Tant que la biométrie restera au niveau de fiabilité qu’on lui connait actuellement, les mots de passe resteront de vigueur et nous compliqueront la vie. On en a encore pour un certain temps… Autant prendre les bonnes habitudes tout de suite.
Un bon mot de passe avant 2017
Les préconisations pour le choix d’un mot de passe ont toujours été extrêmement pénibles. Il fallait 6 caractères, puis 8, puis 12, avec des majuscules, des caractères accentués et au moins un caractère spécial, si possible pas en fin de mot de passe, tout en évitant les suites de 4 chiffres, surtout si c’est une date de naissance. Eviter les prénoms, le nom du chien, et n’importe quel mot qui existe dans un dictionnaire. Tout cela en n’oubliant pas de le changer tous les 90 jours ! Le problème c’est que les mots de passe étaient difficiles à retenir et, au fil des années, les mauvaises habitudes des utilisateurs connues des robots : remplacer un o par un zéro, un S par 5…
Mais ça, c’était avant.
Voir aussi CNIL – Authentification par mot de passe : les mesures de sécurité élémentaires.
Un bon mot de passe après 2017
Depuis 2017, l’agence américaine NIST est revenue sur ces préconisations et conseille dorénavant un mot de passe très long mais facile à retenir, comme “jesuisunmotdepasselongfacilearetenir“, pour se prémunir des attaques par force brute issues de machines de plus en plus puissantes.
Voici les mêmes préconisations de la CNIL sur son site :
- Un nombre
- Une majuscule
- Un signe de ponctuation ou un caractère spécial
- Une douzaine de mots
On fait dorénavant fi des préconisations pré-2017, en particulier celle consistant à ne pas utiliser de mots du dictionnaire. L’objectif est d’avoir un mot de passe facile à retenir (on apprend des erreurs du passé) et très long (la puissance de calcul des machines actuelles y oblige).
Le mot de passe idéal
Pour générer le mot de passe ultime, il suffit de combiner toutes les préconisations (celles d’avant 2017, et celles de maintenant). Vous allez dire “ça va être très long, très pénible et impossible à retenir“. Et bien pas tant.
Voici ma méthode. Vous avez tous en tête une chanson ou une poésie apprise par cœur à l’école :
La Cigale, ayant chanté tout l’été,
Jean de La Fontaine
Se trouva fort dépourvue quand la bise fut venue.
Ca pourrait faire un bon mot de passe d’après les préconisations de 2017 mais c’est beaucoup trop long, et il n’y a que des mots du dictionnaire. Maintenant, récitez-vous la poésie en ne tapant que la première lettre de chaque mot. Ca donne : LCACTLESTFDQLBFV.
Ajouter des chiffres, des minuscules et un caractère spécial, et vous obtenez le password idéal du facteur Cheval qui respecte TOUTES les préconisations en terme de choix de mot de passe : LcAcTlEsTfDqLbFv5691*
Tester son mot de passe
De nombreux outils en ligne permettent de tester la solidité d’un mot de passe. Vous pouvez essayer sur assiste.com ou encore howsecureismypassword.net. Sur le site du gouvernement, vous pouvez estimer l’équivalent en bits d’un mot de passe. Ainsi le mot de passe LcAcTlEsTfDqLbFv5691* est équivalent à une clé de 130 bits (bien mais on peut faire mieux).
Existe-t’il un dictionnaire des mots pas dans le dictionnaire ? On parle donc bien de Robert, de Larousse, sans cité de marque 😮
Bonne idée de capturer les mots de passe pour créer un dictionnaire des mots de passes préconisé après 2017 en mettant un formulaire : Tester ton mot de passe. ça serait pas l’occcasion d’ouvrir une cagnotte litchees, ou un kickstarter ?
CB.SP
Depuis 2017, la puissance de calcul, même sur un ordinateur personnel, est telle que les attaques par dictionnaires n’ont plus de sens. Tout se fait par force brute. D’où les préconisations de la CNIL : un mot de passe avec une douzaine de mots.