By MZ

Bonjour à tous,

Le but de ce tutoriel est de vous apprendre à choisir des bons mots de passe (difficiles à « cracker ») mais faciles à retenir. Tous les conseils sont basés sur les calculs se situant à la fin de l’article.

Cet article a été originalement publié, par moi-même, sur le forum de Mixmail.

Qu’est-ce qu’un mot de passe complexe ?
C’est un mot de passe capable de résister à des attaques « bruteforce » (le fait d’essayer toutes les combinaisons possibles, une à une, grâce à un robot), mais aussi de résister à des attaques plus manipulatrices, où un « hacker » essaiera des mots de passe plus ciblés.

Voici les caractéristiques importantes, classées de la plus importante à la plus négligeable, pour avoir un mot de passe complexe :

1 – La longueur.
C’est le premier critère (voir calculs en bas). Un mot de passe doit contenir au minimum 10 caractères.
Par exemple, un mot de passe composé de 8 lettres peut-être trouvable en moins de 5 minutes, alors qu’un mot de passe de 14 lettres mettra 2000 ans à être découvert !
Donc privilégiez la longueur de votre mot de passe et n’ayez pas peur de dépasser les 15 caractères de long pour être tranquille ! (des exemples de mots de passe longs mais facile à retenir sont présents plus bas)

2 – La complexité du mot de passe en lui-même.
C’est un critère logique, qui protégera en particulier des attaques par « bruteforce dictionnaire » ou des attaques ciblées à votre encontre.
Un mot de passe de 26 caractères avec toutes les lettres de l’alphabet dans l’ordre ne sera pas un mot de passe très complexe, même si sa longueur pourrait le laisser penser.
Vous devez éviter d’utiliser uniquement des phrases présentes dans des livres ou sur internet.
Évitez également tous les mots de passe possédant uniquement des informations personnelles.
Ainsi, rappelez-vous de mettre différents types d’informations. Par exemple, vous pouvez écrire le début d’un dicton célèbre, puis la date de naissance de votre chat (ou poney, ou ce que vous voulez) et terminer avec la fin du titre de votre film favori.

3 – La diversité des caractères
C’est un critère un peu moins important que les deux précédents, mais comme dit le proverbe, « qui peut le plus peut le moins ». Wink
Il y a plusieurs types de caractères différents : les lettres minuscules (26 différentes en français), les chiffres (10), les lettres majuscules (26), et enfin, les symboles (des centaines, lettres accentuées comprises).
Libre à vous d’utiliser ce que vous souhaitez, mais bien souvent, des lettres et des chiffres suffisent.

4 – Des mots de passe différents sur chaque site
Ce n’est pas un critère en rapport direct avec la complexité du mot de passe, mais il ne faut pas l’oublier.
En effet, utiliser le même mot de passe partout, même si celui-ci contient 50 caractères au total, n’est pas sécurisant, car en cas de hack d’un des sites sur lequel vous vous êtes inscrit, tous les comptes sur les autres sites peuvent potentiellement être compromis.
Évitez aussi d’utiliser un mot de passe commun à tous les sites (exemple « blabla123″) et de rajouter le nom du site sur lequel vous vous inscrivez (exemple « blabla123Facebook » qui deviendrait « blabla123Twitter » sur Twitter), car un pirate comprendrait le fonctionnement.

5 – Changer de mot de passe régulièrement
C’est sûrement le critère le plus contraignant, mais il est peu important si vous respectez les autres critères.

Exemples de bon mots de passe faciles à retenir :
(les exemples ci-dessous étaient de très bons mots de passe, mais ne les utilisez pas car ils ne respectent plus le critère numéro 2 et par conséquent, ils peuvent être facilement retrouvés par des robots)

  • 30silavieprivéeestmisehorslaloiseulsleshorslaloiaurontunevieprivéePRZ
  • leP0neyctrogénialXDLOLptdr
  • FirefoxestmieuxqueGoogleChromeenfincestmonavis
  • Jenaiplusdideepourlapeinejemets1254

Comme vous pouvez le constater, ces mots de passe sont très longs, complexes, mais pourtant ils sont très faciles à retenir ! Ils ne contiennent pas de caractères spéciaux, pourtant ils mettront plusieurs siècles avant d’être piratés par BruteForce.

C’est désormais à vous de faire vos propres mots de passe ! Si vous avez des questions ou des suggestions, n’hésitez pas !

 

Maintenant, pour ceux que ça intéresse, place aux calculs :

Vous pouvez trouver le fichier de calculs éditable ici : https://mz-web.fr/owncloud/index.php/s/ZvsfDxuC4Qaj1iH
Tous les critères sont modifiables comme vous le souhaitez pour que vous puissiez effectuer vos propres tests.

Explication des calculs :

Je me base sur 1 milliard d’essais par seconde, en bruteforce.
Pour qu’une telle vitesse soit atteinte, il faut qu’un site internet se fasse « voler » sa base de données, que les mots de passe soient peu protégés et que les « hackers » aient des machines pour calculer tout cela aussi rapidement.
C’est énorme comme vitesse, mais ça s’est déjà vu, notamment à des congrès de hack.
Sur des sites où les mots de passe sont « hachés » grâce à de très bons algorithmes, comme Bcrypt (utilisé sur Mixmail Wink ), ce nombre d’essais peut être de « seulement » quelques milliers par secondes.

Je me base aussi sur un mot de passe contenant uniquement des lettres minuscules (26 caractères).

Enfin, je pars du principe que la durée est le temps que passera un robot/une machine à calculer toutes les combinaisons possibles pour une longueur et un certain nombre de caractères différents, et que ce « hacker » ne va pas calculer uniquement les mots de passe de 25 caractères (par exemple). Il va d’abord commencer par ceux de 1 caractère, puis 2 caractères, puis 3, etc…

Donc pour résumer, les calculs ne sont pas parfaits et se basent sur de la théorie générale.
Par exemple, ils ne prennent pas en compte le fait que le hacker puisse tomber « par hasard » très rapidement sur votre mot de passe s’il teste toutes les combinaisons possibles dans un ordre aléatoire.

MZ
A propos de MZ
Administrateur du site, créateur de sites web. Gère, entre autres, le projet Mixmail.fr ("le Webmail qui ne lit pas vos mails"), et Real-Craft.fr, un serveur Minecraft francophone comportant plus de 200 000 inscrits.

Pas de commentaires

Leave a Comment