Depuis plusieurs années, on nous annonce la fin du mot passe au profit d’un système mieux sécurisé. Force est de constater que le mot de passe a encore des années devant lui.
Il faut donc continuer à définir des identifiants difficiles à cracker par les pirates.
Comment calculer la robustesse d'un mot de passe ?
Faisons une petite parenthèse technique. Il existe 2 variables qui sont prises en compte par les entreprises et organismes de cybersécurité afin de définir le niveau de sécurité d’un mot de passe :
- la complexité
- l’entropie
La complexité
Elle correspond au nombre de combinaisons possibles pour un mot de passe avec un nombre de caractères défini.
Elle est calculée avec la formule : NL
Avec N pour le nombre de combinaisons par caractère et L pour la longueur du mot de passe.
L'entropie
Elle est définie comme le logarithme en base 2 du nombre de tentatives nécessaires pour trouver un mot de passe avec certitude par attaque brute-force (qui vise à tester tous les cas possibles)
Elle est représentée mathématiquement par la formule H = log2 N^L
A titre d’exemple, un mot de passe de 8 caractères font 52 bits, qui est un mauvais score.
L’ANSSI, l’agence française dans la cybersécurité (pour simplifier), préconise au minimum 65 bits.
Je préconise au minimum 103 bits ce qui équivaut à 16 caractères et 130 bits (20 caractères) recommandé.
Comment saisir un mot de passe robuste ?
La longueur du mot de passe (entropie)
Plus votre mot de passe est long, plus il y a possibilités et donc il faut plus longtemps pour un pirate pour trouver la bonne combinaison de caractères pour tomber sur votre mot de passe.
Pour comprendre, voyons ce que ça donne en pratique
En comptant les 26 minuscules, les 26 majuscules, les 10 chiffres (0 à 9), cela fait 62 possibilités par caractère.
Si on multiplie ce chiffre par lui même autant de fois que le nombre de caractères de votre mot de passe, on augmente exponentiellement la complexité du mot de passe.
Pour un mot de passe à 4 caractères représente 62^4 possibilités soit 14 776 336.
Pour un mot de passe à 16 caractères représente 62^16 possibilités soit 47 672 401 706 823 533 450 263 330 816
Si on ajoute des caractères spéciaux, cela fait 90 possibilités au lieu de 62 par caractère.
Imaginez alors le nombre de combinaisons avec un mot de passe à 16 caractères.
Les mots ou phrases de passe
Certains services ou sites Internet vous incitent à deux options dans la création de votre mot de passe :
- mot de passe
- phrase de passe
Vous connaissez déjà le premier mais découvrez peut être le second.
Le principe de la phrase de passe est d’écrire un ensemble de mots pour créer une phrase. En moyenne, une phrase de passe est composée de 4 à 5 mots d’un nombre de caractères entre 15 et 25.
Au premier abord, elle semble plus facile à retenir pour son créateur mais elle possède un gros défaut : elle est aussi plus facile à trouver pour un hacker (ou son outil).
Pourquoi ?
Les phrases sont composées évidemment de mots que l’on retrouve dans des dictionnaires. Or, les outils de piratage utilisent en premier lieu les dictionnaires de mots pour détecter si un mot est trouvé dans le mot de passe de la victime potentielle.
Deuxième raison de son inefficacité : les personnes utilisant cette méthode ont tendance à utiliser des expression connues.
Exemple : Sejeterdansgueuleloup
Conclusion : opter toujours pour un mot de passe, ne créer jamais de phrase de passe.
Éviter les termes évidents
Faisons tout d’abord le tour des pires mots de passe français de 2021.
| Rang | Mot de passe | Temps pour déchiffer | Nb utilisateurs |
|---|---|---|---|
1 |
123456 |
< 1s |
+2 100 000 |
2 |
123456789 |
< 1s |
+895 000 |
3 |
azerty |
< 1s |
+690 000 |
4 |
12345 |
< 1s |
+640 000 |
5 |
000000 |
< 1s |
+240 000 |
6 |
tiffany |
17mn |
+240 000 |
7 |
qwerty |
< 1s |
+240 000 |
8 |
1234561 |
1s |
+240 000 |
9 |
loulou |
< 1s |
+200 000 |
10 |
marseille |
1 jour |
+200 000 |
Il y a trois types de suites de caractères à éviter :
- Les suites de chiffres (1234…) ou les chiffres répétés (0000…)
- Les touches du clavier adjacentes : azerty et qwerty notamment
- Comme pour les phrases de passe, évitez tout nom. Cela inclut les noms commun, les lieux (ex : marseille), les prénoms (ex : tiffany). Même les surnoms tels que loulou sont facilement trouvables car sont présents dans des dictionnaires.
Pour ce 3ème point, je peux vous dire qu’une étude d’Avast il y a 3 ans a révélé que 20% des français sondés mettaient en mot de passe leur nom ou un membre de la famille (animal de compagnie compris). Ces informations sont facilement trouvables sur votre profil ou vos publications sur les réseaux sociaux.
Cela vaut aussi pour les dates de naissance à ne jamais utiliser comme mot de passe, même si elles sont faciles à retenir.
Diversifier les caractères aléatoirement
Si vous mettez que des lettres (minuscules + majuscules) et chiffres, les possibilités sont moins nombreuses par caractère.
Donc, le mot de passe est plus facile à trouver.
Entre le mot de passe de 5 caractères gY4pM et g#6Mp, lequel est le plus robuste ?
Le second car il possède un caractère spécial.
gY4pM : 62^5 = 619 132 832 combinaisons
g#6Mp : 90^5 = 5 904 900 000 combinaisons (presque 10 fois plus que le précédent)
Les caractères ambigus (bonus)
Autre chose à tenir en compte, ce sont les caractères ambigus. Ce sont des caractères qui ressemblent à d’autres. Une personne lambda peut malheureusement croire que remplacer le E par le 3 et le i par un 1 augmente la robustesse de son mot de passe
Exemple : 3gl1s3 (eglise)
Cette méthode marchait il y a 20 ans mais n’est plus efficace, les outils de piratage ayant évidemment pris en compte cette méthode dans leur programmation.
Conclusion
Il vous faut :
- un mot de passe long
- aucun nom commun/propre
- aucun caractère ambigu
- aucun lien entre les caractère (caractères aléatoires)
