Sécuriser ses passphrases

Comment mettre en place une politique de mots de passe sécurisés.

Facebooktwitterlinkedinmailby feather

Pour protéger certaines données, qu’il s’agisse de courriers ou de documents, vous avez souvent besoin de « passwords ». Attention à ne pas tomber dans certains écueils.Une règle de base : Plus un « mot de passe » est court et moins il y aura d’imagination dans le choix des caractères, plus il sera facile à cracker.

La variété des caractères

Des sites proposent aujourd’hui des réglages par défaut vous obligeant, au moment du choix de votre password, à entrer un ou plusieurs caractères numériques. Mais c’est à vous que cette idée doit arriver automatiquement en mémoire. Et pas que pour les chiffres, les caractères spéciaux sont aussi recommandés. idem pour les majuscules.

Un petit exemple

« Demain dès l’aube à l’heure où… » pourrait ainsi se transorfmer en d3m41n,d3sl’Aub3;4l,h3ur30u…

Si vous vous basez sur les 96 touches que vous offre le clavier :

0123456789AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSs
TtUuVvWwXxYyZz <SP>! »#$%&'()*+,-./:;<=>?@[]^_`{|}~

il faudra 83,5 jours pour craquer un password de 8 caractères, comme « B33r&Mug » au vu du nombre de combinaisons que peuvent tester les robots. Alors qu’en utilisant seulement les chiffres et les lettres, 62 caractères, votre password peut être découvert en 60 heures.

Plus c’est long…

Oui, bon, d’accord, elle est facile… mais c’est vrai ! Plus votre password sera long, plus vous multipliez le nombre de combinaisons possibles. Vous me direz que oui, mais ensuite, c’est difficile à retenir. Bon, sauf « demain dès l’aube… » qui est déjà dans tous les bons dictionnaires de passwords sous toutes les formes possibles, donc tu l’oublies.

C’est vrai qu’une succession de chiffres et de lettre de manière aléatoire peut être difficile sans enregistrer ses codes quelquepart (ce à quoi je me refuse, mais on parlera bientôt ici de keepass et ses alternatives), il font dont trouver quelques procédés mnémotechniques.

Les paroles de chansons, par exemple, peuvent être une bonne alternative si on décide de ne pas choisir un extrait de refrain des Beatles, tout autre morceau archiconnu. Réfléchissez ! Il y a forcément un morceau que vous adorez, dont vous vous souviendrez facilement et qui ne serait pas connu du grand public, du dialecte local, un morceau d’un groupes de potes…

Kakamou…

Kamoulox !

Une autre alternative peut aussi être le kamoulox, une série de mots sans queue ni tête.

Exemple :

« je photocopie du sable et je promène un Bee Gees »
j3ph0t0c0p13dusAbl3,
j3pr0m3n31BG

Hacking social

On a beau assez le répéter, je ne le fais que pour la forme sinon ce billet ne serait pas complet, évitez bien entendu les prénoms de vos enfants, votre adresse, vos passions… Sinon il sera très facile pour quelqu’un qui vous connaît, ne serait-ce qu’un peu, de deviner.

Bien entendu, évitez de mettre la même passphrase, aussi sécure soit-elle, sur tous vos comptes. A chaque porte son verrou, donc à chaque compte sa clé bien distincte.

  • Les liens qui vont bien

Oubliez les mots de passe, pensez phrases de passe
En combien de temps vos passwords sont-ils vulnérables ?
Et si tu chiffrais tes dossiers avec Truecrypt ?
Et si tu chiffrais tes mails avec GPG ?

 

twitterlinkedinby feather

Auteur : Ju

Manager en sécurité informatique, je travaille sur le secteur depuis plusieurs années après une reconversion réussie suite à 12 annés dans le journalisme. J'adore la recherche, Je suis certifiée Iso/CEI 27001 Lead Auditeur (PECB) – ISLA1006895-2015-09. Parfois, je donne des cours et des conférences, et j’ai eu deux livres publiés par un éditeur… il y a fort longtemps.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *