FICHES PRATIQUES

COMMENT CHOISIR UN MOT DE PASSE EFFICACE ?

Un mot de passe se caractérise par une suite de caractères tenue secrète et permettant à un individu (parfois un groupe d’individus) l’accès à un service ou une application. Cette technique d’authentification permet d’éviter qu’une tierce personne, non autorisée, puisse disposer du service ou de l’application.

Aujourd’hui, un individu est amené à utiliser plusieurs mots de passe différents dans sa vie privée comme dans sa vie professionnelle pour l’accès au réseau de son entreprise, de sa messagerie électronique, etc. Aussi, il est souvent tenté, lorsque cela est possible, de choisir un mot de passe très simple qu’il utilise pour de nombreuses applications. Toutefois, si ce mot de passe est facile à retenir, il est aussi très facile à deviner par quelqu’un d’autre. Une étude a ainsi démontré que sur 3 300 mots de passe examinés, la moitié était déchiffrable en moins de 6 minutes.

Grâce à des logiciels de craquage, un mot de passe trop simple est immédiatement deviné. Autrement dit, les personnes ayant accès aux données de l’entreprise peuvent mettre celle-ci en péril si elles ne respectent pas les règles élémentaires de choix du mot de passe. Le risque est qu’une personne non autorisée usurpe l’identité d’un individu ayant accès aux informations de l’entreprise et fasse preuve de malveillance : vol, dégradations, voire destruction des données. 

POURQUOI EST-CE IMPORTANT ? 

Un mot de passe fort peut éviter qu’il ne soit découvert trop facilement. Les pirates informatiques utilisent des outils capables de deviner en peu de temps un mot de passe simple en pratiquant des tests systématiques.

l existe deux types d’attaques courantes :
- Les attaques par dictionnaires : il s’agit d’utiliser un logiciel qui teste tous les mots de dictionnaires français et étrangers, voire un peu plus (marques de produits, prénoms, noms d’animaux familiers, codes postaux…)
- Les attaques par force brute : certains outils tentent toutes les combinaisons possibles pour découvrir un mot de passe (lettres, chiffres…)

Ces deux attaques peuvent être combinées. Ainsi, un mot de passe tel que « martin69 » sera très facilement retrouvé grâce à une attaque par dictionnaire et d’une recherche exhaustive.

CARACTÉRISTIQUES D'UN BON MOT DE PASSE

Pour parer aux attaques pirates, il convient de respecter quelques règles dans le choix de votre mot de passe.

Un bon mot de passe doit…
· Etre long, 8 caractères minimum, selon le niveau de sécurité. Il faudra ainsi des années avant qu’une attaque par force brute ne permette de découvrir votre mot de passe
· Mélanger plusieurs types de caractères (minuscules, majuscules, chiffres, lettres, ponctuation)

Un bon mot de passe ne doit pas…
· Etre simple, à cause des attaques par dictionnaire
· Avoir un rapport avec votre vie privée (plaque d’immatriculation, numéro de rue, nom de vos enfants …) ou votre vie professionnelle (nom d’un projet, nom du bâtiment dans lequel vous travaillez…)
· Comporter des lettres accentuées ou des caractères spécifiques à une langue (signes monétaires) car vous risquez de ne pas les retrouver sur tous les claviers
· Etre une suite logique telle que azerty, 12345, abcdef…
· Etre identique au « nom d’utilisateur »

REMARQUE
Un mot de passe doit sembler avant tout arbitraire. C’est pourquoi, il existe des générateurs de mots de passe. Plusieurs sites web proposent de les utiliser gratuitement. Ces outils génèrent un mot de passe à partir de critères que vous aurez choisis au préalable : nombre de caractères, types de caractères, caractère de début…

COMMENT S'EN SOUVENIR ? 

Un bon mot de passe doit être difficile à deviner mais facile à retenir. Voici quelques conseils relatifs à la mémorisation des mots de passe.
ASTUCES MÉMOTECHNIQUES
Il existe des techniques pour retenir un mot de passe à l’apparence compliquée. Le principe est de coder une expression facile à retenir, comme le titre d’un film, les paroles d’une chanson ou encore un adage connu. Il est ainsi possible de prendre le premier caractère de chaque mot et de mélanger les types de caractère. Par exemple « Rien ne sert de courir, il faut partir à point » donne le mot de passe hautement sécurisé « Rns2c,ifp@. ».
L’expression peut aussi être codée phonétiquement : « J’ai acheté huit CD pour cent euros » donne « ght8CD%E ». 
OUBLI DU MOT DE PASSE
Si, malgré tout, vous ne parvenez pas à retrouver votre mot de passe, contactez l’administrateur du système informatique. Il a normalement la possibilité de vous attribuer un nouveau mot de passe.

Il existe également des « coffres électroniques », c’est-à-dire des logiciels permettant de stocker plusieurs mots de passe auquel on peut accéder par un certificat électronique ou un mot de passe. L’intérêt de ce genre d’outil réside dans le fait qu’un utilisateur n’a besoin de se souvenir impérativement que du mot de passe du coffre-fort électronique.

UN MOT DE PASSE EST-IL VULNÉRABLE ? 

LES LIMITES DU MOT DE PASSE
Un mot de passe infaillible n’existe pas car il est possible de contourner le déchiffrage d’un mot de passe. Les keyloggers, par exemple, sont des logiciels malveillants téléchargés à l’insu d’un utilisateur lorsqu’il ouvre un message électronique ou qu’il se rend sur une page web élaborée par un pirate. Cette application mémorise tout ce que l’utilisateur tape sur son clavier. Le pirate n’a plus qu’à récupérer l’information pour découvrir votre mot de passe.
COMMENT ÉVITER LES RISQUES
Mettre en place des systèmes…
- Limitant les tentatives de saisie de mot de passe et bloquant l’application au bout de 3 mots de passe saisis erronés. Certains systèmes augmentent le temps d’attente entre deux saisies de mot de passe de manière exponentielle
- Empêchant les utilisateurs de choisir un mot de passe identique au « nom d’utilisateur », déjà utilisé ou considéré comme trop vulnérable
- Obligeant les utilisateurs à changer de mot de passe régulièrement : tous les trimestres, voire plus souvent pour l’accès à des données sensibles
- Anti-virus mis à jour pour détruire d’éventuels keyloggers et autres logiciels malveillants

Imposer certaines règles aux utilisateurs
- Ne divulguer son mot de passe à personne, pas même à un technicien
- N’écrire son mot de passe nulle part (agenda personnel, post-it sous le clavier…)
- Ne pas choisir un mot de passe unique pour toutes les applications
- Composer son mot de passe à l’abri des regards indiscrets
- Ne pas enregistrer un mot de passe automatiquement sur le navigateur. Sur certains navigateurs, tous ces mots de passe sont visibles dans les « options ». Il est ainsi possible de les copier très facilement.
REMARQUE
Certaines entreprises demandent à leurs salariés de signer une charte informatique dans laquelle sont stipulées, entre autres, ces quelques règles. Il apparaît néanmoins nécessaire de rappeler régulièrement les consignes élémentaires.


Utiliser une authentification plus forte
Pour l’accès à des données sensibles, il est conseillé de renforcer la sécurité. Le mot de passe n’est pas l’unique moyen de contrôle d’une identité. Il existe quatre techniques d’authentification : s’identifier par ce que l’on sait (mot de passe), par ce que l’on a (clé physique sur port USB, carte à puce), par ce que l’on sait faire (signature, geste) ou par ce que l’on est grâce à la biométrie (iris, empreinte digitale).

La combinaison de plusieurs techniques rend beaucoup plus difficile l’accès à une personne non autoriséé.

Source: Espace Numérique Entreprises (ENE)

Autres fiches  :
gtag('js', new Date()); gtag('config', ' UA-108352533-1');