Choisir un mot de passe fort dont vous pouvez vous souvenir de manière fiable peut être pénible. Il existe de nombreux champs de création de mot de passe qui ont leurs propres exigences: ils doivent comporter sept lettres, doivent contenir un nombre, etc. Suivre ces instructions ne garantit pas un mot de passe sécurisé - pas du tout. Il y a cependant quelques règles à suivre, et des astuces pour s'assurer d'avoir le meilleur mot de passe possible… tout en étant capable de s'en souvenir.
La première règle pour tester la force d'un mot de passe est d'être extrêmement prudent lorsque vous utilisez des outils en ligne pour tester vos mots de passe. Les sites Web ou les logiciels téléchargeables peuvent prendre le mot de passe que vous essayez de tester et l'ajouter à une liste de mots. Une liste de mots est une liste de mots de passe connus et généralement courants. Les listes de mots peuvent contenir des millions d'entrées et sont utilisées par les pirates pour faire des suppositions éclairées sur les mots de passe plutôt que la méthode plus lente consistant à essayer toutes les combinaisons possibles à partir de « aaaaaa ».
En d'autres termes, une liste de mots conserve des mots de passe tels que "Susie1202" et "Password12". Les pirates exécuteront la liste des mots de passe sur des sites dans l'espoir d'obtenir une correspondance. Il est crucial d'avoir un mot de passe qui ne figure pas sur une telle liste. Ces listes de mots sont étonnamment efficaces, car de nombreuses personnes utilisent des mots de passe génériques ou courants. Heureusement, vous n'êtes pas seul - il existe des outils pour vous aider: Vérificateurs de sécurité de mot de passe.
Ces vérificateurs sont généralement gérés par des sociétés de cybersécurité fiables. Soyez toujours prudent lorsque vous utilisez ce type d'outil - il y a toujours des risques encourus. Vous ne devriez pas simplement faire confiance à un site Web ou à un programme proposant de mesurer la force de vos mots de passe sans être absolument sûr qu'ils sont sûrs - en fait, même certains les entreprises de cybersécurité qui proposent elles-mêmes ces outils recommandent de ne pas utiliser vos vrais mots de passe et de ne tester que des mots de passe potentiels ou similaires avec leurs outils - Au cas où.
Alors, comment êtes-vous censé savoir à quel point votre mot de passe est fort sans utiliser un site Web ou une application pour le vérifier ?
La réponse est étonnamment simple: en apprenant davantage sur ce qui rend un mot de passe sûr et en le concevant en conséquence.
Types d'attaque
Lorsque vous essayez de concevoir un mot de passe sûr, il est utile de comprendre comment les pirates tentent d'attaquer. Il existe deux principaux types d'attaques; force brute et dictionnaire.
Les attaques par force brute essaient toutes les combinaisons possibles de personnages. Avec suffisamment de temps, cette méthode finirait par déchiffrer tous les mots de passe possibles. Le principal inconvénient de ce type d'attaque est qu'il prend du temps, et plus il y a de combinaisons à tenter, plus cela prend de temps. Le temps nécessaire peut être astronomique – même si un programme peut exécuter des dizaines de milliers de possibilités par minute, il existe des millions de combinaisons possibles, rendant ces attaques inefficaces. Il est très peu probable que les mots de passe longs soient déchiffrés en utilisant cette méthode, car exécuter toutes les possibilités et donc les trouver pourrait prendre des décennies.
Les attaques par dictionnaire utilisent les listes de mots susmentionnées pour faire des suppositions éclairées sur ce que pourraient être les mots de passe. Cette technique réduit considérablement le nombre de suppositions à faire par rapport aux attaques par force brute, accélérant le processus par une énorme marge. Les listes de mots sont généralement basées sur des mots de passe connus divulgués. Les logiciels conçus pour effectuer ce type d'attaque peuvent également inclure des règles de « mutilation de mots » qui peuvent modifier les mots pour essayer également des variantes courantes. Par exemple, une règle de modification de mots peut essayer de remplacer un "o" par un "0" ou d'ajouter un "!" à la fin d'un mot. Ces règles sont généralement basées sur des substitutions ou des ajouts courants que les gens font - il va sans dire que ce n'est pas très sûr. Le principal inconvénient de ce type d'attaque est que l'attaquant doit déjà avoir le mot de passe dans sa liste de mots, et l'attaque est aussi bonne que la liste de mots.
Comment faire un mot de passe fort
Il y a trois facteurs importants dans la force d'un mot de passe: la longueur, l'unicité et la complexité.
Conseil: N'utilisez PAS les mots de passe ou les éléments de mots de passe mentionnés dans cet article, car ils ne sont pas sécurisés.
Comment la longueur affecte la force d'un mot de passe est assez simple à comprendre. Plus un mot de passe contient de caractères, plus il faut essayer de combinaisons de lettres avant qu'un pirate informatique soit statistiquement susceptible de deviner correctement. Par exemple, il y a beaucoup plus de mots de six lettres que de mots de quatre lettres. En fait, pour chaque caractère ajouté, le nombre total de combinaisons possibles augmente de façon exponentielle.
La longueur est la meilleure protection contre les attaques par force brute, mais se souvenir, disons, d'un mot de passe de 64 caractères n'est pas vraiment facile. Ce n'est pas non plus nécessaire. La situation idéale est de créer un mot de passe si long qu'il est tout simplement impossible de consacrer du temps et de l'énergie à éventuellement le déchiffrer. L'idéal est de 10 caractères ou plus – dans presque tous les cas, cela suffira.
Certaines personnes pourraient proposer un plan pour utiliser un mot de passe incroyablement long, si long qu'il serait impossible de le forcer brutalement. Par exemple, un poème, des paroles de chansons ou les œuvres complètes de Shakespeare. En supposant que le site Web le permette, cela fonctionnerait, mais à un moment donné, un pirate informatique peut ajouter ces exemples connus à sa liste de mots « juste au cas où », puis l'idée s'effondre. C'est là que l'unicité entre en jeu.
L'unicité est difficile à juger. Sur les plus de sept milliards de personnes sur Terre, il peut être difficile de trouver quelque chose de complètement unique, mais cela vaut toujours la peine d'essayer. Certains des mots de passe les plus courants, encore utilisés aujourd'hui, sont: "admin", "password", "123qwe" et "qwerty". Ce sont des mots de passe terribles, non seulement parce qu'ils sont courts, mais parce qu'ils sont bien connus, ils seront donc dans chaque liste de mots, probablement comme l'une des premières suppositions. Certaines personnes essaient de rendre ces mots de passe un peu plus compliqués en utilisant « Mot de passe1! » mais c'est trop prévisible et c'est aussi dans la plupart des listes de mots.
Pour vaincre une attaque basée sur des listes de mots, vous devez concevoir un mot de passe qui ne sera pas connu ou pensé. Le meilleur des cas est d'utiliser une sélection de caractères complètement aléatoire, mais c'est probablement trop difficile à retenir.
"UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO" serait un mot de passe SÉCURISÉ, mais ce ne sera pas pratique.
Une solution décente consiste à utiliser une sélection de mots, cela ne veut rien dire ensemble. Un exemple, popularisé par le webcomic XKCD, est "CorrectHorseBatteryStaple". Ce concept est assez fort, encourageant à la fois la longueur et le caractère aléatoire, et le résultat devrait être plus facile à retenir qu'une chaîne aléatoire de caractères et de symboles. Vous pouvez choisir les mots que vous aimez - des animaux que vous aimez, des fleurs, le nom d'un acteur préféré, même, tant que ce sont plusieurs choses dont vous vous souvenez. Même cinq choses que vous avez sur votre bureau en ce moment fonctionneraient !
Quant à la complexité: c'est un must - c'est certainement l'un des aspects les plus importants de la création d'un mot de passe. Changer des lettres en chiffres et ajouter des symboles peut augmenter la complexité de vos mots de passe. Une chaîne de dix caractères de lettres, de chiffres et de symboles aléatoires est un meilleur mot de passe, et moins susceptible d'être deviné, que la lettre "a" cent fois de suite, qui, à son tour, est toujours un meilleur mot de passe que « Mot de passe12! »
La complexité est un bon moyen de rendre les mots de passe plus difficiles à deviner, mais elle les rend également plus difficiles à mémoriser. Il s'agit de trouver un équilibre sain. En général, ajouter un peu de complexité en incluant un nombre et un symbole quelque part est une amélioration suffisante pour vraiment faire une différence dans la force de votre mot de passe. Il n'est pas vraiment nécessaire de changer autant de caractères que possible en chiffres ou en symboles - cela rend simplement plus difficile la mémorisation.
Conclusion
Pour résumer les trois exigences, voici quelques bonnes règles à retenir pour les mots de passe :
- Les mots de passe doivent avoir 10 caractères comme longueur minimale raisonnable, mais plus c'est mieux.
- Les mots de passe ne doivent pas être des combinaisons de mots simples ou courantes; ils doivent être uniques.
- Les mots de passe doivent contenir une gamme de types de caractères, y compris des chiffres et des symboles
Astuce: Si vous êtes curieux et souhaitez une démonstration visuelle en direct de l'impact de la longueur et de la complexité sur la force globale du mot de passe, utiliser un testeur de force de mot de passe en ligne n'est pas une mauvaise idée. Les exemples suivants sont des sites dignes de confiance. Faites toujours attention à l'endroit où vous entrez vos mots de passe et informations - certains sites peuvent essayer de voler vos mots de passe. Les sites ci-dessous sont réputés fiables :
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php