Mots de passe sécurisés

Le moyen le plus simple d'améliorer la sécurité

G DATA Guidebook

De nombreux utilisateurs ne sont pas conscients de l'ampleur des conséquences de l'espionnage ou de la découverte d'un seul mot de passe. Pensez aux documents professionnels confidentiels ou aux mots de passe supplémentaires pour d'autres services qui vous ont été envoyés par mail. Ces informations, sur lesquelles un pirate peut mettre la main en fouillant dans vos documents privés, peuvent ouvrir des portes et des passerelles vers une utilisation abusive. Bien entendu, il peut être fastidieux de rendre chaque mot de passe aussi sûr que possible et d'en retenir un pour chaque utilisation. Nous vous montrerons comment créer des mots de passe sûrs et faciles à retenir en adoptant la bonne stratégie.

Qui suis-je ? Le sujet de l'authentification

Les gens parlent d'authentification lorsqu'ils ont besoin d'être sûrs que quelqu'un est bien celui qu'il prétend être. Il s'agit d'un défi majeur dans le monde digital et l'utilisation de mots de passe est depuis longtemps un moyen courant d'y parvenir. Mais tout cela ne sert pas à grand-chose si des mots de passe "faibles" (faciles à deviner) sont utilisés. De nombreux pirates en sont conscients, tout comme les programmes malveillants qu'ils ont développés et utilisent. Ils continuent d'essayer des mots de passe jusqu'à ce qu'ils finissent par deviner le bon (attaques dites "par force brute").

Combien de temps faut-il à un pirate pour déchiffrer un mot de passe ?

De nombreux utilisateurs utilisent des mots de passe liés à des informations personnelles, comme leur date d'anniversaire, pour les rendre plus faciles à retenir. Les attaquants le savent aussi. Ils peuvent également trouver sans trop d'effort d'autres aides-mémoire populaires, comme le nom de l'animal domestique ou du partenaire.

Si vous utilisez un ordinateur puissant pour pirater un mot de passe, capable de tester 1 000 000 de mots de passe par seconde, un mot de passe de 8 caractères composé de majuscules, de minuscules, de chiffres et de caractères spéciaux peut prendre jusqu'à 29 ans pour être découvert (en 2016). Dans les mêmes circonstances, un mot de passe à 5 caractères est garanti d'être piraté en 26 minutes !

Mots de passe fréquemment utilisés

Incontournables mais authentiques. Parmi les mots de passe les plus fréquemment utilisés figurent :

  • 123456
  • password
  • passw0rt
  • qwerty
  • login

Quelques trucs et astuces pour créer des mots de passe forts

Générer un bon mot de passe est une science en soi. Il existe d'innombrables facteurs et possibilités de sécurité qui ont une incidence sur ce sujet. À ce stade, nous devrions vous fournir quelques principes simples.

  • La longueur d'un mot de passe est un facteur critique. En règle générale, les mots de passe longs sont plus sûrs que les courts. CEPENDANT : Un mot de passe long composé d'une seule ou de quelques lettres/chiffres/caractères spéciaux n'est pas pertinent. Si un mot de passe de 10 caractères est requis, "AAAAAAAAAA" ne sera d'aucune efficacité. Évitez également les séquences de chiffres ou les rangées entières de clavier telles que AZERTYUIOP.
  • Il ne s'agit pas seulement de longueur mais aussi de complexité. Une combinaison réussie de lettres minuscules et majuscules, de chiffres et, si possible, de caractères spéciaux, peut accroître la sécurité. MAIS : plus les directives relatives aux mots de passe sont spécifiques, plus un attaquant a de chances de pirater le mot de passe à l'aide de systèmes automatisés. Si la directive indique : "Utilisez un mot de passe de 8 caractères comportant au moins un chiffre, une lettre majuscule, une lettre minuscule et un caractère spécial", les attaquants connaissent déjà la nature de 4 des 8 caractères.
  • Pour un mot de passe sûr, vous pourriez enchaîner le premier caractère de chaque mot, les chiffres et les signes de ponctuation de la phrase suivante : "Aujourd'hui, le 10juillet, j'ai mis en place un mot de passe sécurisé d'au moins 18 caractères". Cela donne le mot de passe suivant : "A,l10j,jmepumdpsdm18c". Pour rendre un tel mot de passe encore plus facile à retenir, vous pouvez également en générer un avec une valeur de reconnaissance personnelle, par exemple à partir d'abréviations concernant votre chanson préférée : "The sound of silence de Simon & Garfunkel de 1966 est ma chanson préférée" donne alors "Tsos_dS&G_d1966emcp". Au moins, les attaques par dictionnaire n'aideront pas les attaquants avec des phrases aussi librement formées.
  • Il est également possible d'utiliser ce que l'on appelle le "Leetspeak", où les caractères sont remplacés par des chiffres et des caractères spéciaux qui se ressemblent : Le son du silence = 7h3_50und_0f_51l3nc3. Les variantes de cette méthode peuvent consister à utiliser l'orthographe phonétique ou l'écriture à l'envers, par exemple, et bien d'autres choses encore. Comme vous l'avez peut-être déjà deviné, il y a aussi un "MAIS" dans ce cas : Les attaquants connaissent également le Leetspeak, etc. Lorsqu'ils lancent leurs attaques automatiques, ils utilisent des dictionnaires entiers en Leetspeak et envoient les termes au formulaire de connexion (un type d'attaque par dictionnaire). Leetspeak et autres termes similaires peuvent bien sûr toujours être un facteur dans votre mot de passe.
  • En règle générale, la règle suivante s'applique : N'utilisez pas les mots tels qu'ils apparaissent dans le dictionnaire. Les attaquants disposent également de dictionnaires électroniques pour les mots d'amour, les mots de passe, les noms, etc. et les font simplement passer dans le masque de connexion. Les expressions populaires dans différentes langues sont également répertoriées dans ces dictionnaires. Une combinaison de mots apparemment aléatoires accroît la sécurité, car elle augmente la longueur et, dans la majorité des cas, la complexité du mot de passe. Une telle combinaison de mots est également appelée phrase de passe.

Stocker les mots de passe ou non ?

De nombreuses applications permettent de stocker le mot de passe pour des raisons de commodité. Évitez de le faire dans la mesure du possible. Il n'est pas toujours garanti que le mot de passe soit stocké sous une forme sécurisée et cryptée. De nombreux programmes stockent les mots de passe sur le système en texte clair, non crypté, ce qui permet aux attaquants de les lire facilement. Renseignez-vous sur le fonctionnement du logiciel que vous utilisez avant de lui confier le stockage de vos identifiants. En règle générale, les bons gestionnaires de mots de passe répondent à ces exigences minimales.

Ce à quoi vous devez encore faire attention

Utilisez un mot de passe distinct pour chaque service et n'utilisez pas les mêmes iden,tifiants deux fois. Vous éviterez ainsi que quelqu'un s'introduise trop facilement dans vos services s'il a réussi à trouver un mot de passe. En outre, le mot de passe choisi doit être connu de vous seul et ne doit pas être transmis à des amis, des collègues de travail ou des parents, ni être écrit.

Mon mot de passe est-il sûr à 100 % ?

Si vous comprenez et appliquez les conseils ci-dessus, vous répondrez aux exigences en matière de mots de passe forts. Mais la sécurité de ces données d'accès ne dépend pas uniquement de cela.

  • Les logiciels malveillants : Le mot de passe ne peut pas être deviné par des personnes ou piraté par un processus automatisé en un temps limité. Cependant, les cybercriminels utilisent également des logiciels malveillants spécialement conçus pour espionner les mots de passe. Cela inclut les logiciels espions en général, les voleurs de mots de passe et les enregistreurs de frappe en particulier, ainsi que les chevaux de Troie bancaires. Ces derniers ont souvent la capacité de lire et d'enregistrer les identifiants des victimes. Il est donc crucial de protéger l'ordinateur et les appareils mobiles avec une solution de sécurité complète.
  • Piratage de bases de données : Lorsque vous générez des données d'accès pour un service, vous remettez ces données entre les mains des opérateurs du service. Vous devez leur faire confiance pour stocker les données en toute sécurité. Cependant, dans le passé, le piratage de bases de données ont été fréquent, les données personnelles et les identifiants étant obtenus en texte clair ou avec un cryptage inadéquat. L'un des cas les plus connus de l'histoire récente est probablement l'attaque du site web d'adultère Ashley Madison, où des ensembles de données complets sur des millions d'utilisateurs ont été publiés.
  • Vous devriez vérifier : si vos données ont été trouvées lors d'une cyberattaque et ont été publiées sur le web. Le Hasso Plattner Institute propose un service fiable à cet effet.

Pour résumer, un bon mot de passe doit...

  • être suffisamment long et être composé de plus d'un mot !
  • avoir un certain niveau de complexité !
  • n'être connu que de vous !
  • être facile à retenir malgré sa complexité !
  • être stocké dans un gestionnaire de mots de passe approprié - voire pas du tout stocké!
  • être protégés contre les logiciels malveillants par une solution de sécurité complète !

Nerdbox

Conseil pour les professionnels : Outre l'utilisation d'un mot de passe fort, nous recommandons également d'utiliser l'authentification multiple à chaque fois que l'occasion se présente. Nous avons rassemblé plus d'informations à ce sujet dans un article du SecurityBlog de G DATA : " L'authentification multifactorielle. De combien de facteurs avez-vous réellement besoin ? "