Leçons de niveau 2

Mot de passe/Les règles d'or

Une page de Wikiversité.
Sauter à la navigation Sauter à la recherche
Début de la boite de navigation du chapitre
Les règles d'or
Icône de la faculté
Chapitre no 1
Leçon : Mot de passe
Retour auSommaire
Chap. suiv. :Sécurité et mots de passe
fin de la boite de navigation du chapitre
Icon falscher Titel.svg
En raison de limitations techniques, la typographie souhaitable du titre, « Mot de passe : Les règles d'or
Mot de passe/Les règles d'or
 », n'a pu être restituée correctement ci-dessus.

Introduction[modifier | modifier le wikicode]

Les mots de passe, ou passwords, sont utilisés par tous les services nécessitant une identification. Ils sont un moyen efficace de protéger les informations personnelles, stockées dans une base de données par exemple. C'est pour cela que de plus en plus de personnes vont tenter de le voler, pouvant ainsi se faire passer pour vous. Pour s'en protéger , il y a quelques règles essentielles à connaître.

Le meilleur mot de passe :

  • ne doit pas être écrit,
  • ne doit pas se trouver dans le dictionnaire,
  • n'utilise pas d'information personnelle (par exemple, la date de naissance)
  • doit être composé au minimum de huit caractères,
  • doit être composé, autant que possible, de majuscules et de minuscules, de chiffres et de caractères spéciaux.

Une des erreurs les plus fréquentes est d'écrire le mot de passe pour ne pas l'oublier, voire le mettre en Post-it sur l'écran ou sous le clavier.

Il existe différentes méthodes pour construire un mot de passe et ne pas l'oublier.

Par exemple, on peut utiliser la première lettre de chaque mot d'une citation, d'un proverbe, une phrase tirée d'une chanson ou encore d'un poème : si l’on garde la première lettre de chaque mot du proverbe "Un tiens vaut mieux que deux tu l'auras ! N'est-ce pas Clara ?", on obtient le mot de passe suivant : "1tvmq2tla!NecpC?".

Le mot de passe obtenu se retient facilement grâce au proverbe, ne se trouve pas dans le dictionnaire, il est facilement composé de plus de huit caractères, majuscules, minuscules et de caractères spéciaux (!?) ainsi que de chiffres.

Dans le cas où l'administrateur exige un changement régulier de mot de passe, il suffira de l'incrémenter. Ainsi, en considérant que le premier mot de passe n'a pas d'incrémentation, le 10e mot de passe de notre exemple deviendra : "1tvmq2tla!NecpC?9". Pour un changement de mot de passe mensuel, on pourra incrémenter celui-ci en fonction du numéro de mois. Par exemple, pour le changement du 1er novembre, l'incrémentation sera 11 et donc le mot de passe sera "1tvmq2tla!NecpC?11". Cela permet ainsi de se souvenir plus facilement du numéro d'incrémentation choisi. Cela n'est par contre pas possible avec tous les systèmes comme par exemple avec Linux où le système reconnait l'ajout de numéros à la fin et vous demande de mettre un mot de passe plus complexe.

Bien choisir un mot de passe[modifier | modifier le wikicode]

Le choix du mot de passe est primordial dans la protection des données. En effet, si celui-ci est trop simple (exemple : le nom de son chien), une personne mal intentionnée n'aura aucun mal à le trouver, notamment grâce aux messageries instantanées. Il est aussi préférable de ne pas choisir un mot du dictionnaire comme mot de passe, une attaque dictionnaire étant relativement simple à mettre en place. Ainsi, il est conseillé d’utiliser un mot de passe contenant des lettres, mais aussi un ou plusieurs chiffres et si c’est possible, mais malheureusement pour nous, certains sites ne le permettent pas, utiliser des caractères spéciaux (exemples : "!?*+=&<>:$") afin de rendre toute attaque beaucoup plus difficile.

Ne jamais communiquer celui-ci[modifier | modifier le wikicode]

C'est sans doute la règle la plus importante, mais aussi la moins suivie : un mot de passe est personnel, ce qui veut dire qu'on ne le donne pas, même à son meilleur ami.
Nombreux sont ceux à partager un même mot de passe (exemple : partage de compte) et après une dispute avec le meilleur ami, se voient refuser l'accès à leur compte (dans le meilleur des cas) car votre (ex-)ami s'est simplement amusé à changer celui-ci (encore une fois, dans le meilleur des cas). Le problème est que si votre ami a utilisé votre compte à des fins plus ou moins légales, juridiquement vous êtes responsable, car c’est votre nom qui a servi à l'inscription.
Ce n’est pas le seul cas dans lequel il ne faut pas donner son mot de passe : de plus en plus de sites utilisant le phishing voient le jour. Ces sites se font passer pour des sociétés qui, en prenant l'exemple des messageries instantanées, vous donnent la liste de tous les contacts qui vous ont bloqué si vous renseignez votre adresse et votre mot de passe. À priori rien de dangereux puisqu’ils affirment qu’ils ne stockent pas votre mot de passe, mais qui peut le confirmer ?... Une attaque de type Phishing bien plus dangereuse est celle effectuée par des sites mal-intentionnés se faisant passer pour votre banque. Ces sites vous envoient un mail vous demandant de confirmer vos informations bancaires et le mot de passe de votre compte en ligne et en profitent pour vider le compte. Il est par conséquent impératif de vérifier dans la barre d'adresse de votre navigateur Web que vous êtes bien sur la bonne page avant d'entrer votre mot de passe afin de vous assurer que vous n'avez pas été redirigé vers un site mal-intentionné.
Enfin, certains sites se proposent de vérifier la robustesse de votre mot de passe, la grande majorité de ces sites se servent de ce service pour compléter leur base de données de mots de passe qui leur servira ensuite à faire des recherches exhaustives ou des attaques par force brute, les rares autres le font à des fins pédagogiques pour expliquer le danger de ce genre de site.

En bref[modifier | modifier le wikicode]

Un mot de passe sûr est un mot de passe :

  1. Qui ne veut rien dire (i.e. qui n’est pas dans le dictionnaire)
  2. Qui comporte un ou plusieurs chiffres et caractères spéciaux
  3. Qui mesure, de préférence 8 caractères ou plus (c'est à partir de 8 caractères que les attaques bruteforce deviennent longues)
  4. Qui n'est connu que par une personne, c'est-à-dire celle à qui il appartient

Liens externes[modifier | modifier le wikicode]