2

🔑 Le password idéal (du facteur Cheval)

Tant que la biométrie restera au niveau de fiabilité qu’on lui connait actuellement, les mots de passe resteront de vigueur et nous compliqueront la vie. On en a encore pour un certain temps… Autant prendre les bonnes habitudes tout de suite.

Un bon mot de passe avant 2017

Les préconisations pour le choix d’un mot de passe ont toujours été extrêmement pénibles. Il fallait 6 caractères, puis 8, puis 12, avec des majuscules, des caractères accentués et au moins un caractère spécial, si possible pas en fin de mot de passe, tout en évitant les suites de 4 chiffres, surtout si c’est une date de naissance. Eviter les prénoms, le nom du chien, et n’importe quel mot qui existe dans un dictionnaire. Tout cela en n’oubliant pas de le changer tous les 90 jours ! Le problème c’est que les mots de passe étaient difficiles à retenir et, au fil des années, les mauvaises habitudes des utilisateurs connues des robots : remplacer un o par un zéro, un S par 5…
Mais ça, c’était avant.

Voir aussi CNIL – Authentification par mot de passe : les mesures de sécurité élémentaires.

Un bon mot de passe après 2017

Depuis 2017, l’agence américaine NIST est revenue sur ces préconisations et conseille dorénavant un mot de passe très long mais facile à retenir, comme “jesuisunmotdepasselongfacilearetenir“, pour se prémunir des attaques par force brute issues de machines de plus en plus puissantes.

Voici les mêmes préconisations de la CNIL sur son site :

  • Un nombre
  • Une majuscule
  • Un signe de ponctuation ou un caractère spécial
  • Une douzaine de mots

On fait dorénavant fi des préconisations pré-2017, en particulier celle consistant à ne pas utiliser de mots du dictionnaire. L’objectif est d’avoir un mot de passe facile à retenir (on apprend des erreurs du passé) et très long (la puissance de calcul des machines actuelles y oblige).

Le mot de passe idéal

Pour générer le mot de passe ultime, il suffit de combiner toutes les préconisations (celles d’avant 2017, et celles de maintenant). Vous allez dire “ça va être très long, très pénible et impossible à retenir“. Et bien pas tant.

Voici ma méthode. Vous avez tous en tête une chanson ou une poésie apprise par cœur à l’école :

La Cigale, ayant chanté tout l’été,
Se trouva fort dépourvue quand la bise fut venue.

Jean de La Fontaine

Ca pourrait faire un bon mot de passe d’après les préconisations de 2017 mais c’est beaucoup trop long, et il n’y a que des mots du dictionnaire. Maintenant, récitez-vous la poésie en ne tapant que la première lettre de chaque mot. Ca donne : LCACTLESTFDQLBFV.
Ajouter des chiffres, des minuscules et un caractère spécial, et vous obtenez le password idéal du facteur Cheval qui respecte TOUTES les préconisations en terme de choix de mot de passe : LcAcTlEsTfDqLbFv5691*

Tester son mot de passe

De nombreux outils en ligne permettent de tester la solidité d’un mot de passe. Vous pouvez essayer sur assiste.com ou encore howsecureismypassword.net. Sur le site du gouvernement, vous pouvez estimer l’équivalent en bits d’un mot de passe. Ainsi le mot de passe LcAcTlEsTfDqLbFv5691* est équivalent à une clé de 130 bits (bien mais on peut faire mieux).

Vous pouvez évaluer cet article en un clic. Garanti sans gluten. Merci !
(Evaluations : 2 / Moyenne : 5)

Krak

Machine prolifique à pisser du code de merde jamais optimisé depuis 1986, Maître des traditions et Grand malade à WoW, chasseur de gardiens à Ingress de 2014 à 2019, sapiosexuel nerd, amateur de piments 🌶️ au delà de 300.000 Scoville grâce à Stéphane Pécaut et de pizzas maison 🍕 grâce à Marloin, j'apprécie particulièrement les 3C (les chats 😼, le code et les choux de Bruxelles 🥦) & la philosophie du CCC + la domotique open-source et les IA locales cloudless.

2 commentaires

  1. Existe-t’il un dictionnaire des mots pas dans le dictionnaire ? On parle donc bien de Robert, de Larousse, sans cité de marque 😮
    Bonne idée de capturer les mots de passe pour créer un dictionnaire des mots de passes préconisé après 2017 en mettant un formulaire : Tester ton mot de passe. ça serait pas l’occcasion d’ouvrir une cagnotte litchees, ou un kickstarter ?
    CB.SP

    • Depuis 2017, la puissance de calcul, même sur un ordinateur personnel, est telle que les attaques par dictionnaires n’ont plus de sens. Tout se fait par force brute. D’où les préconisations de la CNIL : un mot de passe avec une douzaine de mots.

Répondre à Codeurbarbulles Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *