Les mots de passe

publicat in L'ère des médias pe 12 Novembre 2013, 21:05

Adobe et Yahoo m’ont forcé dernièrement de changer mes mots de passe; c’est ainsi que j’ai découvert que les récommandations concernant la sécurité des mots de passé ont beaucoup évolué ces dernières années et que les grandes entreprises de confiance, telles que Amazon, Apple, Google, eBay, Yahoo, etc – conseillent et obligent même à des normes élevées quand il s’agit de choisir les mots de passe.

Et comme j’ai déjà passé des heures entières à changer les mots de passe, j’ai décidé d’écrire un petit article utile (après celui intitulé « Le mot de passe comme antivirus », paru en 2009, partiellement périmé), pour expliquer comment choisir et gérer nos mots de passe aujourd’hui. Cet article n’est pas une recherche originale, mais plutôt un resumé des principales récommandations: Apple¹, Google², Microsoft³, Yahoo⁴.

Introduction

De nos jours on ne joue pas avec les mots de passe. Ils peuvent donner accès à une grande partie de la vie privée d’une personne (e-mail, réseaux sociaux, etc), aux informations professionnelles et enfin, surtout à la poche de l’homme, par le biais des services en ligne, bancaires et financières (online banking, Paypal, etc). Yahoo veut être rigolo et sincère en même temps lorsqu’il dit que le mot de passe est comme une brosse à dents: on la choisit soigneusement et on ne la partage avec n’importe qui!

Différents niveaux

D’abord, avant de choisir un mot de passe, réfléchissez bien au type de mot de passe dont vous avez besoin pour un site particulier. Classez les sites selon les niveaux de risque et de sériosité, car les cyber-criminels attaquent tout d’abord les sites avec un niveau de sécurité plus faible, afin d’utiliser éventuellement les informations volées pour attaquer ensuite des sites et des services plus sûrs, mais aussi plus sensibles, comme les banques et les services financiers. (source: Microsoft)

Quant aux sites à faible risque pour l’utilisateur en cas d’attaque, comme les sites de nouvelles en ligne (fournissez-leur le minimum d’informations possible), vous pouvez utiliser un mot de passe facile à retenir, que vous pouvez utiliser aussi sur d’autres sites ou services à faible risque. (source: Apple).

En ce qui concerne les sites avec des informations sensibles, telles que le mot de passe d’un administrateur système ou d’un compte bancaire en ligne, ainsi que des courriels et des réseaux sociaux, utilisez des mots de passe uniques et difficiles à deviner, un pour chaque secteur et qui ne soit pas réutilisé ailleurs. De cette façon, si un mot de passe est compromis, tous les autres secteurs seront protégés. (source: Apple)

Les relations entre les sites et les services

Presque tous les sites de « services », tels que Apple, Amazon, Adobe, eBay, etc – mais aussi les réseaux sociaux (Facebook, Twitter, etc), exigent un mail. Mais les services de messagerie électronique nécessitent aujourd’hui un mail différent. N’utilisez pas le même mot de passe pour deux courriels différents, ni le même mot de passe pour le mail et pour le service qui l’utilise. Ainsi, si jamais un service est compromis, celui qui y est lié reste sans danger et peut être utilisé pour récupérer le service compromis.

Le mail ( ou les mails ) à l’aide duquel on veut récupérer les mots de passe ou l’accès aux services compromis, que l’on considère comme un bunker de refuge, doit avoir un mot de passe fort et unique.

En résumé:

• deux e-mails – deux mots de passe

• Facebook utilise l’e-mail 1 – le mot de passe sera different de celui de l’e-mail 1

• récupération e-mail – mot de passe fort et unique

Pas comme cela / Mauvaises pratiques

Avant de dire ce qu’un bon mot de passe devrait contenir, il faut absolument dire ce qu’il ne doit pas contenir:

• il ne doit pas contenir les dates de naissance familiales ou d’autres données faciles à deviner

• il ne doit pas contenir les numéros de téléphone faciles à découvrir

• il ne doit pas contenir les noms de la famille (ni ceux des chiens et des chats de la famille)

• il ne doit pas contenir aucun autre renseignement personnel, facile à obtenir à present (numéro ou type de voiture, nom de l’employeur, école, ville, rue etc)

• il ne doit pas contenir des séries communes de nombres ou lettres (12345, 77777, abcdef, FFFFFF, etc)

• il ne doit pas contenir des mots de dictionnaire, dans n’importe quelle langue (à l’exception du cas où ils sont modifiés – voir ci-dessous)

Comment puis-je créer un bon mot de passe?

Je suis finalement arrivé à une des dernières étapes: comment créer mon mot de passe.

À présent un mot de passe doit contenir au moins 8 caractères communes et des caractères variés: majuscules et minuscules, chiffres, signes de ponctuation et symboles.

Tous les quatre articles sérieux que j’utilise dans cet article (Apple, Google, Microsoft, Yahoo), récommandent de créer nos mots de passe à partir de petites propositions familières, tout en suivant plusieurs étapes pour renforcer la sécurité, comme suit:

• étape 1: trouver une phrase toute faite familière, par exemple « lapte acru şi bătut se numeşte atribut ». D’accord, c’est assez long, mais vous pouvez garder quand même « lapte acru şi bătut ».

• étape 2: supprimer les espaces entre les mots (et les signes diacritiques). Ainsi ce mot de passe deviendra: « Lapteacrusibatut »

• étape 3: entrer quelques erreurs ou des altérations intentionnelles, comme: « LaptakruzibaTTut ».

• étape 4: entrer des chiffres, des signes de ponctuation et des symboles, tels que : « L@ptakruz1baTTu!5721 »

Vous n’allez pas faire exactement comme ça probablement, mais c’est le principe pour un bon mot de passe, fort, complexe.

Derniers conseils

Évidemment, personne ne doit voir ce que vous tapez sur le clavier, lorsque vous écrivez un petit mot de passe quelque part.

N’écrivez pas les mots de passe sur des post-it ou sur des bouts de papier, qui traînent partout.

N’envoyez jamais de mot de passe par chat (Yahoo! Messenger), par mail et, généralement, ne partagez pas votre courriel avec quiconque (même si vous avez des antivirus).

Changez vos mots de passe régulièrement, tous le 3-6 mois, selon l’opinion des experts (je sais, je sais, c’est un vrai casse-tête...).

Si vous utilisez des générateurs de mots de passe, faites-y attention. Par exemple, lorsque vous êtes en ligne, utilisez Norton⁵ ou PCTools⁶.

Si vous utilisez des gestionnaires de mots de passe, choisissez-en l’un des plus fiables et complets: RoboForm⁷ ou LastPass⁸.

Aucun service sérieux ne vous demande jamais les coordonnées par courriel. Un tel service est sûrement frauduleux.

Ne cliquez sur aucun lien avant de survoler avec le curseur de souris au-dessus de ce lien, pour voir où il mène et avant de vous assurer que le site est connu.

Restez en bonne santé et pleins de joie!

Notes :

1. http://support.apple.com/kb/HT1506

2. http://support.google.com/accounts/answer/32040?hl=en

3. http://www.microsoft.com/security/online-privacy/passwords-create.aspx

4. http://security.yahoo.com/choose-password-000000973.html

5. http://identitysafe.norton.com/password-generator

6. http://secure.pctools.com/guides/password/

7. http://www.roboform.com/

8. http://lastpass.com/