Les spécialistes du crackage du mot de passe savent que les utilisateurs les plus avertis ont l’habitude de mettre une majuscule en début d’un mot de passe et le caractère spécial ou le chiffre à la fin. Aussi, ne laissez pas la majuscule en début du mot de passe. Déplacez la majuscule sur un des mots:
pourleMeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés et dotés de moyens importants

Ne laissez pas le caractère spécial en fin de mot de passe. Déplacez le ailleurs:
pourleMeilleur3etpourle!pire

Quand vous aurez terminé, n’oubliez pas de vérifier la complexité de votre mot de passe ainsi créé avec Password Checker !

Password Checker

Un dernier conseil: n’utilisez surtout pas les mots de passe de cette page !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *