De l'intérêt de bien choisir ses mots de passe
Par admin artiblog le dimanche, 11 octobre 2009, 16:54 - Les usages numériques dans l'entreprise - Lien permanent
Au quotidien, nous devons gérer de plus en plus de mots de passe. Ces précieux mots protègent vos accès, vos données ou encore vous ouvrent l'accès à des fonctions en ligne, comme sur les sites de l'administration, d'achats en ligne, de votre banque, des réseaux sociaux, etc ...
Leur multiplication rend difficile la mémorisation de chacun d'eux, avec souvent des règles spécifiques contraignant l'ajout de caractères ou nécessitant une longueur spécifique. De plus, il est vivement déconseillé d'utiliser le même mot de passe pour des services différents car s'il s'avère qu'un service dévoile votre mot de passe (par une action indélicate , par une faille de sécurité du prestataire, par un manque de sécurité), vous donnez alors accès à toutes vos informations, par exemple à votre messagerie privée ou à votre argent.
Pour accéder à un site, votre code utilisateur est parfois composé de votre adresse de messagerie. Il est alors évident qu'il ne faut pas utiliser votre mot de passe de la messagerie correspondante. Certains services indélicats pourraient alors en profiter et avec cet accès complet sur votre messagerie, par exemple récupérer vos contacts en toute discrétion ou émettre des messages indésirables à votre place.
Pourquoi cette question de mots de passe qui a déjà été traitée sur notre site. Parce que l'actualité nous incite à faire un rappel à ce sujet. Début de semaine, les informations personnelles de 10000 comptes Hotmail ont été mis sur Internet. Fait étonnant, il s'agirait de comptes dont le nom commence par A ou B. Microsoft a d'abord précisé que cette fuite de données était le résultat de phishing (ou hameçonnage, technique consistant à attirer l'internaute sur un faux site, calqué sur l'original, mais dont l'objectif est de récupérer ses codes d'accès). Puis le vol de ces codes d'accès aurait été réalisé grâce à un keylogger (logiciel malveillant qui enregistre toutes les frappes sur votre clavier et les communique au pirate), logiciel espion qui aurait été installé sur le PC des victimes. Puis un autre expert en sécurité affirme que le vol de ces informations avait été rendu possible parce que les mots de passe des victimes n'étaient pas suffisamment sécurisés. Le nombre de comptes officiellement piratés serait bien plus élevé et les messageries gmail, yahoo et AOL auraient également été touchées.
D'où l'intérêt de bien choisir ses mots de passe !!! Nous vous rappelons 2 règles simples à bien respecter pour garantir la sécurité de votre compte :
- évitez les mots courants
- les automates qui sondent les codes d'accès exploitent bien souvent des dictionnaires, des prénoms, les célébrités, ...
- Pour éviter les mots connus, un bon mot de passe ne doit rien vouloir dire.
- exploiter l'ensemble du clavier
- Plus on rajoute des caractères différents, plus la combinatoire des possibilités augmente efficacement.
- 8 caractères est vraiment un minimum pour la longueur de vos mots de passe
- Ainsi utiliser les majuscules et minuscules, avec des chiffres et en y mêlant des caractères spéciaux (des symboles comme $, *, ., /, \, %, @, ...)
Vos mots de passe ne sont pas faciles à mémoriser, utilisez alors un outil sécurisé pour ce faire mais surtout pas un document bureautique (un document excel avec un mot de passe ne tient pas longtemps contre un pirate). Par exemple, l'excellent keypassX remplit bien cette fonction avec le cryptage nécessaire à vos précieux sésames (outil gratuit multi-plateforme, téléchargeable ici http://www.keepassx.org/). Certains sites proposent des moyens de récupération du mot de passe. Attention à bien sécuriser cette fonction. Si possible, choisissez la question secrète. Dans tous les cas, veillez à bien coder la réponse.
Connaître cette réponse revient à obtenir l'accès, donc cette réponse doit être aussi difficile à trouver que le mot de passe lui-même. Éviter les réponses triviales qu'il est possible de trouver en vous connaissant (ou en retrouvant cette information sur des blogs ou réseaux sociaux). Dans tous les cas, il est judicieux d'adopter une règle de codage de cette réponse (en insérant des caractères supplémentaires par exemple). Ainsi même si la réponse peut se deviner, le pirate ne devinera pas comment elle a été codée.
Des robots logiciels ont été programmés pour tester de manière automatique toutes les combinaisons possibles afin de trouver le mot de passe. Il faut savoir qu'il ne faut que quelques secondes pour trouver un mot de passe composé uniquement de chiffres (moins de 10 caractères), et parmi les codes d'accès les plus utilisés, on trouve les séries : "123", "1234" ou "12345", ...
Pour savoir ce que valent réellement vos mots de passe, rien de plus simple : connectez vous sur le site http://www.passwordmeter.com/ et testez la robustesse de vos codes. Vous serez ainsi rapidement fixé et pourrez améliorer la sécurité de votre code.
Un dernier conseil, qui peut paraître évident : NE JAMAIS COMMUNIQUER SON MOT DE PASSE. Cette recommandation n'est peut-être pas aussi triviale que ça, puisque bon nombre d'internautes sont régulièrement piégés par des faux sites de phishing, des offres mirobolantes qui les attirent dans des pièges, des subterfuges pour leur soutirer leurs codes d'accès (comme par exemple la promesse de savoir qui les bloque sur msn), de messages malveillants les prévenant de mettre à jour leurs codes sous prétexte d'un problème de sécurité (les dirigeant alors vers un leurre), ...
La prudence est donc de rigueur en saisissant le précieux mot de passe exclusivement sur le site du service en question en ayant pris la précaution de taper l'adresse du site dans la barre ou d'utiliser un accès sûr (comme son favori).