Quelques règles de complexité de mots de passe

14 commentaires

La puissance des ordinateurs augmente sans cesse, et rend de plus en plus vulnérable les accès par mots de passe (puisque plus une machine est puissante, plus elle peut rapidement tester un très grand nombre de combinaisons… ce temps étant le frein principal pour un hacker à casser un mot de passe, un peu comme un voleur abandonne quand il se trouve face à une série d’obstacles qui lui prennent du temps).

Le standard dans les entreprises pour la complexité des mots de passe évolue. Désormais, un bon mot de passe :
– contient 8 caractères minimum
– contient 3 types de caractères parmi les 4 classes suivantes : minuscules, majuscules, chiffres, caractères spéciaux (éviter toutefois les caractères non internationaux comme les lettres accentuées du français, qui peuvent être difficiles à trouver sur un clavier étranger lors d’un de vos voyages)
– ne doit pas inclure ou être un dérivé de votre identifiant (eg, le mot de passe de paul.martin ne doit pas être paul1#PP ou Martintin3U_)
– doit être différent de vos mots de passe précédents (ne pas tourner sur 2 ou plusieurs mots de passe)
– contient au moins 4 caractères différents, et chacun n’étant pas répété plus de 4 fois (eg, BBBBB_9x est à éviter)
– n’est pas un enchaînement de touches du clavier (eg, le motif AZERTY1@) , qu’il soit vertical ou horizontal
– n’inclut pas le nom de votre entreprise ou un nom commun
– n’est pas une variation d’un nom commun : écriture à l’envers, ou écritures à la mode comme celles remplaçant certaines lettres par un symboles proches (eg, k4r4te_K, Un1v3rs3…)

Ca commence à devenir complexe hein !?

COMMENTAIRES RESEAUX SOCIAUX

Pour commenter cet article, vous pouvez soit utiliser le module réseaux sociaux ci-dessous (s'il ne s'affiche pas c'est que votre ordinateur bloque l'affichage de facebook sur les sites tiers), ou bien le module traditionnel du blog situé un peu plus bas.

14 Comments

  1. Pierre

    10 février 2014 at 8:47

    Bonjour,

    J’ajouterai, un mot de passe different par site ou par application.

  2. Benoit

    10 février 2014 at 8:53

    Malheureusement, même cette complexité là commence à être mise à mal ! C’est mieux que la moyenne, mais ça ne résiste pas à une vraie attaque. (référence : http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/)

    La bonne pratique serait d’utiliser un générateur de mot de passe aléatoire, avec 10 ou 12 caractères. Et, SURTOUT, ne jamais réutiliser le même mot de passe sur deux sites web différent.

    Afin de ne pas devenir fou, il est conseillé d’aider les neurones avec un gestionnaire de mot de passe, comme notamment KeePass (qui a la bonne idée de comporter un générateur de mot de passe, http://keepass.info/) ou le gestionnaire inclus dans Firefox.

    • Guillaume [admin]

      10 février 2014 at 9:34

      Merci pour ces infos !

    • Robert Marchenoir

      10 février 2014 at 14:18

      Kee Pass est excellent, je confirme. Pour quiconque l’utilise, le problème serait plutôt du côté des sites Web, qui sont souvent en retard sur l’adoption des procédures les plus sûres.

      Exemples :

      – Impossibilité d’utiliser des mots de passe très longs. Avec Kee Pass, il n’y a aucune pénalité à adopter des mots de passe de 40 ou 50 caractères, puisque c’est le logiciel qui les colle automatiquement. Mais beaucoup de sites sont limités à 20 caractères, voire beaucoup moins.

      – Certains sites interdisent la saisie du mot de passe par copier-coller, ce qui oblige à employer des mots de passe courts et relativement simples.

      – Rares sont les sites qui acceptent la totalité des caractères pouvant être utilisés par Kee Pass, et notamment la totalité des caractères spéciaux, espaces et parenthèses.

      – Un grand nombre de sites n’explicitent pas les règles qu’ils appliquent pour les mots de passe, ou en expliquent une partie seulement. Pa

      • Robert Marchenoir

        10 février 2014 at 14:25

        Par exemple, la longueur maximale du mot de passe est rarement indiquée. Il faut tâtonner.

        – Les sites français sont plus mal conçus que les sites étrangers et internationaux à cet égard.

        – Les sites français les plus sensibles sont souvent ceux qui adoptent les politiques les moins sûres et interdisent les mots de passe les plus forts : banques, Sécurité sociale, site des impôts…

        Je connais une banque qui a une procédure d’accès ridiculement faible. Je lui en ai fait la remarque. La réponse fut : nous n’avons pas connu de problèmes pour l’instant…

        Dans un domaine proche, j’ai déjà reçu par la poste le relevé bancaire d’un inconnu, ayant un compte à la même agence que la mienne. Mon chargé de compte n’a pas eu l’air catastrophé par la nouvelle : il s’est contenté de dire que c’était probablement une erreur commise par un stagiaire. Sous-entendu : c’est pas grave.

    • Messmer

      11 février 2014 at 3:39

      8 c’est insuffisant minimum 14 maintenant.

      Un mot de passe comme 12@c5aB! résisterait peux de temps si l’attaque est hors ligne.

      Selon Password Haystacks sur le site de Gibson Research Corporation: un tel mot de passe résisterait à une attaque brute force hors ligne entre 18.62h environ et moins de 1.12 minute selon la puissance informatique. Une carte graphique peut facilement produire environ 190 millions de hash sha1 par seconde.

      Personnellement, j’utilise maintenant le plus long possible avec le gestionnaire lastpass.

      Mon compte lastpass est protégé par un nom d’utilisateur, un mot de passe de 20 caractères diversifié et une clef de yubico (dual factor authentifiction).

  3. jonny all iday

    11 février 2014 at 15:46

    Bonjour, il existe aussi Pwgen pour générer de bon mots de passe.

  4. vince

    14 février 2014 at 12:00

    Petites astuces supplémentaires :

    – créer un dossier sur son mac/pc (organisation)
    – y créer un document (.doc, .xls, .txt) dans lequel seront mis tous les mdp, login etc.
    – y mettre un fichier (photo inf. à 1mo par exemple) que vous ne modifierez jamais
    – crypter le document avec TrueCrypt en liant le décryptage avec le fichier (photo)
    – envoyer le document crypter et le fichier (photo) sur votre gmail, dropbox, etc.

    Voilà, un mot de pass (et un fichier) pour les garder tous, accessible partout, ultra-sécurisé, indépendant d’une société privée et … gratuit 🙂

    Celles et ceux qui n’ont rien compris peuvent envoyer un MP à l’admin pour un tuto

    V

    • Archiviste

      19 février 2014 at 0:24

      Problème avec cette méthode : pas pratique.

      Si l’usager qui est paresseux doit faire quelques étapes. Il va laisser tomber et revenir a ses mauvaises habitudes.

      Aussi, on ne parle pas de vrais mots de passe aléatoire ici. Un bon mot de passe est l’un que l’on ne peux pas se rappeler! Il faut encore un générateur…

      Mon conseil, payez le 12 $ US pour Lastpass si vous utilisez une téléphone intelligent et cassez-vous plus le bonbon.

      • vince

        19 février 2014 at 14:11

        Hum, ok. J’ai quand même quelques réticences à laisser mon mot de pass (d’accès à mon compte en banque par exemple) à une société privée, américaine, dont la vidéo de présentation ne fonctionne pas pour mon navigateur (Safari) et tout ça … pour 12 USD.

        Il y a effectivement des étapes avec la méthode exposée ci-avant, mais bon : no pain no gain 😉

  5. l'artiste du dimanche

    17 février 2014 at 17:32

    Toujours bon à connaitre ce genre d’astuces ! LE plus compliqué/pénible étant de tenir à jour sa liste de mot de passe pour en avoir tj des différents 🙂

  6. Humbert

    25 février 2014 at 1:51

    Une vieille méthode pour créer un mot de passe facile à retenir:
    Choisir un poème, une chanson préférée. Puis prendre la première lettre de chaque mot, en respectant minuscule et majuscule et ponctuation.
    Exemple:
    Maître Corbeau sur un arbre perché,
    =>
    M6C7s3u2a5p6,

  7. Gilles

    4 mars 2014 at 11:23

    Le principal critère de dureté d’un mot de passe, c’est sa longueur et rien d’autre !
    – jusqu’à 8 caractères, quelque soit la complexité du mot de passe, il existe des rainbow tables (gratuites et facilement accessibles) permettant de casser le mot de passe en quelques secondes.
    – jusqu’à 12 caractères, ces mêmes tables existes partiellement ou avec des jeux de caractères plus limités.
    – au delà, les tables sont très parcélaires et accessibles uniquement sur abonnement

    Donc l’idée générale est que le mot de passe soit plutot une phrase de passe, siplement en accolant plusieurs mots usuels sans liens entre eux (par exemple ChevalAgraffeViolette) dans lequel on intercalera un ou plusieurs chiffres et caractères spéciaux imposés par les algorythme de vérification de complexité.
    C’est plus facile à retenir ainsi (et pourtant l’exemple ci-dessus fait 20 caractères !), ça peut être fun ou transgressif en utilisant des mots que vous n’oseriez pas utiliser en clair (et ainsi vous aurez encore moins envie de les partager)

Laisser un commentaire