Version du 12 août 2015 à 14:21

Lien court vers cette page : http://vt.cx/mdp1
QR code vers cette page : http://vt.cx/mdp1.qr

Les mots de passe sont d'indispensables auxiliaires de la sécurité en général et informatique en particulier. Entre paranoïa et laxisme, il y a une juste mesure que cette rubrique servira à définir avec le plus de précision possible. Il n'est pas question ici d'entrer dans la cryptographie alors que d'autres sites spécialisés le font très bien mais de donner les outils pour une maîtrise sereine du concept de mot de passe et de tout ce qui concoure à la faciliter.

Anatomie d'un mot de passe

Le mot de passe est une suite de caractères plus ou moins longue et dont les composantes sont plus où moins nombreux :

• Longueur de 1 à N éléments (en pratique rarement plus de 20)
• Composants d'un mot de passe :
  • Chiffres : de 0 à 9 soit 10 combinaisons par éléments
  • Lettres : de a à z & de A à Z soit 26 combinaisons par éléments si le programme est insensible à la casse (à savoir a=A) ou 52 combinaisons si le programme y est sensible (a<>A)
  • Lettres spéciales : lettres accentuées, ç, ñ soit un nombre variable de combinaisons dépendant du nombre de caractères entrant en compte
  • Signes spéciaux : /-?*+-)%@{] soit un nombre variable de combinaisons dépendant du nombre de caractères entrant en compte

On constate que le nombre de combinaisons est extrêmement variable et dépend du nombre de caractères autorisés dans la composition du mot de passe :

• Chiffres uniquement : 10^N ou N=nombre d'éléments ainsi un code de carte bancaire comprend 4 éléments -> nombre de combinaisons = 10^4 soit 10.000 (0000 à 9999)
• Lettres uniquement + casse indifférenciée : 26^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 26^4 soit 456.976
• Chiffres + lettres + casse indifférenciée : 36^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 36^4 soit 1.679.616
• Lettres uniquement + casse différenciée : 52^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 52^4 soit 7.311.616
• Chiffres + lettres + casse différenciée : 62^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 62^4 soit 14.776.336
• Chiffres + lettres + accents + signes spéciaux : 200^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 200^4 soit 1.600.000.000

On perçoit dont, nombres à l'appui, qu'entre un code à 4 chiffres de carte bancaire et celui d'un site ou d'un programme autorisant la quasi-totalité des caractères le nombre de combinaisons varie considérablement et qu'un code avec lettres, chiffres, signes spéciaux semble très sûr ce qui n'est pas forcément le cas pour des raisons qui vont suivre.

Stratégie pour construire des mots de passe

Sachant l'intérêt qu'il y a à faire participer le plus grand nombre de caractères possibles dans la construction d'une mot de passe il faut maintenant tenir compte d'un certain nombre d'aspects pratiques résumés ici :

• Éviter les caractères qui se confondent comme :
  • 1 (un) et l (L minuscule)
  • 0 (zéro) et O (lettre O majuscule)
  • [ (crochet gauche) et ( (parenthèse gauche)
  • ] (crochet droit) et ) (parenthèse droite)
• Ne pas avoir des mot de passe trop longs s'ils contiennent tout type de caractères. 7 à 9 caractères de long suffisent (200^7 = 12.800.000.000.000.000 combinaisons)
• Avoir des mot de passe d'au moins 10 à 12 caractères s'ils ne contiennent que des lettres minuscules et majuscules et des chiffres (52^10 = 144.555.105.949.057.024 combinaisons)
• Avoir des mot de passe d'au moins 12 à 14 caractères s'ils ne contiennent que des lettres majuscules et des chiffres (36^12 = 4.738.381.338.321.616.896 combinaisons)

Comment un mot de passe est découvert

Les méthodes pour découvrir un mot de passe sont nombreuses et variées. Elles conditionnent la politique que chacun doit avoir dans la gestion de ses mots de passe.

• Force brute : on tente toutes les combinaisons avec des programmes spécifiques et de préférence sur des systèmes les plus rapides possibles
• Bibliothèques : on essaye avec des bibliothèques de mots de passe réputés très courant (prénoms, gros mots, séquences simples comme abcd123, etc.)
• Ingénierie sociale : on récupère les mots de passe par du relationnel où en trouvant là où il pourrait être écrit (post-it, carnets, etc.)
• Piratage : on l'obtient de manière frauduleuse en utilisant des outils informatiques ou électroniques (phishing, keyloggers, analyse de paquets, etc.)

Compte tenu de ces éléments, il convient de mettre en place une politique de gestion des mots de passe et d'en assurer la confidentialité :

• Emploi de mots de passe différents sur chaque site, compte, email, etc.
• Emploi d'un générateur de mots de passe aléatoire faisant intervenir le maximum de caractères autorisés
• Emploi d'un logiciel de stockage des mots de passe lui-même sécurisé par un mot de passe très sûr
• Définition d'une fréquence de changement des mots de passe stratégiques
• Mise en place de précautions pour éviter d'être victime du piratage (antimalware, antivirus, précaution avec certains mails, changement des mots de passe après des connexions à risque, etc.)

Articles Vulgum Techus

• Mot de passe

Liens utiles

• A BIG password cracking wordlist Une bibliothèque de 1,5 milliard de mots de passe

Articles externes

• we live security - 27/08/13 Long passwords don’t offer “safe option” as cracker app upgrades
• Panoptinet - 05/03/13 En 2013, 90% des mots de passe seront vulnérables
• Tom's Guide - 05/03/13 Et le meilleur code secret à 4 chiffres est...
• Tom's Guide - 10/12/12 L’effrayante machine à cracker les mots de passe
• Art Technica - 21/08/12 Passwords Unders Assault Arstechnica

Commentaires