Retour

Comment choisir un bon mot de passe

image
Publié le 10 novembre 2020

Lors de la création d’un compte pour un service quelconque sur Internet, vous devez renseigner un mot de passe. Ce dernier sera sauvegardé, sous une forme ou une autre, sur un serveur, pour assurer votre authentification lors des futures connexions.

Si ce mot de passe est enregistré en clair (sans être codé) les administrateurs du service pourraient alors en abuser: le revendre ou l’utiliser à votre place.

Des listes entières d'identifiants et mots de passe sont fréquemment récupérées par des hackers (pirates informatiques) ou même retrouvées sur de vieux disques durs dans des déchèteries.

Le vol de données peut être contré par le cryptage ainsi que l'utilisation de mots de passe dit "forts".

Cryptage des données et fonction de hachage

Le hachage est une fonction mathématique qui permet de reconnaître une information sans pour autant contenir l’information elle-même.

Prenons des images comme exemple:

Image originale
Image originale
Hachage faible
Hachage faible
Hachage fort
Hachage fort

À partir de l’image originale, il est aisé de produire l’image hachée. Par contre, il est quasi impossible de reconstituer l’image originale à partir de l'image hachée.

Image originale
Image originale

Fonction de hachage

==>

Hachage fort
Hachage fort

Au moment du choix d'un mot de passe, le serveur va donc le hacher et ne stocker en mémoire que le résultat du hachage, sans mention du mot de passe original. Lors d'une future identification au serveur, le mot de passe transmis sera passé au travers de la fonction de hachage. Le serveur compare ensuite l’image obtenue avec celle qu’il a stockée sur son disque dur.

Le hachage permet donc d'éviter de stocker le mot de passe, en clair, sur le serveur, tout en garantissant l'authentification de l'utilisateur, et limite les risques en cas de vol de donnée.

Voici un exemple de hachage de mots de passe textuels:

Mot de passe en clairMot de passe haché
MaisonBleueAC1107BCD00
Soleil123E3BA34C8900A

Le hachage est-il inviolable?

Les fonctions de hachage utilisées en informatique sont connues de tous. Ainsi, n’importe quel programmeur peut transformer "MaisonBleue" en "AC1107BCD00". Par contre, il est quasi impossible de reconstruire MaisonBleue à partir de AC1107BCD00.

Pourquoi “quasi impossible” et pas “impossible” ?

Imaginons un ordinateur qui passe son temps à hacher des mots de passe hypothétiques et qui les mémorise. Cela donnerait une énorme liste:

Mot de passe en clairMot de passe haché
AAAAAC11C8900A00
AAAB07BCDA34C89
......
AAAZ0AFF185FA0C11

Si cet ordinateur liste tous les mots de passe possibles et imaginables et procède, un à un, à leur hachage, il disposera d’une liste énorme qui lui permettra alors de retrouver quel mot de passe correspond à quel hachage.

Est-il possible pour un ordinateur de mémoriser une telle liste?

Cela dépend du nombre de combinaisons de mots de passe possibles. Ce dernier découle du nombre de caractères maximum que peut avoir un mot de passe ainsi que des caractères autorisés pour sa composition. Par exemple:

  • les lettres de A à Z
  • casse pris en compte (majuscules et minuscules)
  • les chiffres de 0 à 9
  • des codes spéciaux comme $ # %
  • etc.

Le tableau suivant donne une idée de l'évolution du nombre de possibilités en fonction des composantes autorisées dans un mot de passe:

Symboles autorisésNombre de caractèresNombre de possibilités
Les chiffres de 0 à 9110
Les chiffres de 0 à 931000
Les lettres majuscules de A-Z126
Les lettres majuscules de A-Z317’576
Les lettres majuscules et minuscules ainsi que les chiffres = 26 + 26 + 10 = 62 symboles différents8218 340 105 584 896

Plus un mot de passe est long et plus il y a de symboles autorisés, plus le nombre de possibilités devient rapidement astronomique. Un ordinateur ne peut donc pas mémoriser l’ensemble des combinaisons possibles de mots de passe.

Sommes-nous donc en sécurité?

La réponse est... non! car l’humain n’utilise qu’un petit sous-ensemble de ces nombreuses combinaisons et, de plus, cultive les mauvaises habitudes.

Une majorité des mots de passe utilisés ont une longueur inférieure ou égale à 8 caractères et ne sont composés que de lettres et/ou de chiffres. Ce qui représente tout de même 218 340 105 584 896 combinaisons possibles et nécessiterait environ 10 milliards de Gigaoctets pour les stocker toutes.

De plus, l’être humain préfère largement les mots de passe simples à mémoriser. Il évitera naturellement un mot de passe comme 3Xc4daFc et lui préfèrera Camion12.

De ce fait, le nombre de combinaisons réelles de mots de passe utilisés est bien plus faible que le nombre de combinaisons théorique possible. Il est donc tout à fait possible pour un ordinateur de créer des listes de hachages basés sur des mots issus des dictionnaires de différentes langues, combinés avec des chiffres, qui couvrent une quantité impressionnante de mots de passe utilisés à travers le monde. Ce type de mots de passe est appelé mot de passe faible.

Comment former des mots de passe "forts"?

On peut facilement produire des mots de passe forts en utilisant des symboles tels que:

( * ) @ ? - :

Combinés à des noms usuels, ils permettent d'obtenir des mots de passe simples à mémoriser, mais offrant une protection bien plus importante:

Mot de passe faibleMot de passe fort
soleilSoleil(*)
mimi1012/MiMi/1012/
membre18@Membre:18

Veillez à ne pas utiliser de symboles trop particuliers, tel qu’un accent grave seul `, par exemple. La saisie de ce type de caractère peut devenir un challenge sur un clavier d'un autre pays ou sur smartphone anglais.

Conclusion

La fuite de données, telle que les mots de passe, est une réalité fréquente. Il est de la responsabilité des plateformes de service de crypter les mots de passe qu’ils mémorisent avec des fonctions de hachage de qualité. Malheureusement, en tant que simples utilisateurs, nous ignorons si notre mot de passe sera stocké de manière sûre.

Il est de notre responsabilité, en tant qu’utilisateur, de choisir un mot de passe fort et, surtout, d’utiliser des mots de passe différents pour chaque service.

D’autre part, il est conseillé de changer de mot de passe régulièrement pour des services sensibles tels que l'e-banking, ou le compte mail.


Liens

passwordmeter.com

Pour tester la force d’un mot de passe

howsecureismypassword.net

Estime le temps nécessaire au "crackage" du mot de passe proposé.

haveibeenpwned.com

Pour savoir si votre email fait partie de différentes fuites de données connues

Attention à ne pas proposer sur ces sites de mots de passe que vous utilisez ou souhaitez utiliser dans le futur!

Il n’est pas impossible que ce service vous trace et revende les mots de passe que vous auriez testés...

Ce sont des outils utiles pour faire des tests et prendre de bonnes habitudes.