Choisissez soigneusement vos mots de passe

mmnRichard Gervais

De nos jours, il est impossible d’ouvrir un ordinateur sans entrer un mot de passe pour démarrer une session. Les services que nous utilisons par la suite sur Internet exigent aussi un identifiant et un mot de passe. Bref, il n’y a plus seulement les guichets automatiques qui exigent un code pour valider votre identité.

Certains choix de mots de passe sont tellement évidents qu’il est possible de les deviner. De plus, des personnes croient se simplifier la vie en utilisant le même mot de passe à plusieurs endroits. Ces petites paresses peuvent vous coûter très cher.

Cet article donnera des critères pour définir des mots de passe robustes. Des exemples de mauvais choix seront donnés. Quelques gestionnaires de mots de passe seront suggérés.

Définition d’un mot de passe

Voici la définition qu’en donne Wikipédia :

« Un mot de passe est un mot ou une série de caractères utilisés comme moyen d’authentification pour prouver son identité lorsque l’on désire accéder à un lieu protégé, à un compte informatique, un ordinateur, un logiciel ou à un service dont l’accès est limité et protégé. »

Critères de robustesse

Toujours selon Wikipédia, « les humains sont notoirement inefficaces à générer des mots de passe robustes parce qu’ils ont tendance à générer des mots de passe faciles à retenir plutôt que des mots de passe contenant des caractères choisis aléatoirement. »

Voici quelques suggestions pour obtenir un mot de passe robuste :

  • utiliser une longueur de mot de passe minimale de 8 caractères;
  • inclure des caractères alphabétiques minuscules et majuscules, des chiffres et des symboles, si autorisés ;
  • générer des mots de passe au hasard;
  • ne pas utiliser le même mot de passe plusieurs fois ;
  • éviter :
    • les répétitions de caractères, par exemple, 11111;
    • les motifs de clavier, qwerty;
    • les séquences de lettres ou de chiffres, 12345;
    • les mots du dictionnaire;
    • les noms d’utilisateur;
    • les prénoms et les noms de famille.

Vous reconnaissez certainement les deux premiers critères, car ils sont fréquemment exigés.

Une façon de créer des mots de passe sécuritaires est d’utiliser une courte phrase avec majuscules, minuscules, chiffres et caractères spéciaux, par exemple, « LePrixDes2x4aAugmenté! ». C’est plus facile de se souvenir d’une série de caractères bizarres quand il y a un sens derrière la phrase utilisée.

Exemples de mauvais choix

Le tableau suivant présente une compilation de mauvais choix de mots de passe provenant d’un article du site Web NordPass. La deuxième colonne indique combien de personnes ont utilisé ce même mot de passe et la troisième colonne donne le temps requis par un ordinateur pour trouver la séquence de caractères utilisée.

Mot de passe Popularité par nombre d’utilisateurs en 2020 Temps requis pour trouver le mot de passe
123456 2 543 285 moins d’une seconde
123456789 961 435
password 360 467
12345678 322 187
111111 230 507
qwerty 156 765
abc123 151 804
qwer123456 58 096 4 secondes
nicole 21 483 2 minutes

Les huit premiers mots de passe ont été trouvés par un ordinateur en moins d’une seconde.  Le mélange de lettres et de chiffres n’a pris que quelques secondes de plus. L’utilisation d’un nom propre présent dans un dictionnaire n’a retardé un pirate que de deux minutes.

Blocage après plusieurs tentatives infructueuses

Plusieurs internautes ont vu les recommandations précédentes et les statistiques indiquant qu’un pirate muni d’un ordinateur standard peut briser les mots de passe simples en quelques secondes ou quelques minutes, mais ils pensent que ces informations ne s’appliquent pas à eux et ils les ignorent. Ils pensent qu’ils sont protégés parce que les sites qu’ils utilisent bloquent les pirates après trois soumissions de mots de passe erronés.

Sachez que les pirates savent comment contourner le blocage après trois essais et peuvent faire des milliards de tentatives par seconde sans se faire bloquer. Il est donc très important de créer des mots de passe robustes comme mentionnés précédemment parce que ces mots de passe complexes sont vraiment inviolables, même si les pirates savent comment contourner le blocage après trois essais.

La technique permettant aux pirates de contourner le blocage après trois essais est trop complexe pour être expliquée dans cet article. Si vous êtes curieux et que vous voulez connaître son fonctionnement, assistez à la présentation de Michel Gagné sur ce sujet à l’automne 2021 dans le cadre des présentations de la série Découverte. Michel y expliquera comment les pirates contournent le blocage après trois essais et pourquoi les mots de passe suivant les règles précédentes sont vraiment inviolables.

Gestionnaires de mots de passe

Il n’est pas recommandé d’inscrire vos mots de passe sur une feuille de papier et de la laisser à côté de votre ordinateur. Imaginez le plaisir du voleur en trouvant une telle liste avant de partir avec votre ordinateur neuf.

Il existe des gestionnaires, gratuits ou payants, où il est possible d’inscrire vos mots de passe. Voici ce qu’en dit Wikipédia :

« Un compromis raisonnable pour l’utilisateur qui doit gérer un grand nombre de mots de passe robustes consiste à les enregistrer dans un gestionnaire de mots de passe, qui comprend des applications autonomes, des modules d’extension de navigateur Web ou un gestionnaire intégré au système d’exploitation.

Un gestionnaire de mots de passe permet à l’utilisateur d’utiliser des centaines de mots de passe différents et de ne devoir mémoriser qu’un seul mot de passe, celui qui ouvre la base de données de mots de passe chiffrée. »

Voici une liste non exhaustive de gestionnaires de mots de passe :

  • KeePass, logiciel gratuit et libre de droits;
  • Bitwarden, gratuit pour la version individuelle;
  • LastPass, gratuit dans certains cas, mais version Premium à 4,25$/mois;
  • NordPass, gratuit sur un seul appareil;
  • Dashlane, version gratuite limitée à 50 mots de passe sur un seul appareil;
  • 1Password, payant, mais essai gratuit de 14 jours.
  • Keeper, payant.

Il est possible de s’en tirer gratuitement sous certaines conditions, mais il peut être nécessaire de débourser lorsque vous voulez partager vos mots de passe sur plusieurs appareils différents : ordinateur, tablette et téléphone intelligent.

La plupart des logiciels mentionnés plus haut sont disponibles sur Windows, macOS, Android, iOS, et Linux.

Il reste maintenant à souhaiter que ces entreprises emploient toutes d’excellentes mesures de protection contre les pirates. C’est effectivement un risque à envisager, mais c’est mieux que d’utiliser partout le même mot de passe ou de faire des choix trop faciles à briser.

Présentations du Club

Le 30 septembre 2020, M. Guy Bélanger a donné une présentation sur la gestion des mots de passe à la suite de l’assemblée générale annuelle. Vous pouvez retrouver son document en cliquant ici.

Le 16 octobre 2020, M. Sylvain Garneau a parlé de la saisie semi-automatique des mots de passe dans sa troisième présentation de la série Facile au sujet de Google Chrome. Il s’agit d’une solution gratuite, assez efficace et relativement sécuritaire.

Le 23 mars 2021 à 19 h 30, M. Michel Gagné traitera des mots de passe et de l’infonuagique lors de la rencontre des Mordus de l’informatique. Vous y aurez un avant-goût de sa présentation de l’automne prochain.

Je tiens à remercier MM. Michel Gagné et Sylvain Garneau pour leurs commentaires et suggestions durant la rédaction de cet article.

Richard Gervais

11 réflexions sur « Choisissez soigneusement vos mots de passe »

  1. Pour chaque bit additionnel qu’exige la représentation d’un mot de passe, la liste de mots de passe et donc le temps requis pour tous les essayer sont multipliés par 2. Cela veut dire qu’il ne faut que 10 autre bits pour tout multiplier par plus de 1000 (1024, en fait). Il suffit donc d’ajouter 2 caractères choisis parmi tous les caractères possibles (sauf ceux de la liste ASCII étendu) de KeepassXC, par exemple, pour multiplier le temps de décryptage par un peu moins que 1000. En pratique, on peut aller jusqu’à 63 de ces caractéres avec KeepassXC, mais certains sites n’acceptent pas se mot de passe de plus de 16, 20 ou 32 caractères.

    https://www.enzoic.com/nist-password-guidelines/

  2. La mesure utilisée pour mesurer la qualité d’un mot de passe est log(1/p), dérivée de l’entropie de Shannon, qui est -p*log(p) ou le log est calculé en base 2 et p est la probabilité d’obtenir un mot de passe spécifique. Un mot de passe de 1 lettre a une probabilité de 1/26 de se produire et donc une “entropie” de log(26), ou 4.7 bits, c’est à dire que c’est moins fort qu’une série de 5 chiffres choisis parmi 0 et 1. Voici d’autres calculs du genre -> https://generatepasswords.org/how-to-calculate-entropy/
    Il faut souligner que ceci vaut seulement pour les choix au hasard, pas pour les mots de passe trop populaires qui sont les premiers à être essayés et donc déchiffrés.

    Il faut faire attention quand on choisit des mots au lieu de lettres, car choisir un mot de passe de 7 lettres a une entropie de 7*log(26), ou moins de 35 bits, alors que choisir une phrase de passe de 7 mots, qui comporte beaucoup plus de lettres, n’a qu’une entropie de 7*log(7776), ou 7*12.9, soit moins de 91 bits, avec un dictionnaire de 7776 mots par exemple. On peut faire mieux (presque 95 bits) avec seulement 19 lettres, et encore mieux avec 19 lettres, chiffres et caractères spéciaux, puisqu’on augmente alors la valeur de 1/p!

    1. Ma dernière phrase a besoin d’une correction importante, car il faudrait plutôt 20 caractères que 19 pour dépasser le nombre de bits requis pour représenter 7 mots choisis parmi 7776. En effet, représenter 7 mots exige 7*12.9 = 90.3 et donc 91 bits, alors que représenter 19 caractères exige seulement 19*4.7 = 89.3 bits et donc 90 bits. Avec 20 caractères, on aurait besoin de 20*4.7 = 94 bits. J’avais arrondi 4.7 à 5, mais les 0.3 ont fait une différence!

  3. Sur Linux, j’utilise KeepassXC dans un bac à sable, Firetools. Sur Android, je n’ai pas trouvé d’équivalent à KeepassXC et j’ai plutôt opté pour PasswdSafe. Dans les deux cas, j’utilise le “copier-coller” de l’application pour entrer les mots de passe sur les sites, ce qui est la seule option possible dans le cas de PasswdSafe. Plus on se donne du trouble pour protéger nos mots de passe, moins on risque de se les faire voler.

    En passant, Bitwarden a maintenant une option similaire à Firefox Send, qui permet en principe d’envoyer de façon sécuritaire des mots de passe et des documents, mais je n’ai essayé ni l’un ni l’autre.

  4. Heureusement, pour ajouter à notre bonne gestion personnelle de nos mots de passes, les sites web d’informations sensibles, tels les institutions financières et le gouvernement, demande d’entrer un code qu’ils ont envoyé à l’adresse courriel qui figure à leur dossier. Il faudrait être vraiment malchanceux pour que notre courriel ait été piraté au même moment.

    1. L’authentification à deux facteurs est une option à prendre toutes les fois qu’elle est offerte, et c’est de plus en plus fréquent qu’elle le soit. Cela nous complique un peu la vie, mais complique beaucoup celle des pirates, tout comme plusieurs autres précautions que l’on peut prendre.

  5. J’ai commencé à utiliser le gestionnaire LastPass depuis environ 2 mois. J’ai pu renforcer tous mes mots de passes et on m’avise également si un de mes comptes est à risque parce les données d’un site web ou une organisation à été piraté.

    Jusqu’à tout récemment, le gestionnaire LastPass offrait une solutions intéressante dans sa version gratuite avec accès illimités sur ordinateurs et mobiles. Il faut maintenant choisir entre l’accès à des ordinateurs ou l’accès à des mobiles. Il n’existe donc plus de gestionnaires gratuits multiplate-formes (selon mes recherches).
    J’ai choisi de continuer avec la version payante de LastPass.
    La version familiale permet de diviser le coût entre plusieurs personne. La version payante multiplate-forme avec nombre de mots de passe illimités la moins chère est celle du gestionnaire RobotForm.

    1. En effet, on peut se faire voler nos mots de passe sur les sites où on les entre. Pour savoir si des mots de passe que l’on a utilisés de concert avec une adresse de courriel ont été piratés, on peut entrer cette adresse sur un site comme haveibeenpwned -> https://www.arobase.org/securite/have-i-been-pwned.htm

      On peut changer notre mot de passe pour les sites qui ont été piratés, quand on sait lesquels l’ont été. Comme on le sait généralement trop tard, il vaut mieux changer régulièrement les mots de passe pour les accès critiques, comme les services de courriel, les services financiers, les services médicaux et les médias sociaux. Si vous utilisez un compte de média social pour vous brancher ailleurs, c’est d’autant plus important de choisir un bon mot de passe pour ce site et de le changer souvent. Avec un gestionnaire de mot de passe, c’est plus facile.

Les commentaires sont fermés.