Aujourd'hui, chacun doit jongler avec de multiples identifiants et mots de passe, et cela ne cesse de croître, au point qu'il devient extrêmement difficile de se souvenir de toutes ces informations de connexion.
Cette situation amène bien des gens d’une part à choisir des mots de passe aisément mémorisables, mais hélas tout aussi aisés à pirater, d’autre part à être tenté de noter ces informations « quelque part », avec le risque de conséquences désastreuses si elles tombent entre des mains mal intentionnées.
Dans cet article, nous allons présenter une méthode de construction de mots de passe robustes, ainsi qu'un moyen permettant de les mémoriser et de les inventorier facilement et en toute sécurité.
Ce qu’il faut éviter
Par commodité, il peut être tentant de définir des mots de passe avec un faible niveau de sécurité :
- mot de passe trop simple ou trop classique : 123456789, qwertzuiop, password, iamagod, etc.
- mot de passe trop court (idéalement, il est généralement admis qu’il faudrait au moins 14 caractères, 8 étant le minimum reconnu)
- mots de passe identiques ou similaires pour plusieurs comptes, voire un seul mot de passe pour tous ses comptes : si l’un est piraté, tous les comptes deviennent vulnérables.
- mot de passe constitué de données personnelles ou familiales (date, âge, prénom) qu'un pirate décidé pourra très facilement trouver sur le net.
- mot de passe constitué de mots ou de noms propres, très vulnérable aux attaques dites par dictionnaire, lesquelles consistent à faire tester automatiquement par un programme tous les mots du dictionnaire.
En bref, idéalement, un excellent mot de passe est constitué d'une suite aléatoire de caractères incluant des lettres minuscules et majuscules, des chiffres et des caractères spéciaux. De plus en plus de procédure d’enregistrement requiert d'ailleurs un mélange de ces quatre types de caractères lors de la définition du mot de passe.
Mais alors, comment gérer ce casse-tête ? Pas de panique ! Il existe plusieurs moyens de satisfaire à l'ensemble de ces contraintes, nous en présentons un qui est assez souvent préconisé pour créer des mots de passe robustes, et le complétons par un moyen sûr permettant d’inventorier nos différents identifiants de connexion.
Choix des mots de passe : la phrase mnémotechnique
Il s'agit tout simplement de prendre une phrase qui nous est familière et d'utiliser les premières lettres de chaque mot pour constituer le mot de passe, ou plus précisément sa forme de base. Par exemple,
"To be, or not to be, that is the question" (in Hamlet de William Shakespeare)
Ce qui donne une suite de dix lettres : tbontbtitq
Partant de là, afin de sécuriser notre mot de passe, nous allons transformer certains mots en chiffres ou en caractères spéciaux, autant que possible :
Avec une phrase en anglais ou en français, il est par exemple possible de faire les substitutions suivantes :
| Mot anglais |
Caractère |
Mot français |
Caractère |
| one |
1 |
un / une |
1 |
| at |
@ |
à ou a |
@ |
| a |
1 |
de |
2 |
| for |
4 |
cet(te) |
7 |
| and |
& |
et |
& |
| to |
2 |
|
|
En appliquant toutes ces substitutions à notre phrase, nous obtenons :
2bon2btitq
Nous voulons des caractères spéciaux ? Pas de problème non plus : soyons inventif et remplaçons le mot "question" par "?" plutôt que par sa première lettre, et rajoutons la ponctuation à sa place d’origine ! Ce qui donne :
2b,on2b,tit?
Enfin rien n’empêche d’ajouter un suffixe et/ou un préfixe pour augmenter la longueur ou ajouter un type de caractère requis (ici nous n’avons pas encore de majuscule)
D2b,on2b,tit?F
(ici nous avons choisi D pour début et F pour fin, ou n’importe quoi que vous puissiez imaginer et pouvant être retrouvé par la suite)
NB : cet exemple a cependant un gros défaut : Cette technique est assez connue, or la phrase choisie est pour sa part archi-classique ! Autrement dit, il vaut mieux choisir des phrases clés plus personnelles.
Inventorier ses identifiants de façon sûre : le code mnémonique
Maintenant nous souhaitons être en mesure de retrouver que par exemple, pour le site lamda.ch, nous devons nous connecter avec notre email comme login et l’un de ces mots de passe shakespearien, par exemple « 2b,on2b,tit? » . Le principe est de trouver un code mnémonique qui nous permettra facilement de retrouver la phrase clé et les substitutions et ajouts que nous lui avons appliqués, mais qui demeurera totalement opaque pour toute autre personne. Nous pouvons alors sans grand risque transcrire ce code mnémotechnique dans un carnet (conseillé), voire dans un fichier quelconque de notre ordinateur (mais pas sur le cloud, qui est trop ouvert). Nous conseillons également d’en conserver plusieurs copies sur des supports différents, afin de se prémunir contre la perte de ces informations, typiquement suite à la perte ou au vol du support papier, ou à un crash de disque.
Remarque : un mot de passe généré en partant d’une phrase se prête parfaitement à cette méthode, c’est donc la combinaison de ces deux techniques qui fait leur force.
Avec un de nos exemples précédents, supposons que, pour nous connecter au site lamda.ch nous devons fournir comme identifiant notre adresse email et le mot de passe 2b,on2b,tit?.
On pourrait noter ce qui suit : lamda.ch SH9?.5Xb
Avec une phrase suffisamment familière, nous devrions assez vite nous rappeler que :
Pas d’identifiant noté, car c’est notre adresse email habituelle, c’est donc implicite !
Et le code mnémonique nous permet de reconstruire le mot de passe :
S c'est Shakespeare
H c'est Hamlet
9 => il y des chiffres
? => Nous avons utilisé la substitution « question » -> ?
. => il y a la ponctuation
Et pour le fun – mais pas seulement – 5Xb est juste un leurre, au cas où.
Ceci est un premier exemple, mais il est recommandé de personnaliser sa recette de génération de codes. Voici une variante et dans laquelle nous attribuons cette fois une unique lettre en fonction des différents niveaux de sécurisation possibles du mot de passe :
- M parce qu’il y a des majuscules
- C parce qu'il y a en plus des chiffres
- P parce qu'il y a en plus de la ponctuation
- S parce qu'il y a en plus des caractères spéciaux
- X parce qu'il y a en plus une substitution particulière (ici le mot question vers ?)
Avec cette seconde recette, on obtiendrait pour notre phrase exemple les codes suivants :
| Mot de passe pour le site lamda.ch |
Code mnémonique |
| 2bon2btitq |
lamda.ch SHC |
| 2b,on2b,titq |
lamda.ch SHP |
| 2b,on2b,tit? |
lamda.ch SHX |
(les codes M et S n’étant pas pertinents avec cette phrase)
Ces codes étant éventuellement précédés et/ou suivis de leurres fantaisistes à loisir. Quand bien même notre cambrioleur ou notre hacker tomberait sur un tel code, il aurait du mal à en faire quelque chose, même s'il est également maître espion...
Seul vous, pouvez vous figurer qu'il s'agit de votre phrase et de votre recette, et a fortiori ce qu’elles sont. Et rien n'empêche d'utiliser diverses recettes pour divers mot de passe pour brouiller encore un peu plus les pistes.
Dans un prochain article, nous approfondirons les enjeux et les moyens d’une gestion des mots de passe fondée sur ces principes.
Photo credit : Romi via Pixabay, CC0 Public Domain License
Enregistrer
Enregistrer
Merci Frédéric,
C'est un article très intéressant et très demandé! Je conseille fortement aux lecteurs de se mettre à utiliser cette technique. J'attends tes prochains articles avec impatience.
Bravo, Frédéric, pour cet article fort intéressant qui me fait réaliser combien c'est important non seulement d'avoir des mots de passe bien choisis mais aussi de s'organiser pour ne pas les oublier.
A quelle fréquence recommandes-tu de changer nos mots de passe ?