Lundi 29 Mai 2017
Les 5 derniers articles
Les 5 derniers articles
Commentaires
Les 5 derniers commentaires
Un mot de passe maître pour les gouverner tous
Trouvez-vous vos propres mots de passe assez sécurisés ? L’insécurité des mots de passe est le fléau de notre époque. Nous trouvons des mots de passe pas vraiment originaux, puis ceux-ci sont volés. À première vue, nos pratiques de gestion des mots de passe se limitent à ces trois options :

1. Recycler ce bon vieux mot de passe et le noter sur un post-it jaune au-dessus de son ordinateur portable.
2. Tout enregistrer dans le navigateur de son ordinateur et espérer qu’on ne tombera pas dans un piège d’hameçonnage.
3. Tenter de mémoriser tout un paquet de mots de passe sécurisés.

Ou vous pouvez adopter l’option recommandée par les experts en sécurité : faire appel à un gestionnaire de mots de passe. Mais un gestionnaire de mot de passe vous demandera aussi de spécifier un mot de passe maître. Pire, il n’y a ici aucune référence subtile à Frodo, Sauron, et au Seigneur des anneaux de Tolkien. C’est la réponse directe à votre besoin d’obtenir un seul mot de passe absolument indéchiffrable pour accompagner votre gestionnaire de mot de passe.

L’angoisse commence-t-elle à vous gagner ?
Le problème est que les instructions stipulées pour créer un mot de passe archisécurisé ne contribuent pas à vous mettre à l’aise. Au contraire, elles déclenchent plutôt la panique avec ces trois injonctions analytiques :
• Le mot de passe doit comporter au moins huit caractères.
• Combinez des majuscules et des minuscules.
• Associez au moins un nombre et/ou un symbole.
Si vous avez le malheur d’oublier ce mot de passe, plus rien ne sera plus jamais comme avant. Ou vous devrez revenir à la case départ pour tenter de trouver un autre mot de passe sécurisé.

Entrez dans la danse
Ces instructions sont précises mais elles passent à côté de l’essentiel. La mauvaise nouvelle est que la plupart des personnes sont incapables de mémoriser un mélange aléatoire de lettres, nombres et symboles, notamment ceux qui n’ont pas une mémoire visuelle. La bonne nouvelle est que nous pouvons transformer ces instructions de création de mot de passe en un couplet beaucoup moins intimidant. Voici quatre étapes à suivre pour obtenir un mot de passe sécurisé :
1. Pensez à une phrase drôle et absurde : elle peut être tirée d’une chanson, décrire votre voisin, ou provenir d’une réminiscence de votre enfance. Une dizaine de mots suffisent.
2. Écrivez-la : effectivement, un bout de papier fera parfaitement l’affaire.
3. Commencez votre œuvre de substitution : prenez chaque mot et substituez-le par une lettre, un nombre ou un symbole.

Cet exemple simple s’appuie sur une phrase plutôt basique, idiote et romantique à la fois : « Tu es ma lune et mon étoile à moi ». Faites votre substitution :

Et vous obtenez « Teml1&m*am ». Ce mot de passe présente l’avantage de réunir tous les critères de base : longueur acceptable, aucun mot identifiable, et une suite apparemment aléatoire de majuscules et minuscules, de symboles et de nombres. Aspect encore plus important : vous devriez pouvoir vous en souvenir. L’étape finale consiste à l’utiliser : absolument, et pour un seul compte uniquement, comme ce nouveau gestionnaire de mots de passe.

Les experts recommandent de partir en vrille
Ce concept de mot de passe a été suggéré quelques années auparavant par l’expert en sécurité Bruce Schneier. Comme décrit plus précisément dans son blog, il conseille de prendre une phrase ou une chanson et de la transformer en un mot de passe composé d’au moins neuf lettres, nombres et symboles. Il propose ainsi de transformer la phrase « This little piggy went to market » (« Ce petit cochon est allé au marché ») en « tlpWENT2m ».

Une question de puissance et d’efficacité
Pour les experts comme pour les néophytes, le problème est que la balance penche en faveur des pirates sur deux points essentiels. Primo, les ordinateurs devenant de plus en plus performants, ils sont capables d’analyser un plus grand effectif de mots de passe potentiels en moins de temps. Secundo, les fuites récentes de mots de passe, depuis Yahoo ou autres, ont offert aux pirates informatiques un magnifique butin sous la forme d’une base de données de mots de passe réels. Ces données concernant l’utilisation et la composition des mots de passe ont fait progresser les crackeurs de mot de passe en ciblant leurs efforts de formulation d’hypothèse.

Les mots sont de trop
Les mots réels contenus dans votre phrase d’origine devraient être substitués par des lettres ou symboles individuels dans votre mot de passe maître. Si combiner une suite de mots aléatoires en un mot de passe tel que le recommande la BD XKCD était une bonne pratique de sécurité, celle-ci a désormais perdu tout intérêt. Rappelons que les crackeurs de mot de passe sont désormais capables de casser des mots complets plus facilement que des combinaisons d’apparence aléatoire.

Mnémonique comme une chanson
La création d’un mot de passe maître mnémonique requiert une touche de créativité, et certainement pas le plagiat. En d’autres termes, il ne s’agit pas de copier directement le titre de l’album de Van Halen « OU812 » ou de transcrire les aphorismes d’E. E. Cummings touchant au soleil, à la lune et aux étoiles. Au contraire, préférez utiliser une phrase qui vous est propre et ancrée dans votre mémoire, impossible à couper et coller par un tiers. Oui, vous aussi pouvez générer des mots de passe maîtres.
 

Publié le jeudi 9 février 2017
SQ 250-300
Les 10 derniers articles