Sécurité

Comment créer des mots de passe sécurisés ?

Nos conseils pour protéger vos mots de passe et améliorer la sécurité de vos informations.

De nos jours, il est devenu banal de gérer une partie de son existence via des sites web, de sa déclaration d’impôts à ses achats. Mais avec cette facilité d’accès vient une question : comment protéger nos informations sensibles et avoir une bonne hygiène numérique ? Quelques réponses ici !

 

Créer un mot de passe en béton armé

 

Mots de passe les plus utilisés

 

Les mots de passe populaires sont vulnérables aux attaques dites de “spraying”. Ces attaques consistent simplement à tester une liste de mots de passe les plus communs pour accéder à votre compte.

N’utilisez par exemple pas des séquences de chiffres ou de lettres : “12345”, “azerty”. Même dans leurs versions les plus longues, ces mots de passe sont trop faciles à deviner pour prémunir vos comptes des intrusions.

Les mots ou phrases tel que “loulou”, “chocolat” ou “jetaime”, s’ils démontrent de vos goûts ou de votre affection, ne prendront que quelques secondes à être trouvés par les logiciels dédiés. Et ne parlons pas du fameux “motdepasse”.

Les mots de passe forts donnés en exemple sur divers sites sont aussi à proscrire ! À partir du moment où un mot de passe est disponible publiquement, il n’est plus garant de la sécurité de votre compte puisqu’il pourrait déjà se retrouver dans les bases de données de hackers.

 

Aucune information personnelle, aucun mot entier

 

À l’heure où le partage d’informations sur les réseaux sociaux fait partie de notre quotidien, il est essentiel de ne pas faire reposer la sécurité de votre compte sur des informations qui pourraient être obtenues via une simple recherche Google. Vos mots de passe ne doivent pas contenir de prénoms, villes, dates de naissance et autres.

Le problème s’étend à l’utilisation de noms communs. Pourquoi ? Utiliser des noms communs dans votre mot de passe le rend vulnérable à ce que l’on appelle les attaques par dictionnaire. À savoir, des attaques qui se basent sur des bases de données contenant des mots, mots de passe fréquents ou compromis, leurs équivalents en leetspeak (langage qui consiste à remplacer des lettres par des chiffres ou des caractères spéciaux), etc.

Certains experts préconisent de changer quelques caractères d’un nom commun afin de pouvoir l’utiliser dans des phrases secrètes. L’idée étant que la longueur du mot de passe et sa facilité à être retenu en font un mot de passe plus sécurisé qu’une abondance de caractères spéciaux. Cependant, les bases de données utilisées à des fins malveillantes contiennent déjà un certain nombre de ces substitutions. Si vous souhaitez utiliser cette méthode, il faudra donc utiliser votre propre système, unique, de substitution.

 

Un idéal de 18 caractères

 

Et jusqu’à 40.

Ce critère vise à vous prémunir des attaques par force brute. Plus il faudra tester de combinaisons pour espérer obtenir votre mot de passe, moins il y a de chances qu’il soit cracké.

Pourquoi 18, quand de nombreux sites incitent à respecter une longueur minimale de 8 caractères pour les mots de passe ? Les moyens techniques des cybercriminels évoluent et les standards de sécurité doivent suivre.

Ces 10 caractères supplémentaires font une différence colossale. Pour vous donner un ordre d’idées, les combinaisons possibles en utilisant 18 caractères sont environ de 150 094 635 296 999 000 000 000 000 000 000 000 contre 4 304 672 100 000 000 pour 8 caractères. La taille du mot de passe a donc beaucoup d’importance !

Il est également préférable d’éviter les premières suites de lettres, de chiffres ou encore de symboles tels que dans cet exemple “abcdef012345&锑(-” qui seront les combinaisons utilisées en premier par les pirates pour tenter de trouver votre mot de passe.

 

4 types de caractères

 

Un mélange de lettres majuscules, minuscules, chiffres et caractères spéciaux permet d’augmenter le nombre de combinaisons à essayer pour espérer trouver votre mot de passe. La différence est cependant moins significative que celle produite par le changement ou l’ajout de caractères.

Quelle utilité ont alors les caractères spéciaux ? Il est possible de les utiliser pour se prémunir des attaques par dictionnaire ou d’insérer une composante aléatoire dans vos mots de passe, ce qui les rendra plus difficiles à trouver.

 

Combien de temps un pirate met-il pour trouver mon mot de passe ?

 

Voici en 2023 le temps que mettrait un pirate informatique pour trouver votre mot de passe en fonction du nombre de caractères et des différents types de caractères utilisés :

Temps nécessaire à un pirate pour trouver votre mot de passe

En savoir plus sur l’infographie ci-dessus

 

Facile à mémoriser

 

Un mot de passe long et contenant des caractères spéciaux, d’accord, mais comment s’en souvenir ?

Quatre solutions possibles :

  • Utiliser les premières lettres d’une phrase

“Je crée un mot de passe sécurisé grâce aux conseils de Netim.” pourrait par exemple donner “jC1mdpsg@cdN”
  • Choisir une approche phonétique

“J’ai acheté trente-huit CD pour cent euros cette après-midi.” pourrait devenir “gHt38CD%E7am”
  • Créer une phrase de passe plutôt qu’un mot de passe

Cette technique permet de créer de longs mots de passe facilement. Pour échapper aux vulnérabilités aux attaques par dictionnaire, il faut cependant respecter quelques principes : éviter les citations célèbres et paroles de chansons, ajouter un facteur de difficulté (mots inventés, très peu communs ou constitués d’une série de lettres aléatoires), imbriquer une phrase (en utilisant la méthode des premières lettres) à la phrase de passe.

  • Votre propre méthode !

Ce qui est encore le plus sûr, pourvu que vous respectiez les principes que nous avons évoqués jusque là !

Il existe une solution pour contourner la question de la mémoire, dont nous parlerons plus tard : les gestionnaires de mots de passe.

 

Un outil pour vous aider à construire votre mot de passe

 

La Commission nationale de l’informatique et des libertés (CNIL) est par définition l’autorité administrative en charge de la régulation de nos données personnelles. Afin d’aider les professionnels et particuliers à maîtriser leur mise en conformité ou leurs données personnelles, la CNIL propose un outil en ligne 100 % gratuit pour vous aider à générer des mots de passe sécurisés.

🔐 Générer un mot de passe sécurisé

 

Testez la “force” de mon mot de passe

 

Une fois votre mot de passe créé, assurez-vous de la force de celui-ci ! Il existe un calcul très simple présenté ici par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui vous permettra de déterminer la capacité de votre mot de passe à résister à une énumération de tous les mots de passe différents possibles.

Calculer la force de mon mot de passe

 

Bien utiliser son mot de passe

 

Ça y est, vous avez trouvé une technique qui vous convient à merveille pour créer des mots de passe efficaces ! Mais ce n’est pas tout, il vous faut maintenant maintenir la sécurité de vos comptes utilisateurs en les utilisant correctement.

 

Ne pas communiquer ses mots de passe

 

Vous connaissez maintenant deux des principaux types d’attaques utilisés pour obtenir vos mots de passe. Il est maintenant temps d’en aborder un troisième, très versatile : l’ingénierie sociale. Cette technique regroupe de nombreuses méthodes qui visent à tromper l’utilisateur.

Phishing, hameçonnage : comment se prémunir contre ces pratiques d'escroquerie ?

Le phishing en est un exemple. Netim ne vous demandera jamais votre mot de passe dans un e-mail et c’est le cas de tous les sites de confiance. En cas de doute sur la provenance d’un e-mail, vérifiez l’adresse de l’expéditeur et ne cliquez pas sur les liens fournis. Préférez ouvrir le site web concerné dans une autre page et vérifier vous-même les informations depuis votre compte. Vous pouvez retrouver une liste des bonnes pratiques dans notre article : “Phishing, hameçonnage : comment se prémunir contre ces pratiques d’escroquerie ?”.

 

Ne pas noter ou entrer ses mots de passe n’importe où

 

Que ce soit sur un post-it (collé à l’écran ou non) ou un document texte, stocker vos mots de passe en clair est une mauvaise idée.

Carnet mot de passe - ne pas noter ses mots de passeCarnet de mots de passe, Mes MotsdePasses 

 

Ordinateur public et partagé ? Prudence. Certains appareils peuvent être dotés de logiciels espions afin de récupérer les données tapées sur le clavier, ce que l’on appelle des keyloggers. Les réseaux publics peuvent, au même titre, ne pas être sûrs. Utiliser un VPN pour se connecter à ce type de réseaux peut être utile dans ces cas-là.

Communiquer son mot de passe via SMS ou e-mail peut également présenter des dangers.

 

Mettre à jour ses mots de passe

 

Ne tardez pas à modifier votre mot de passe au moindre doute d’intrusion, de brèche de données ou après avoir tapé votre mot de passe dans un environnement peu sécurisé.

Certains sites vous permettent de vérifier l’activité récente sur votre compte voire de recevoir des alertes en cas de connexion (une option que propose Netim). Un bon moyen de vérifier si vous êtes la seule personne à accéder à votre compte.

Évitez également de garder les mots de passe fournis par défaut à la création de votre compte. Ou de réutiliser des mots de passe que vous auriez déjà utilisés dans le passé, ils ne vous protégeront pas si l’un d’eux est en possession d’une tierce personne ou sur une base de données malveillante.

Des outils comme Have I been pwned? permettent de s’assurer que votre adresse e-mail n’a été liée à une brèche de sécurité.

 

Respecter le principe un site = un mot de passe

 

Si un compte compromis est une chose, mettre en danger tous ses accès en est une autre. Et c’est précisément ce qui peut se passer après que l’un de vos mots de passe ait été découvert, si vous l’utilisez pour sécuriser plusieurs comptes. Évitez donc de réutiliser un mot de passe (même s’il est en béton armé) sur plusieurs sites.

Il est important de noter que modifier un seul caractère du mot de passe à l’autre ne contourne pas ce problème, en particulier si l’ajout est fait selon un schéma facilement prédictible (motdepasse1, motdepasse2…).

 

Au-delà du mot de passe

 

Si avoir un mot de passe solide est capital, ça ne suffit pas toujours à garantir la sécurité de vos comptes, comme le démontrent de fréquentes fuites d’informations sensibles. Aussi, nous vous recommandons de prendre des précautions supplémentaires pour vous protéger.

 

L’authentification à multiples facteurs

 

Le principe est simple : ajouter un ou plusieurs facteurs d’identification au mot de passe pour s’authentifier. Il peut s’agir de quelque chose que l’utilisateur possède (smartphone, carte à puce, clé U2F) ou est (données biométriques), par exemple. Sur le net, il s’agit le plus souvent d’un code à usage unique envoyé par SMS ou généré par une application dédiée.

L’authentification à double facteur (2FA) s’est imposée comme un nouveau standard de sécurité ces dernières années. De nombreux sites, dont Netim, proposent cette seconde couche de protection pour protéger votre compte et vos informations sensibles.

Si l’authentification à double facteur via SMS reste une sécurité supplémentaire, certains hackers parviennent à intercepter les messages. Préférez passer par une application.

 

Les gestionnaires de mots de passe

 

S’il est raisonnable d’espérer retenir quelques mots de passe, la tâche se complique quand on possède des dizaines de comptes utilisateurs. Une solution à ce problème existe : les gestionnaires de mots de passe.

Ces logiciels vous permettent d’enregistrer vos mots de passe dans un “coffre-fort” virtuel, derrière un mot de passe maître. Évidemment, tous les conseils précédemment évoqués doivent être appliqués à ce mot de passe maître afin de maximiser son efficacité.

Pensez également à choisir un gestionnaire disposant d’une authentification à multiples facteurs et à l’activer.

Et pour augmenter encore davantage la sécurité de vos mots de passe, des logiciels comme KeePass (gratuit et certifié par l’ANSSI) peuvent être complétés par des plugins permettant de crypter le mot de passe maître.

Certains peuvent aussi générer des mots de passe solides selon des critères personnalisables (nombre et type de caractère).

 

Les questions de sécurité

 

Après avoir lu nos précédents conseils, il vous est peut-être venu à l’esprit que les réponses aux questions de sécurité utilisées pour, par exemple, mettre à jour un mot de passe, ne sont pas très sûres. Et vous avez raison.

Il est possible de créer des questions de sécurité personnalisées sur certains sites. Elles permettent de demander une information à qui personne ou presque n’aurait accès, même en ayant épluché vos réseaux sociaux. Une autre solution consiste à ne pas donner de vraies réponses ou à les modifier selon un code de votre choix.

Si vous choisissez cette option, attention aux risques d’oubli !

 

La fiabilité des sites web

 

Faire attention aux sites auxquels on confie ses informations est aussi un facteur important de sécurité. Plus difficile à dire qu’à faire, me direz-vous. Il peut être compliqué de savoir dans quelles conditions sont stockés vos mots de passe, par exemple. Mais quelques indices devraient vous mettre la puce à l’oreille : absence de politique de confidentialité, de coordonnées de contact ou de certificat SSL (http en début d’URL), par exemple.

Évitez également les sites qui vous promettent de “tester” la sécurité de votre mot de passe, il n’y a aucune garantie que ces derniers ne soient pas sauvegardés.

✅ Voir nos certificats SSL

 

Le mot de la fin

 

Les capacités de calcul en constante amélioration et les fuites de données régulières poussent les bonnes pratiques en matière de sécurité à évoluer rapidement. Bientôt, le mot de passe pourrait complètement disparaître, remplacé par les clefs U2F ou d’autres facteurs d’identification.

En attendant, il est essentiel de garder une certaine vigilance afin de tenir ses comptes et informations personnelles à l’abri des intrusions.

 

Ce que Netim met en place pour la sécurité de ses clients

 

Bien évidemment, Netim prend également très au sérieux les sujets liés de près ou de loin à la sécurité et c’est pour cette raison que nous mettons en place des mesures garantissant à nos clients une certaine sérénité sur ce sujet.

Au bout d’un certain nombre de tentatives de connexion échouées, le compte du client est bloqué le temps que ce dernier puisse confirmer ou non s’il est l’auteur des différentes tentatives de connexion.

Nous avons également mis en place une authentification à double facteurs pour plus de sécurité lors de la connexion de nos clients à leur espace personnel.

Julie Kozlowski

Responsable de contenu

Related Articles

Back to top button