Tout sur les mots de passe : Différence entre versions

De Vulgum Techus
Aller à : Navigation, rechercher
(Stratégie pour construire des mots de passe)
(Liens utiles)
 
(10 révisions intermédiaires par un utilisateur sont masquées)
Ligne 1 : Ligne 1 :
 +
<!-- Links checked 12/05/19 -->
 +
[[Catégorie:Mots de passe]]
 
[[catégorie:Procédures générales]]
 
[[catégorie:Procédures générales]]
  '''[[Lien court]]''' vers cette page : http://vt.cx/mdp1
+
[[Catégorie:Sécurité]]
  '''[[QR code]]''' vers cette page : http://vt.cx/mdp1.qr
+
  '''[[Lien court]]''' vers cette page : https://vt.cx/mdp1
 +
  '''[[QR code]]''' vers cette page : https://vt.cx/mdp1.qr
 
<html>
 
<html>
<script type="text/javascript"><!--
+
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
google_ad_client = "ca-pub-3341840374417340";
+
<!-- VT2 -->
/* VT2 */
+
<ins class="adsbygoogle"
google_ad_slot = "6349432125";
+
    style="display:inline-block;width:468px;height:60px"
google_ad_width = 468;
+
    data-ad-client="ca-pub-3341840374417340"
google_ad_height = 60;
+
    data-ad-slot="6349432125"></ins>
//-->
+
<script>
</script>
+
(adsbygoogle = window.adsbygoogle || []).push({});
<script type="text/javascript"
+
</script></html>
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
+
 
</script>
+
= Présentation =
</html>
+
Les mots de passe sont d'indispensables auxiliaires de la sécurité en général et informatique en particulier. Entre paranoïa et laxisme, il y a une juste mesure que cette rubrique servira à définir avec le plus de précision possible. Il n'est pas question ici d'entrer dans la cryptographie alors que d'autres '''[[sites]]''' spécialisés le font très bien mais de donner les outils pour une maîtrise sereine du concept de mot de passe et de tout ce qui concoure à la faciliter.
<br/>
+
 
Les '''[[mots de passe]]''' sont d'indispensables auxiliaires de la sécurité en général et informatique en particulier. Entre paranoïa et laxisme, il y a une juste mesure que cette rubrique servira à définir avec le plus de précision possible. Il n'est pas question ici d'entrer dans la cryptographie alors que d'autres '''[[sites]]''' spécialisés le font très bien mais de donner les outils pour une maîtrise sereine du concept de '''[[mot de passe]]''' et de tout ce qui concoure à la faciliter.
+
<br/><br/>
+
 
= Anatomie d'un mot de passe =
 
= Anatomie d'un mot de passe =
<br/>
 
 
Le mot de passe est une suite de caractères plus ou moins longue et dont les composantes sont plus où moins nombreux :  
 
Le mot de passe est une suite de caractères plus ou moins longue et dont les composantes sont plus où moins nombreux :  
 
* Longueur de 1 à N éléments (en pratique rarement plus de 20)
 
* Longueur de 1 à N éléments (en pratique rarement plus de 20)
Ligne 30 : Ligne 30 :
 
On constate que le nombre de combinaisons est extrêmement variable et dépend du nombre de caractères autorisés dans la composition du mot de passe :
 
On constate que le nombre de combinaisons est extrêmement variable et dépend du nombre de caractères autorisés dans la composition du mot de passe :
 
<br/>
 
<br/>
* Chiffres uniquement : 10^N ou N=nombre d'éléments ainsi un code de carte bancaire comprend 4 éléments -> nombre de combinaisons = 10^4 soit 10.000 (0000 à 9999)
+
* Chiffres uniquement : 10^N ou N = nombre d'éléments ainsi un code de carte bancaire comprend 4 éléments nombre de combinaisons = 10^4 soit 10.000 (0000 à 9999)
* Lettres uniquement + casse indifférenciée : 26^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 26^4 soit 456.976
+
* Lettres uniquement + casse indifférenciée : 26^N ou N = nombre d'éléments ainsi un mot de passe de 4 éléments nombre de combinaisons = 26^4 soit 456.976
* Chiffres + lettres + casse indifférenciée : 36^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 36^4 soit 1.679.616
+
* Chiffres + lettres + casse indifférenciée : 36^N ou N = nombre d'éléments ainsi un mot de passe de 4 éléments nombre de combinaisons = 36^4 soit 1.679.616
* Lettres uniquement + casse différenciée : 52^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 52^4 soit 7.311.616
+
* Lettres uniquement + casse différenciée : 52^N ou N = nombre d'éléments ainsi un mot de passe de 4 éléments nombre de combinaisons = 52^4 soit 7.311.616
* Chiffres + lettres + casse différenciée : 62^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 62^4 soit 14.776.336
+
* Chiffres + lettres + casse différenciée : 62^N ou N = nombre d'éléments ainsi un mot de passe de 4 éléments nombre de combinaisons = 62^4 soit 14.776.336
* Chiffres + lettres + accents + signes spéciaux : 200^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 200^4 soit 1.600.000.000
+
* Chiffres + lettres + accents + signes spéciaux : 200^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments nombre de combinaisons = 200^4 soit 1.600.000.000
 
<br/>
 
<br/>
On perçoit dont, nombres à l'appui, qu'entre un code à 4 chiffres de carte bancaire et celui d'un site ou d'un programme autorisant la quasi-totalité des caractères le nombre de combinaisons varie considérablement et qu'un code avec lettres, chiffres, signes spéciaux semble très sûr ce qui n'est pas forcément le cas pour des raisons qui vont suivre.
+
On comprend donc, nombres à l'appui, qu'entre un code à 4 chiffres de carte bancaire et celui d'un site ou d'un programme autorisant la quasi-totalité des caractères le nombre de combinaisons varie considérablement et qu'un code avec lettres, chiffres, signes spéciaux semble très sûr ce qui n'est pas forcément le cas pour des raisons qui vont suivre.
 
<br/><br/>
 
<br/><br/>
  
 
= Stratégie pour construire des mots de passe =
 
= Stratégie pour construire des mots de passe =
Sachant l'intérêt qu'il y a à faire participer le plus grand nombre de caractères possibles dans la construction d'une '''[[mot de passe]]''' il faut maintenant tenir compte d'un certain nombre d'aspects pratiques résumés ici :
+
Sachant l'intérêt qu'il y a à faire participer le plus grand nombre de caractères possibles dans la construction d'un mot de passeil faut maintenant tenir compte d'un certain nombre d'aspects pratiques résumés ici :
 
* Éviter les caractères qui se confondent comme :  
 
* Éviter les caractères qui se confondent comme :  
 
** '''1''' (un) et '''l''' (L minuscule)
 
** '''1''' (un) et '''l''' (L minuscule)
Ligne 50 : Ligne 50 :
 
* Avoir des '''[[mot de passe]]''' d'au moins '''10''' à '''12''' caractères s'ils ne contiennent que des lettres minuscules et majuscules et des chiffres ('''52^10 = 144.555.105.949.057.024''' combinaisons)  
 
* Avoir des '''[[mot de passe]]''' d'au moins '''10''' à '''12''' caractères s'ils ne contiennent que des lettres minuscules et majuscules et des chiffres ('''52^10 = 144.555.105.949.057.024''' combinaisons)  
 
* Avoir des '''[[mot de passe]]''' d'au moins '''12''' à '''14''' caractères s'ils ne contiennent que des lettres majuscules et des chiffres ('''36^12 = 4.738.381.338.321.616.896''' combinaisons)
 
* Avoir des '''[[mot de passe]]''' d'au moins '''12''' à '''14''' caractères s'ils ne contiennent que des lettres majuscules et des chiffres ('''36^12 = 4.738.381.338.321.616.896''' combinaisons)
Plusieurs techniques simples et facilement mémorisables peuvent être employées pour créer des '''[[mots de passe]]''' moins faciles à prédire comme :
+
Plusieurs techniques simples et facilement mémorisables peuvent être employées pour créer des mots de passe moins faciles à prédire comme :
 
* décaler la frappe sur le '''[[clavier]]'''. Exemple : caractère de gauche -> LouiseetMichelle devient KiyuqzzrLuxgzkkz
 
* décaler la frappe sur le '''[[clavier]]'''. Exemple : caractère de gauche -> LouiseetMichelle devient KiyuqzzrLuxgzkkz
 
* phrase complète avec un signe spécial remplaçant un caractères particulier. Exemple : le£chat£est£rentré (où £ remplace espace)
 
* phrase complète avec un signe spécial remplaçant un caractères particulier. Exemple : le£chat£est£rentré (où £ remplace espace)
 
* phrase sans voyelles ou sans consonne. Exemple : la sécurité est la chose la plus importante -> lscrtstlchslplsmprtnt
 
* phrase sans voyelles ou sans consonne. Exemple : la sécurité est la chose la plus importante -> lscrtstlchslplsmprtnt
 
* lettres d'une phrase. Exemple : 1e et 2e lettres de "un seul être vous manque et tout est dépeuplé" -> unseêtvomaettoesdé
 
* lettres d'une phrase. Exemple : 1e et 2e lettres de "un seul être vous manque et tout est dépeuplé" -> unseêtvomaettoesdé
* variation minuscule/majuscule. Exemple voyelles en majuscule et consonnes en minuscule ou seulement les a ou les s, etc. -> CiRCoNSTaNCeS ou CirConstanCes
+
* variation minuscule/majuscule. Exemple voyelles en majuscule et consonnes en minuscule ou seulement les C et les S, etc. -> CiRCoNSTaNCeS ou CirConStanCeS
  
 
= Vol de [[mots de passe]] =
 
= Vol de [[mots de passe]] =
 
Les '''10''' techniques utilisées pour obtenir des mots de passe
 
Les '''10''' techniques utilisées pour obtenir des mots de passe
# '''Force Brute''' : La force brute (ou brut force en anglais) est une méthode informatique qui consiste à tester toutes les combinaisons les unes à la suites des autres jusqu'à trouver la bonne. Elle emploie deux types d'algorithmes. Le premier se base sur des bibliothèques de '''[[mots de passe]]''' très usités, la seconde passe toutes les combinaisons en revue.
+
# '''Force Brute''' : La force brute (ou brut force en anglais) est une méthode informatique qui consiste à tester toutes les combinaisons les unes à la suites des autres jusqu'à trouver la bonne. Elle emploie deux types d'algorithmes. Le premier se base sur des bibliothèques de mots de passe très usités, la seconde passe toutes les combinaisons en revue.
# '''Ingénierie sociale''' : Cette méthode consiste à obtenir un mot de passe par la ruse et généralement en se faisant passer pour un proche ou un membre de l'entreprise. Le plus souvent les usurpateurs se font passer pour un membre du service informatique et prétexte des opérations de maintenance ou de vérification pour obtenir '''identifiants''' et '''[[mots de passe]]'''.
+
# '''Ingénierie sociale''' : Cette méthode consiste à obtenir un mot de passe par la ruse et généralement en se faisant passer pour un proche ou un membre de l'entreprise. Le plus souvent les usurpateurs se font passer pour un membre du service informatique et prétexte des opérations de maintenance ou de vérification pour obtenir identifiants et mots de passe.
# '''Interception''' : les '''[[mots de passe]]''' envoyés sur un réseau non sécurisé (http plutôt que https) voyage "en clair". Ils peuvent être interceptés à tous les niveaux de leur "voyage" entre l'émetteur et le récepteur.
+
# '''Interception''' : les mots de passe envoyés sur un réseau non sécurisé (http plutôt que https) voyage "en clair". Ils peuvent être interceptés à tous les niveaux de leur "voyage" entre l'émetteur et le récepteur.
# '''[[Phishing]] : L'[[hameçonnage]] consiste à faire trouver le moyen de faire saisir le '''[[mot de passe]]'''' d'un usager soit par '''[[email]]''' soit sur un '''[[site]]''' qui en copie un autre. Le '''Phishing''' est souvent consécutif à des '''[[emails]]''' très pressant qui semble émaner d'organismes officiels comme une banque, un opérateurs de téléphonie ou une administration.
+
# '''[[Phishing]]''' : L'[[hameçonnage]] consiste à faire trouver le moyen de faire saisir le mot de passe' d'un usager soit par email soit sur un site qui en copie un autre. Le Phishing est souvent consécutif à des emails très pressant qui semblent émaner d'organismes officiels comme une banque, un opérateurs de téléphonie ou une administration.
# '''Vol''' : Il existe de nombreuses méthodes de vol de '''[[mots de passe]]'''. La plus commune consiste à noter ou à photographier les étiquettes ou Postit qui peuvent être collées au niveau d'un '''[[moniteur]]''' ou d'un '''[[clavier]]'''. Il arrive même que l'on puisse en trouver dans des reportages (ex reportage FDJ sur France 3 où des mots de passe étaient clairement visibles sur l'ordinateur portable d'un des cadres filmés). Un '''[[mot de passe]]''' ayant été copié/collé reste dans le presse-papier et peut donc facilement être révélé par un simple collé.
+
# '''Vol''' : Il existe de nombreuses méthodes de vol de mots de passe. La plus commune consiste à noter ou à photographier les étiquettes ou Post-it qui peuvent être collées au niveau d'un '''[[moniteur]]''' ou d'un '''[[clavier]]'''. Il arrive même que l'on puisse en trouver dans des reportages (ex reportage FDJ sur France 3 où des mots de passe étaient clairement visibles sur l'ordinateur portable d'un des cadres filmés). Un mot de passe ayant été copié/collé reste dans le presse-papier et peut donc facilement être révélé par un simple collé.
# '''Observation''' : Observer une personne entrant son '''[[mot de passe]]''' est chose simple. Ceci peut être amélioré avec une caméra et, depuis peu, à l'aide d'un capteur infrarouge sur un simple téléphone portable.
+
# '''Observation''' : Observer une personne entrant son mot de passe est chose simple. Ceci peut être amélioré avec une caméra et, depuis peu, à l'aide d'un capteur infrarouge sur un simple téléphone portable.
# '''[[Keylogging]]''' : Cette technique peut être '''[[logiciel]]''' ou '''[[matériel]]'''. Elle consiste à installer à l'insu d'un utilisateur, un '''[[programme]]''' ou un '''dongle''' (généralement au niveau de la connectique du '''[[clavier]]'''), qui mémorisera tout ce qui est saisi. Les '''dongles [[clavier]]''' sont inopérant contre les [[mots de passe]] entrés à l'aide de la '''[[souris]]''' comme c'est le cas sur de nombreux '''[[site]] bancaire'''.
+
# '''[[Keylogging]]''' : Cette technique peut être logicielle ou matérielle. Elle consiste à installer à l'insu d'un utilisateur, un programme ou un dongle (généralement au niveau de la connectique du clavier), qui mémorisera tout ce qui est saisi. Les dongles clavier sont inopérant contre les mots de passe entrés à l'aide de la souris comme c'est le cas sur de nombreux site bancaire.
# '''Recherche''' : Les recherches sur '''[[PC]]''' ou sur le '''[[net]]''' sont une source notoire de '''[[mots de passe]]'''. Sur un '''[[ordinateur]]''' une simple recherche sur "password", "login", "identifiant", "[[MDP]]" ou "[[mot de passe]]" peut déjà apporter son lot de découverte. Le '''[[navigateur]]''' est lui aussi une incroyable source de '''[[mot de passe]]''' ainsi sur '''[[Chrome]]''', tout '''[[mot de passe]]''' mémorisé est accessible en une commande ('''about://settings/passwords''') et deux clics ! Sur '''[[Internet]]''' il existe une foule de variantes permettant d'aboutir à la collecte de '''[[mots de passe]]'''. En automatisant les recherches, la collecte peut s'avèrer rapidement fructueuse.
+
# '''Recherche''' : Les recherches sur PC ou sur le net sont une source notoire de mots de passe. Sur un ordinateur une simple recherche sur "password", "login", "identifiant", "MDP" ou "mot de passe" peut déjà apporter son lot de découverte. Les navigateurs qui mémorisent les mots de passe sont aussi une source importante. Par exemple, sur Chrome, la commande ('''about://settings/passwords''') en donne la liste en deux clics ! Sur Internet il existe une foule de variantes permettant d'aboutir à la collecte de mots de passe. En automatisant les recherches, la collecte peut s'avérer rapidement fructueuse.
# '''Déduction''' : La méthode déductive consiste à connaître suffisamment d'information sur un usager pour tenter d'en déduire des '''[[mots de passe]]''' qui pourraient fonctionner. Les informations souvent impliquées dans les '''[[mots de passe]]''' seules ou assemblées comme : '''[[prénom]]''' du conjoint ou des enfants, années de naissance de l'usager ou d'un proche, nom d'un animal de compagnie, etc.
+
# '''Déduction''' : La méthode déductive consiste à connaître suffisamment d'information sur un usager pour tenter d'en déduire des mots de passe qui pourraient fonctionner. Les informations souvent impliquées dans les mots de passe seules ou assemblées comme : '''[[prénom]]''' du conjoint ou des enfants, années de naissance de l'usager ou d'un proche, nom d'un animal de compagnie, etc.
# '''Duplication''' : Le même '''[[mots de passe]]''' utilisé plusieurs fois, comme c'est souvent le cas, peut être récupéré par l'une des méthodes décrites ici, et testé sur d'autres '''[[sites]]''' avec les mêmes identifiants.
+
# '''Duplication''' : Le même mots de passe utilisé plusieurs fois, comme c'est souvent le cas, peut être récupéré par l'une des méthodes décrites ici, et testé sur d'autres sites avec les mêmes identifiants.
 
+
 
<br/>
 
<br/>
 +
Compte tenu de ces éléments, il convient de mettre en place une politique de gestion des mots de passe et d'en assurer la confidentialité :
 +
* Emploi de mots de passe différents sur chaque site, email, compte, etc.
 +
* Emploi d'un générateur de mots de passe aléatoire faisant intervenir le maximum de caractères autorisés
 +
* Emploi d'un logiciel ou d'une appli en ligne de stockage des mots de passe
 +
* Définition d'une fréquence de changement des mots de passe stratégiques
 +
* Mise en place de précautions pour éviter d'être victime du piratage ('''[[antimalware]]''', '''[[antivirus]]''', précaution avec certains '''[[emails]]''', changement des mots de passe après des connexions à risque, etc.)
 +
* Protection de l'accès aux mots de passe des navigateurs avec un code d'accès comme le propose '''[[Microsoft]]''' sur Windows
  
Compte tenu de ces éléments, il convient de mettre en place une politique de gestion des '''[[mots de passe]]''' et d'en assurer la confidentialité :
+
= Articles Vulgum Techus =
* Emploi de '''[[mots de passe]]''' différents sur chaque '''[[site]], [[email]]''', compte, etc.
+
* Emploi d'un générateur de '''[[mots de passe]]''' aléatoire faisant intervenir le maximum de caractères autorisés
+
* Emploi d'un '''[[logiciel]]''' de stockage des '''[[mots de passe]]''' lui-même sécurisé par un '''[[mot de passe]]''' très sûr
+
* Définition d'une fréquence de changement des '''[[mots de passe]]''' stratégiques
+
* Mise en place de précautions pour éviter d'être victime du piratage ('''[[antimalware]]''', '''[[antivirus]]''', précaution avec certains '''[[emails]]''', changement des '''[[mots de passe]]''' après des connexions à risque, etc.)
+
 
+
= Articles [[Vulgum Techus]] =
+
 
* [[mot de passe]]
 
* [[mot de passe]]
 
* [[phishing]]
 
* [[phishing]]
 +
* [[keylogger]]
 +
* [[clavier]]
 +
* [[souris]]
  
 
= Liens utiles =
 
= Liens utiles =
* [http://57un.wordpress.com/2013/03/09/a-big-password-cracking-wordlist A BIG password cracking wordlist] Une bibliothèque de '''1,5 milliard''' de '''[[mots de passe]]'''
+
* [https://57un.wordpress.com/2013/03/09/a-big-password-cracking-wordlist A BIG password cracking wordlist] Une bibliothèque de '''1,5 milliard''' de mots de passe
  
 
= Articles externes =
 
= Articles externes =
* [http://www.welivesecurity.com/2013/08/27/even-long-passwords-can-be-cracked-quickly-as-hashcat-app-upgrades we live security - 27/08/13] Long '''[[passwords]]''' don’t offer “safe option” as cracker app upgrades
+
* [https://motherboard.vice.com/fr/article/newag7/un-hacker-allemand-nous-explique-comment-creer-un-mot-de-passe-en-beton-arme Vice Motherboard - 27/06/17] Un hacker '''[[allemand]]''' nous explique comment créer un mot de passe en béton armé
* [http://www.panoptinet.com/archives/10772 Panoptinet - 05/03/13] En '''2013''', 90% des '''[[mots de passe]]''' seront vulnérables
+
* [https://www.welivesecurity.com/2013/08/27/even-long-passwords-can-be-cracked-quickly-as-hashcat-app-upgrades we live security - 27/08/13] Long '''[[passwords]]''' don’t offer “safe option” as cracker app upgrades
* [http://www.tomsguide.fr/actualite/mot-passe-code-pin-password,20392.html Tom's Guide - 05/03/13] Et le meilleur '''code secret''' à '''4''' chiffres est...
+
* [https://www.panoptinet.com/cybersecurite-decryptee/en-2013-90-des-mots-de-passe-seront-vulnerables.html Panoptinet - 05/03/13] En 2013, 90% des mots de passe seront vulnérables
* [http://www.tomsguide.fr/actualite/mot-passe-cluster-securite-craquage,19390.html Tom's Guide - 10/12/12] L’effrayante machine à cracker les '''[[mots de passe]]'''
+
* [https://www.tomsguide.fr/actualite/mot-passe-code-pin-password,20392.html Tom's Guide - 05/03/13] Et le meilleur code secret à 4 chiffres est...
* [http://arstechnica.com/security/2012/08/passwords-under-assault/ Art Technica - 21/08/12] '''[[Passwords]]''' Unders Assault Arstechnica
+
* [https://www.tomsguide.fr/actualite/mot-passe-cluster-securite-craquage,19390.html Tom's Guide - 10/12/12] L'effrayante machine à cracker les mots de passe
 +
* [https://arstechnica.com/security/2012/08/passwords-under-assault/ Art Technica - 21/08/12] Passwords Unders Assault Arstechnica
  
 
= Commentaires =  
 
= Commentaires =  

Version actuelle en date du 22 février 2020 à 23:00

Lien court vers cette page : https://vt.cx/mdp1
QR code vers cette page : https://vt.cx/mdp1.qr

Présentation

Les mots de passe sont d'indispensables auxiliaires de la sécurité en général et informatique en particulier. Entre paranoïa et laxisme, il y a une juste mesure que cette rubrique servira à définir avec le plus de précision possible. Il n'est pas question ici d'entrer dans la cryptographie alors que d'autres sites spécialisés le font très bien mais de donner les outils pour une maîtrise sereine du concept de mot de passe et de tout ce qui concoure à la faciliter.

Anatomie d'un mot de passe

Le mot de passe est une suite de caractères plus ou moins longue et dont les composantes sont plus où moins nombreux :

  • Longueur de 1 à N éléments (en pratique rarement plus de 20)
  • Composants d'un mot de passe :
    • Chiffres : de 0 à 9 soit 10 combinaisons par éléments
    • Lettres : de a à z & de A à Z soit 26 combinaisons par éléments si le programme est insensible à la casse (à savoir a=A) ou 52 combinaisons si le programme y est sensible (a<>A)
    • Lettres spéciales : lettres accentuées, ç, ñ soit un nombre variable de combinaisons dépendant du nombre de caractères entrant en compte
    • Signes spéciaux : /-?*+-)%@{] soit un nombre variable de combinaisons dépendant du nombre de caractères entrant en compte


On constate que le nombre de combinaisons est extrêmement variable et dépend du nombre de caractères autorisés dans la composition du mot de passe :

  • Chiffres uniquement : 10^N ou N = nombre d'éléments ainsi un code de carte bancaire comprend 4 éléments → nombre de combinaisons = 10^4 soit 10.000 (0000 à 9999)
  • Lettres uniquement + casse indifférenciée : 26^N ou N = nombre d'éléments ainsi un mot de passe de 4 éléments → nombre de combinaisons = 26^4 soit 456.976
  • Chiffres + lettres + casse indifférenciée : 36^N ou N = nombre d'éléments ainsi un mot de passe de 4 éléments → nombre de combinaisons = 36^4 soit 1.679.616
  • Lettres uniquement + casse différenciée : 52^N ou N = nombre d'éléments ainsi un mot de passe de 4 éléments → nombre de combinaisons = 52^4 soit 7.311.616
  • Chiffres + lettres + casse différenciée : 62^N ou N = nombre d'éléments ainsi un mot de passe de 4 éléments → nombre de combinaisons = 62^4 soit 14.776.336
  • Chiffres + lettres + accents + signes spéciaux : 200^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments → nombre de combinaisons = 200^4 soit 1.600.000.000


On comprend donc, nombres à l'appui, qu'entre un code à 4 chiffres de carte bancaire et celui d'un site ou d'un programme autorisant la quasi-totalité des caractères le nombre de combinaisons varie considérablement et qu'un code avec lettres, chiffres, signes spéciaux semble très sûr ce qui n'est pas forcément le cas pour des raisons qui vont suivre.

Stratégie pour construire des mots de passe

Sachant l'intérêt qu'il y a à faire participer le plus grand nombre de caractères possibles dans la construction d'un mot de passeil faut maintenant tenir compte d'un certain nombre d'aspects pratiques résumés ici :

  • Éviter les caractères qui se confondent comme :
    • 1 (un) et l (L minuscule)
    • 0 (zéro) et O (lettre O majuscule)
    • [ (crochet gauche) et ( (parenthèse gauche)
    • ] (crochet droit) et ) (parenthèse droite)
  • Ne pas avoir des mot de passe trop longs s'ils contiennent tout type de caractères. 7 à 9 caractères de long suffisent (200^7 = 12.800.000.000.000.000 combinaisons)
  • Avoir des mot de passe d'au moins 10 à 12 caractères s'ils ne contiennent que des lettres minuscules et majuscules et des chiffres (52^10 = 144.555.105.949.057.024 combinaisons)
  • Avoir des mot de passe d'au moins 12 à 14 caractères s'ils ne contiennent que des lettres majuscules et des chiffres (36^12 = 4.738.381.338.321.616.896 combinaisons)

Plusieurs techniques simples et facilement mémorisables peuvent être employées pour créer des mots de passe moins faciles à prédire comme :

  • décaler la frappe sur le clavier. Exemple : caractère de gauche -> LouiseetMichelle devient KiyuqzzrLuxgzkkz
  • phrase complète avec un signe spécial remplaçant un caractères particulier. Exemple : le£chat£est£rentré (où £ remplace espace)
  • phrase sans voyelles ou sans consonne. Exemple : la sécurité est la chose la plus importante -> lscrtstlchslplsmprtnt
  • lettres d'une phrase. Exemple : 1e et 2e lettres de "un seul être vous manque et tout est dépeuplé" -> unseêtvomaettoesdé
  • variation minuscule/majuscule. Exemple voyelles en majuscule et consonnes en minuscule ou seulement les C et les S, etc. -> CiRCoNSTaNCeS ou CirConStanCeS

Vol de mots de passe

Les 10 techniques utilisées pour obtenir des mots de passe

  1. Force Brute : La force brute (ou brut force en anglais) est une méthode informatique qui consiste à tester toutes les combinaisons les unes à la suites des autres jusqu'à trouver la bonne. Elle emploie deux types d'algorithmes. Le premier se base sur des bibliothèques de mots de passe très usités, la seconde passe toutes les combinaisons en revue.
  2. Ingénierie sociale : Cette méthode consiste à obtenir un mot de passe par la ruse et généralement en se faisant passer pour un proche ou un membre de l'entreprise. Le plus souvent les usurpateurs se font passer pour un membre du service informatique et prétexte des opérations de maintenance ou de vérification pour obtenir identifiants et mots de passe.
  3. Interception : les mots de passe envoyés sur un réseau non sécurisé (http plutôt que https) voyage "en clair". Ils peuvent être interceptés à tous les niveaux de leur "voyage" entre l'émetteur et le récepteur.
  4. Phishing : L'hameçonnage consiste à faire trouver le moyen de faire saisir le mot de passe' d'un usager soit par email soit sur un site qui en copie un autre. Le Phishing est souvent consécutif à des emails très pressant qui semblent émaner d'organismes officiels comme une banque, un opérateurs de téléphonie ou une administration.
  5. Vol : Il existe de nombreuses méthodes de vol de mots de passe. La plus commune consiste à noter ou à photographier les étiquettes ou Post-it qui peuvent être collées au niveau d'un moniteur ou d'un clavier. Il arrive même que l'on puisse en trouver dans des reportages (ex reportage FDJ sur France 3 où des mots de passe étaient clairement visibles sur l'ordinateur portable d'un des cadres filmés). Un mot de passe ayant été copié/collé reste dans le presse-papier et peut donc facilement être révélé par un simple collé.
  6. Observation : Observer une personne entrant son mot de passe est chose simple. Ceci peut être amélioré avec une caméra et, depuis peu, à l'aide d'un capteur infrarouge sur un simple téléphone portable.
  7. Keylogging : Cette technique peut être logicielle ou matérielle. Elle consiste à installer à l'insu d'un utilisateur, un programme ou un dongle (généralement au niveau de la connectique du clavier), qui mémorisera tout ce qui est saisi. Les dongles clavier sont inopérant contre les mots de passe entrés à l'aide de la souris comme c'est le cas sur de nombreux site bancaire.
  8. Recherche : Les recherches sur PC ou sur le net sont une source notoire de mots de passe. Sur un ordinateur une simple recherche sur "password", "login", "identifiant", "MDP" ou "mot de passe" peut déjà apporter son lot de découverte. Les navigateurs qui mémorisent les mots de passe sont aussi une source importante. Par exemple, sur Chrome, la commande (about://settings/passwords) en donne la liste en deux clics ! Sur Internet il existe une foule de variantes permettant d'aboutir à la collecte de mots de passe. En automatisant les recherches, la collecte peut s'avérer rapidement fructueuse.
  9. Déduction : La méthode déductive consiste à connaître suffisamment d'information sur un usager pour tenter d'en déduire des mots de passe qui pourraient fonctionner. Les informations souvent impliquées dans les mots de passe seules ou assemblées comme : prénom du conjoint ou des enfants, années de naissance de l'usager ou d'un proche, nom d'un animal de compagnie, etc.
  10. Duplication : Le même mots de passe utilisé plusieurs fois, comme c'est souvent le cas, peut être récupéré par l'une des méthodes décrites ici, et testé sur d'autres sites avec les mêmes identifiants.


Compte tenu de ces éléments, il convient de mettre en place une politique de gestion des mots de passe et d'en assurer la confidentialité :

  • Emploi de mots de passe différents sur chaque site, email, compte, etc.
  • Emploi d'un générateur de mots de passe aléatoire faisant intervenir le maximum de caractères autorisés
  • Emploi d'un logiciel ou d'une appli en ligne de stockage des mots de passe
  • Définition d'une fréquence de changement des mots de passe stratégiques
  • Mise en place de précautions pour éviter d'être victime du piratage (antimalware, antivirus, précaution avec certains emails, changement des mots de passe après des connexions à risque, etc.)
  • Protection de l'accès aux mots de passe des navigateurs avec un code d'accès comme le propose Microsoft sur Windows

Articles Vulgum Techus

Liens utiles

Articles externes

Commentaires

blog comments powered by Disqus