Mot de passe sûr pour caramail, hotmail, excel, windows ...

Un mot de passe est associé à votre code utilisateur pour vous authentifier chez votre Founisseur d'Accès Internet (FAI), ou sur un service Internet (caramail, hotmail ...), un réseau local ou votre propre ordinateur (excel, windows ...). Un bon mot de passe est personnel, difficile à deviner et facile à retenir.
Mais l'authentification par un service distant pose un problème particulier.

S'abonner au flux RSS icône de flux RSS - Publiée le 1.5.2004

 

Un bon mot de passe (statique)

Difficile à deviner, il combine majuscules, minuscules, chiffres et caractères spéciaux ( ponctuation, diacritiques ... ) sur huit caractères au moins et ne figure dans aucun dictionnaire ( généraliste ou spécialisé ).

Un bon mot de passe est unique pour chaque service Internet et n'est jamais réutilisé quand vous en changez.

Un mot de passe est statique dans le sens où il est valable pendant un certain temps, jusqu'à ce que vous en changiez. Le paragraphe Authentification par un service distant abordera les mots de passe dynamiques.

Ne le communiquez à personne

Même les services techniques de votre Founisseur d'Accès Internet (FAI), et autres applications Internet, ignorent votre mot de passe ( il est crypté dans leurs fichiers ) et leurs administrateurs n'en ont jamais besoin ( l'authentification est faite automatiquement ).
Si un soi-disant administrateur vous le demande par email ou au téléphone, c'est une tentative de piratage ( par Social engineering ).

Mémoriser son mot de passe

Un bon mot de passe doit aussi être facile à mémoriser. Inventez votre propre méthode mnémotechnique, par exemple :

  • Supprimez les doublons dans un mot assez long et ajoutez la longueur originale. Exemple : "suppression" donne supresion-11
  • Concaténation de plusieurs mots avec leur longueur. Exemple : "nuit blanche" donne Nuit4-Blanche7.
  • Choisir une phrase et prendre les premières lettres de chaque mot. Mettre en majuscules les mots importants, ajouter des signes de ponctuation et des chiffres ( ou prendre le nombre de lettres de chaque mot ).
    Exemple : "http://eservice.free.fr, créé en 2002, traite de la sécurité Internet" donne heff,ce2002,tdlSI ( inutile d'essayer ;-) )

Toute autre méthode qui donne de tels résultats est bonne à prendre.

Un mauvais mot de passe

Les progrès des logiciels de décryptage et la puissance des ordinateurs "bon marché" sont tels qu'un mauvais mot de passe est deviné en quelques minutes. De même une personne qui vous connaît peut le deviner.

Exemples de mauvais mots de passe :

  • vide
  • nom d'utilisateur
  • nom commun ou propre ( dictionnaire )
  • votre numéro de téléphone
  • votre numéro de plaque minéralogique
  • votre surnom
  • un prénom
  • abcdef

Le mot de passe idéal

Un mot de passe d'accès à un service Internet a entre 8 et 16 caractères. C'est suffisant avec un bon logiciel de contrôle distant, qui limite le nombre de tentatives de connexion par exemple : il est alors quasi impossible de deviner un bon mot de passe ( mais certains logiciels sont trop restrictifs : taille du mot réduite, refus de certains caractères ... ).

Mais pour des fichiers cryptés, il n'existe aucune restriction : le pirate attaque directement, et autant de fois qu'il le veut, l'email chiffré ou le fichier crypté (avec un logiciel de décryptage).
C'est pourquoi un logiciel de cryptage de fichier (et d'email) propose une phrase de passe, qui peut dépasser les 100 caractères.

Enregistrer un mot de passe ?

Dans un contexte multi-utilisateurs d'un même ordinateur ou dans un réseau local d'entreprise, évitez de noter votre mot de passe sur un papier qu'on finit par laisser trainer n'importe où. Ne l'enregistrez pas non plus sur votre ordinateur ( décochez l'option d'enregistrement ).
A vous d'adapter ces précautions générales en fonction de l'exposition du système et de la nature des informations à protéger.

Un mot de passe unique pour chaque service ?

Oui dans l'absolu, mais en pratique, au fur et à mesure des souscriptions diverses, on se retrouve avec une liste qu'il est difficile de retenir. On ne peut pas éviter de les noter ou les enregistrer. Quitte à les enregistrer, on peut le faire dans un simple fichier texte, sur lequel on applique un cryptage fort (par un logiciel de cryptage de fichier).

Authentification par un service distant

L'authentification consiste à prouver l'identité d'une "personne", ici par mot de passe. Lors de votre connexion à Internet, vous tapez votre code utilisateur et votre mot de passe sur votre ordinateur, ces deux informations sont envoyées sur le réseau jusqu'à l'ordinateur d'authentification de votre Fournisseur d'Accès Internet (FAI). Un programme spécifique regarde dans ses fichiers si votre code utilisateur existe et si votre mot de passe est correct, auquel cas il autorise votre connexion, sinon il vous renvoie un message de refus.

Le mécanisme est le même pour un service Internet (caramail, hotmail ...) ou un réseau local (windows ...).

Le problème posé est que si vos code utilisateur et mot de passe sont interceptés pendant leur acheminement, il vont pouvoir être utilisé pendant un certain temps - d'où le nom de mot de passe statique - par une personne non autorisée à s'en servir. En effet un pirate pourrait se brancher sur un point de passage et capturer les chaînes d'authentification.

Changer de mot de passe ?

Une première idée est de changer régulièrement de mot de passe. La transmission et le stockage à distance représentent un risque à terme. Même si le pirate a trouvé un filon pour intercepter votre mot de passe, si vous en changez il lui faudra courir à nouveau un risque.

Ce n'est pas une mauvaise solution, à condition que :

  • la précédure de changement soit sécurisée. Pour changer votre mot de passe de connexion Internet n'utilisez l'email que si vous le cryptez. Il faudrait aussi que vous signiez votre email pour authentifier votre identité.
    Sinon utilisez le site Web de votre Founisseur d'Accès Internet (FAI), le téléphone ou le courrier postal.
  • et de ne pas en changer trop souvent. Sinon à force on risque la confusion ou l'oubli, on finit par noter le mot de passe sur un papier qu'on laisse trainer n'importe où (ou on l'enregistre sur son ordinateur), donc à terme on baisse fatalement le niveau de sécurité.

A quelle fréquence ? Fonction du nombre d'utilisateurs du service, de l'exposition du système et de la nature des informations à protéger.
Si votre abonnement Internet est facturé prorata temporis, surveillez votre facture chaque semaine. Changez le mot de passe dès qu'un accès vous paraît anormal, et prévenez votre FAI.

Cryptage de la transmission

Le cryptage de la transmission du code utilisateur et du mot de passe (entre l'ordinateur de l'utilisateur et l'ordinateur authentifiant), réduirait déjà pas mal le risque d'interception.
Mais c'est valable si le résultat du chiffrement change à chaque fois, ce qui n'est pas si facile. Il me semble que cela revient à la solution des mots de passe dynamiques.

Mots de passe dynamiques ou jetables (one-time passwords)

La meilleure solution est sans doute les mots de passe dynamiques ou à usage unique, jetables, non rejouables (one-time passwords). Ca consiste à changer de mot de passe à chaque connexion. S'il est intercepté, ça ne servira pas à grand chose puisqu'il sera valable jusqu'à ce que vous vous déconnectiez et changera la fois suivante.
Malheureusement ce système n'est pas simple à mettre en oeuvre : voir "En savoir plus (ailleurs)".

Conclusion

Si les mots de passe dynamiques ne sont pas dans vos moyens, choisissez chaque mot de passe avec votre propre méthode mnémotechnique et changez-le assez régulièrement en fonction du risque.

Les troyens espionnent vos mots de passe.

Haut de page

En savoir plus (ici)

Les troyens espionnent vos mots de passe.

Si un soi-disant administrateur vous demande votre mot de passe par email ou par téléphone, c'est une tentative de piratage par social engineering.

Sous certaines conditions les cookies d'authentification permettent de pirater votre compte à un service Internet sans connaître votre mot de passe.

Un logiciel de signature d'email vous demande une phrase de passe, mot de passe idéal.

Etes-vous le maillon faible de votre sécurité ?

Le piratage n'est pas du hacking.

 Contact | Publiée le 1.5.2004 | XHTML 1.0 & CSS 2.1