Qu’est-ce qu’un bon mot de passe ?

Un ami m’a raconté l’histoire suivante il y a quelques jours :

Il y a quelques semaines, je me suis connecté sur le réseau d’un hôtel où je résidais pour quelques nuits. Dans la soirée, un détail dans la barre latérale du Finder m’a fait sourciller : un autre portable Apple était connecté sur le même réseau local que moi. Et selon la règle établie par l’assistant de Mac OS X, il s’appelait « Ordinateur de XXX », XXX étant le prénom de son utilisateur. Plus intéressant encore, le compte était accessible en partage de fichiers. Et en tapant « XXX » (le nom de l’utilisateur) comme identifiant et en ne tapant aucun mot de passe… Je pouvais accéder au disque complet de l’utilisateur. Pas de méthode de crack violent : il m’a juste fallu une minute de déduction, et tenter le coup pour réussir à rentrer sur cet ordinateur.

Cette petite histoire montre donc qu’il est indispensable de disposer d’un bon mot de passe sécurisé pour sécuriser son ordinateur et tous les différents services auxquels nous avons besoin d’accéder en ligne.1

Ce qui est étonnant, c’est de voir à quel point il est difficile pour chacun de choisir un bon mot de passe. Or, le couple identifiant/mot de passe est la seule façon de garantir de façon fiable votre identité auprès d’un système informatique (un sujet que j’ai déjà décrit dans Snow Leopard Efficace) et de vous protéger de certains intrusions. Et malheureusement, pour trop d’utilisateurs le mot de passe est vécu comme un calvaire, et donc par défaut trop simple… quand il n’est pas juste complètement supprimé !  Ou pire encore, noté sur  un post-it posé sur l’écran…

Je me suis donc posé la question ces jours-ci : qu’est qu’un bon mot de passe ? D’habitude, quand on demande à un expert, un bon mot de passe doit répondre aux règles suivantes :

  • Au moins 8 caractères ;
  • Mélanger majuscules et minuscules ;
  • Contenir des chiffres et des lettres ;
  • Intégrer au moins un caractère spécial (? ; ! ‘ § & etc.) ;
  • Ne pas être un mot du dictionnaire.
  • Ne pas être évident. Éviter par exemple sa date de naissance, le nom de son épouse, etc.

Je suis plutôt d’accord avec ces règles, même si les mots de passe sont de plus en plus rapides à cracker en mode force brute, la puissance de calcul des ordinateurs aidant. Mais personnellement, je rajouterais deux règles  :

  • Le mot de passe doit être mémorisable. Il existe plein de méthodes pour cela : l’acrostiche est par exemple une méthode couramment utilisée et qui peut être considérée comme efficace. Si votre chanson préférée est « Hélène, je m’appelle Hélène », vous pouvez très bien partir sur « LNJeuMapLLN! ». OK, il manque des chiffres, mais ça peut être amélioré, et côté sécurité, c’est vraiment pas mauvais. Remplacez par exemple le e par un 3, et ça ira encore mieux. Vous pouvez aussi utiliser un peu de leet speak pour améliorer tout ça…
  • Malheureusement, ce mot de passe a un défaut à mon goût. Il est peut-être mémorisable, mais il ne « coule » pas sous les doigts. Je veux dire par là que sa frappe est compliquée, et du coup vous êtes ralenti lorsque vous devez le taper. Il faut que votre mot de passe soit fluide. Il faut que vous puissez le taper sans avoir à regarder le clavier et sans avoir pour autant à vous faire des crampes aux doigts. C’est un des points les plus délicats, mais une fois que vous aurez trouvé ce mot de passe, vous n’aurez plus forcément envie d’en changer. Et vous serez satisfait de bénéficier d’un peu plus de sécurité.

Ce dernier point est bien plus crucial que l’on pourrait le croire. J’ai déjà eu des mots de passe qui répondaient à toutes les règles précédentes, mais dont la frappe me semblait finalement « douloureuse » ou trop compliquée, je perdais trop de temps à les taper. Dans ce cas, c’étaient de mauvais mots de passe. Si il vous faut plus de 3 secondes pour taper votre mot de passe, c’est qu’il est mauvais. Je tape certes assez vite 2, mais vous devriez pouvoir trouver un mot de passe à votre convenance et que vous serez capable de taper rapidement.

N’hésitez pas non plus à tester vos mots de passe avec l’aide de l’Assistant mot de passe:

  1. Ouvrez la préférence Système Comptes
  2. Cliquez sur Modifier le mot de passe
  3. Cliquez sur la clé en face de Nouveau mot de passe.

L’assistant pourra vous proposer des suggestions ou tester votre mot de passe actuel afin d’en vérifier son niveau de sécurité.

Pensez donc à changer votre mot de passe s’il n’est pas sécurisé.

(Et si le sujet vous passionne, vous pouvez lire l’article de Yoann Gini, qui a eu l’idée d’écrire sur le même sujet et de diffuser son article juste quelques heures avant moi. Argh).

  1. Accessoirement, cette histoire montre également à quel point Bonjour est parfois trop bavard et combien il peut être utile d’utiliser un firewall efficace ou un outil de type Little Snitch…
  2. Environ 55 mots/minute, excusez du peu.

10 comments

  1. Éric L dit :

    Pour moi la plus grande difficulté du mot de passe c’est sa multiplication.
    Avoir un seul mot de passe est dangereux d’un point de vue sécurité, une fois trouvé il ouvre toutes les portes aux brigands sans plus d’effort.
    De plus, les services auquels on souscrit ont parfois des conditions qui empêchent d’utiliser son mot de passe habituel (nombre de caractères maxi ou pas de caractères spéciaux par exemple).

    Je me suis donc créé un générateur de mot de passe avec un algorithme humain : moi (et humble en plus de ça ! :-D)
    L’idée c’est d’avoir un guide de création de mot de passe, exemple :
    – chaque mot de passe commence par « Mp » pour « mot de passe » (ça peut être PsW pour password ou tout à fait autre chose…)
    – ensuite on met le nom le nom du site, ici « gete », mais c’est trop simple, alors on remplace la première lettre par la suivante dans l’alphabet ce qui donne « hete »
    – puis on peut mettre son année de naissance, au hasard « 70 »

    Ce qui donnerais pour ce site : Mphete70, ce qui n’à aucun sens pour qui ne connais pas l »‘algorithme ».
    Ce qui donnerais pour le site d’Apple : Mpbpple70.
    L’avantage est d’avoir pour chaque site un mot de passe différent mais de pouvoir s’en souvenir facilement.
    Lorsqu’un site done une règle qui doit modifier ce mot de passe il faut appliquer la même logique : toujours faire le même type de modification, ajout ou suppression d’un chiffre toujours au même endroit etc. ça fonctionne presque toujours.

    Libre à chacun de créé ses propres règles, d’en ajouter et de modifier l’ordre.
    Bien entendu ceci est un exemple, je ne vous ai pas donné mon « algorithme » ;-)

  2. patpro dit :

    Le mot de passe, si tu t’en sers vraiment, il finit rapidement par « couler sous les doigts ». Je ne compte pas le nombre de mots de passe que j’ai et dont je suis incapable de me rappeler si j’ai pas un clavier sous la main. Preuve si il en est que mes doigts les connaissent mieux que moi (c’était déjà le cas avec la facade amovible de mon autoradio dans les années 90 ;-) ).
    Parfois, pris de flemme, il leur arrive même (à mes doigts) de tenter l’autocompletion par tabulation…

    Par ailleurs, tu mentionnes la puissance des ordinateurs modernes pour les attaques de force brute. Si ton attaque se fait via un réseau, c’est pas la puissance de l’attaquant qui compte, c’est la latence de sa connexion .
    La puissance de calcul pour la casse de mot de passe n’est utilisée à plein que dans le cas d’une attaque locale (le fichier de mot de passe est récupéré par le pirate, qui peut alors lui faire subir des GHz d’outrages).

    Pour finir, tu dis qu’un post-it avec le mot de passe dessus est pire que pas de mot de passe : je m’insurge. Un post-it sur mon écran à la maison est infiniment plus sûr qu’un mot de passe vide. Ne serait-ce que parce que ma machine est connectée en permanence à internet avec des services ouvert (ssh, ard…).

  3. patpro dit :

    hmmm, désolé pour le double post, mon lien n’est pas passé dans le premier :

    http://www.patpro.net/blog/index.php/2010/12/14/1723-de-la-securite-de-vos-mots-de-passe/

  4. UnBelgeAParis dit :

    Hello

    Y a un programme qui permet de lancer facilement l’assistant mot de passe directement, aussi. http://www.journaldulapin.com/2010/11/15/generer-un-mot-de-passe-solide-facilement-astuce/

    Et ma technique est d’utiliser des mot de passes forts générés comme ça et stocké dans le trousseau, et d’utiliser un seul mot de passe mémorisé (et mémorisable) pour le trousseau justement. Astuce trouvée dans le livre de sieur Gete, il me semble

  5. […] Guillaume Gete avait prévu de sortir un article du même type en même temps ! Je vous invite à le lire, la méthode de base est la même, il y rajoute cependant la notion de facilité de frappe du mot […]

  6. […] et leur mémorisation. Yoann Gini donne ainsi quelques conseils autour des passphrases, alors que Guillaume Gete fait le point sur ce qui fait d’un mot de passe un bon mot de […]

  7. oldschool dit :

    Un autre moyen d’avoir de bons mots de passe et de s’en souvenir est d’utiliser un logiciel ad-hoc, du genre 1password. On peut alors générer des mots de passe complexes et ne pas avoir à s’en souvenir. Reste la difficulté de frappe qui n’est pas prise en compte…

    Sinon j’aime beaucoup l’idée de l’algorythme personalisé cité par Eric, je vais y réfléchir :-)

  8. Souitch dit :

    Pour ma part c’est 1password qui a changé ma vie en éliminant le casse tête des mots de passe..
    En plus il se synchronise partout via Dropbox: iMac+MacBook+iPhone+iPad.. Très confortable !

  9. Olivette Daubry dit :

    rien de nouveau dans cet article….ces recommandations ont été lues et relues maintes fois dans les magazines et sur le net….

  10. @Olivette : oui, mais quand il s’agit de sécurité, il n’est jamais mauvais de se répéter. Et l’histoire au début montre que tout le monde ne lit pas le net ou les magazines…

    Et puis c’est mon blog, je parle de ce que je veux :-D

    @EricL : très bon point, tellement bon que ça fait très longtemps que j’utilise une méthode similaire ;-) Et ça pourrait faire l’objet d’un nouvel article.