jeudi 7 janvier 2010

Faire un bon mot ... de passe.


Bon, gros désespoir d'un des mes amis Facebook :
"JE VIENS DE VOIR QU'UN MALVEILLANT ENVOIE DES NOTIF'S EN MON NOM JE CROIS QUE MON MOT DE PASSE A ETE HACKE CE N'EST PAS LE 1ERE FFOIS JE TIENS A DIRE A TOUS QUE CA NE VIENT PAS DE MOI JE NE MANGE PAS DE CE PAIN LA(NOTIF'S A CARACTERE EROTICO-SEXO)".
Ben oui, et cela peut être plus grave !
Alors petit rappel pour un bon mot de passe :

La Suite de l'Article :

- pas quelque chose que quelqu'un qui vous connaît peut deviner (pas le prénom de votre conjoint, le nom du chat, votre date de naissance...) ni une donnée qui figure dans vos infos Facebook ou ailleurs sur le web ;
- pas une suite logique de chiffres genre "54321" ;
- pas un mot figurant au dictionnaire, un prénom, un nom célèbre ;
mais plutôt une suite
- mêlant des chiffres et des lettres, des caractères spéciaux ;
- mêlant majuscules et minuscules ;
- longue ; en effet certains logiciels testent autant de combinaisons de lettres et de chiffres que possible. Un ordinateur peut en essayer plusieurs millions par seconde. Si le mot est long, cela multiplie suffisamment les combinaisons nécessaires pour que le temps nécessaire soit néanmoins trop long pour le pirate.
- ne pas utiliser le même mot de passe partout. Utilisez des mots de passe uniques sur des sites particulièrement tentants pour les malintentionnés, banque en ligne, Paypal, mais aussi accès de votre blog ou de vos pages Facebook (pour éviter qu'un quelconque nuisible s'avise de lancer des messages néo-nazis en utilisant votre identité).
- ne pas utiliser un de vos mots de passe courants sur des sites que vous ne connaissez pas. Le site - c'est à dire ses propriétaires - détiendront le mot de passe utilisé. Si le même mot de passe est celui qui ouvre les portes de votre compte Paypal, et que les propriétaires en question sont des aigrefins, vous voilà mal embarqué/e. Une solution peut être de réserver un mot de passe aux sites sans importance ou douteux, un mot que vous n'utiliserez sur aucun site où votre sécurité a de l'importance ;
- changer vos mots de passe de temps en temps.
- ne pas demander au navigateur (Internet Explorer, Firefox etc.) de retenir un mot de passe (il sera alors stocké sur votre disque dur et donc lisible par un intrus).

Il existe des sites qui peuvent vous indiquer si tel mot de passe garantit une bonne sécurité.

Si vous vous y perdez dans la jungle de vos mots de passe (le dossier qui contient les miens compte 1.036 fichiers, plus des dossiers contenant eux-mêmes des fichiers), notez-les dans un document crypté (exemple : Steganos Locknote, qui est gratuit).
Autre truc : notez vos mots de passe sous une forme compréhensible et mémorisable, mais uniquement pour vous, en utilisant des éléments récurrents que vous pouvez disposer dans différents ordres .
Exemple.
Vous aimez la ville de Rennes ? Utilisez son nom, mais à l'envers, pour éviter une combinaison de lettres figurant dans le dictionnaire : donc "senneR". Et dans vos documents, "usuel" signifiera "senneR". "Date" signifiera "5141", date de la bataille d'Azincourt écrite à l'envers. "Pré" signifiera le prénom de votre fille Jeanne, mais écrit à l'envers : "ennaeJ". "Type" : celui de votre chien, "bichon", mais à l'envers : "nohcib". Quand vous aurez tapé ces suites de caractères une dizaine de fois, elles seront parfaitement mémorisées.
Dans votre liste de mots de passe, celui de votre compte Paypal apparaîtra comme :
"usuel_date_type_pré" mais vous seul êtes à même de savoir que le vrai mot de passe est donc : "senneR_5141_nohcib_ennaeJ". Le robot intrus qui scanne vos disques durs à la recherche de mots de passe ne ramènera qu'une suite de caractères inutilisables pour son maître. Mais ce mot de passe résistera-t-il aux logiciels de type "force brute", ceux qui essaient des millions de combinaisons pour forcer la "serrure" d'un compte ?
Pour le savoir, rendons-nous sur un site de test, introduisons notre nouveau mot de passe, et lisons le résultat :
"senneR_5141_nohcib_ennaeJ obtient la note de 19 sur 20. Ce mot de passe est très fort."

Merci qui ?
Pour plus de sécurité, vous pouvez utiliser ailleurs les mêmes modules dans un autre ordre, par exemple "_pré_usuel_date_type", etc...

Enfin, si vous craignez l'attaque d'amnésie qui vous ferait oublier la signification de "usuel", "type" etc., notez-la ... mais pas dans votre ordinateur. Sur un bout de papier dans un tiroir. Et si vous ne faites pas confiance à votre famille ? Je sais pas, moi. Un cadenas sur votre tiroir (mais comment se rappeler où est cachée la clef du cadenas ?). Un coffre à la banque (mais où noter la combinaison du coffre ?). Vingt ans de psychanalyse pour déterrer les racines de votre parano. Renoncer à l'Internet...


Cliquez ici pour recevoir chaque mois une liste des nouveaux articles de ce blog. Vous pouvez être prévenu/e de chaque parution en cliquant "Messages (Atom)" tout en bas de la page d'accueil.


Mots-clef : mot de passe, sécurité, internet, informatique

3 commentaires:

tchouf a dit…

ceux qui se font piquer leur mot de passe, c'est parce qu'ils ont répondu à un des ces emails (spam) en anglais qui semble provenir de facebook et qui leur demande de confirmer leur login et password, c'est classique comme piège, je ne crois pas que c'est un "ami" facebook qui s'amuse à faire ça pour faire de la pub pour des sites porno ... le problème ne vient pas du mot de passe car il faut déjà connaître le login pour le craquer ... donc d'abord être dans la liste d'amis et puis que l'adresse email soit visible... j'en reçois 4 ou 5 par jour de ces tentatives d'extorsion de mes données ... je suis certain que plein de gens se font prendre

Tom Goldschmidt a dit…

C'est en effet classique, mais je n'en ai jamais reçu sur FB... Par contre, des faux Paypal, des faux eBay... Indice : généralement, cela commence par "Cher Client", pas par : "Cher Anatole Tchouf". Le login, c'est le plus souvent l'adresse mail habituelle, donc ce n'est pas un obstacle bien dur à passer...

tchouf a dit…

d'accord qu'il faut connaitre l'adresse email, personnellement j'évite ça en ayant une adresse email différente pour chaque site, il suffit pour cela de prendre un compte mail chez freesurf.fr par exemple, ensuite monnom@fresurf.fr recevra aussi les emails adressés à facebook@monnom.freesurf.fr ou ebay@monnom.freesurf.fr etc des alias à l'infini ...
grâce à toi je me suis inscris chez openid, je teste ;-)