De la bonne utilisation des mots de passe et questions secrètes

En attendant la finalisation de mon petit manuel pour se protéger sur internet, lorsque certains points seront finalisés, je les publierai sur ce blog ainsi que sur mon blog purement informatique, pour les points plus techniques. Je vais donc parler ici de la bonne utilisation des mots de passes et des questions secrètes.

En faisant un peu de social engineering auprès de mon entourage, je constate que la majorité des utilisateurs sur internet utilisent des mots de passe facilement crackable : en effet, ces derniers sont souvent des dates de naissance, mariages, ou simplement les noms de leur enfants et autres évidences que l’on peut facilement trouver. Donc mon premier conseil à ce propos, est de bannir ce genre de pratique.

Ne pas également utiliser des mots du dictionnaire : il existe des logiciels qui vont tester les mots de passe en utilisant tous les mots du dictionnaire, et donc ceci est à proscrire également!

Le mieux est d’utiliser des mots de passe complexe, assez longs avec des majuscules, minuscules, chiffres et caractères spéciaux. Il devient dès lors beaucoup plus difficile de « cracker » le mot de passe, et ce même avec un logiciel. On peut également faire des phrases, histoire de garder un moyen mnémotechnique pour le retenir. Par exemple :

Je mange une tartine

Et vous le transformez comme ceci :

j3!m@Ng3-Un3_t@Rt1n3

Et bien sûr, le dernier conseil à vous donner en mot de passe est de ne pas vous limiter à un mot de passe ! La pratique idéale serait de créer un mot de passe différent pour chaque service que vous utilisez sur internet (et d’autres personnes de mon entourage préconisent également une adresse mail différente par service que vous utilisez : c’est plus contraignant, mais beaucoup sécurisé).

A noter qu’il existe aussi des générateurs de mot de passe, qui permet de générer aléatoirement ces derniers. Un petit exemple à cette adresse : http://strongpasswordgenerator.com/

Selon une remarque qui m’a été faite, vous pouvez aussi choisir 4 mots du dictionnaire que vous mettez aléatoirement, mais comme je l’ai déjà mentionné plus haut, un bon programme pourra avec un certain temps en venir à bout. Pour ma part, je prendrai donc 4 mot aléatoirement, et je modifie encore par des caractères spéciaux. Par exemple:

Pomme main cheval chaussure donnera P0Mm3 M@!n ChevA1 cH@u5,5r3

Mais ne prenez jamais, au grand jamais, des suites de mots issus de livres, car des crackers utilisent ce genre de choses dans leurs programmes pour faire sauter les mots de passe!

Vous allez me dire que finalement, c’est impossible de retenir ce genre de mot de passe. Alors voici ma petite technique, qui ne me permet de n’en retenir qu’un seul alors que j’utilise des mots de passe différents sur chacun de mes services en ligne :

Je vais avoir besoin de deux choses : un simple fichier texte ainsi que le logiciel TrueCrypt, qui sera présenté ultérieurement. Dans le fichier texte je mets les logins et mot de passe de chacun des services utilisés, et ensuite je mets ce fichier dans un container TrueCrypt, dont moi seul ai l’accès. Le seul mot de passe à retenir est donc le mot de passe de ce fameux container.

Et pour les questions secrètes?

On voit encore régulièrement l’utilisation de questions secrètes en cas d’oubli de mot de passe, même si ce système à tendance à tout doucement disparaître au profit d’envoi de SMS. La pratique que je conseille est bien sûr, de ne pas répondre exactement à la question. Je vous donne un petit exemple:

Si la question est Quel est le nom de mon professeur de première primaire ? Je ne ne répondrais pas Madame Machin, mais par exemple un autre nom du style Gérard Menfroy.

Bien sûr, vous pouvez utiliser la méthode TrueCrypt citée plus haut pour stocker les réponses à vos questions secrètes.

Avant de vous laisser à vos occupations, je voulais juste terminer par un cas particulier, qui est le fameux trousseau de mot de passe qu’on trouve sur les Mac (en tout cas, jusqu’à la version 10.6, n’ayant pas testé avec un mac os plus récent): Fuyez son utilisation! En effet, si quelqu’un s’empare de votre appareil et débloque l’utilisateur root (l’utilisateur Dieu, celui qui sait tout faire sur l’ordinateur) il pourra voir tous vos mots de passe et les utiliser/changer, comme il le souhaite.

Voilà, j’espère avoir fait le tour de la question, si vous avez des questions n’hésitez pas !

Désireux de mieux vous protéger en ligne? Retrouvez l’ensemble des techniques pour protéger votre vie privée en ligne sur la page votre vie privée

Vous aimez mes petits articles ou histoires? Vous voulez me soutenir ou me remercier? Choisissez la façon qui vous convient le mieux!

2 Comments

  1. Et sinon on peut utiliser KeePassX qui fait le même boulot il est conçu pour.
    Cerise sur le g4t34u il chiffrent vos mot de passe en AES-256 supporte en plus ‘lusage d’un fichier clé et pour finir c’est un logiciel libre, multi plate-forme. Elle est pas belle la vie ? =)

Comments are closed