Mots de passe : comment les faire correctement : 10 étapes

2024 Auteur: John Day | [email protected]. Dernière modifié: 2024-01-30 09:09

Plus tôt cette année, ma femme a perdu l'accès à certains de ses comptes. Son mot de passe a été récupéré sur un site violé, puis utilisé pour accéder à d'autres comptes. Ce n'est que lorsque les sites ont commencé à l'informer des échecs de tentatives de connexion qu'elle a réalisé que quelque chose se passait.

J'ai également parlé à un certain nombre de personnes qui disent qu'elles utilisent le même mot de passe pour chaque site. Ces deux choses ont suffi à me pousser à écrire ce Instructable.

La sécurité par mot de passe est une très petite partie de la sécurité en ligne dans son ensemble. Presque chaque compte nécessite une sorte de connexion pour permettre l'accès à tout ce qu'il protège. Cette chaîne unique est souvent tout ce qui se trouve entre un attaquant et vos informations personnelles, votre argent, vos photos personnelles ou les points de voyage que vous collectez depuis des années.

Cette instructable vise à couvrir certaines des meilleures pratiques pour créer des mots de passe. Si vous êtes quelqu'un qui a le même mot de passe pour chaque site Web, dont les mots de passe sont un modèle sur le clavier, ou vous avez le mot "mot de passe" dans votre mot de passe, cette instructable est pour vous.

Clause de non-responsabilité

Je ne suis pas un expert en sécurité. Cette information a été apprise et recherchée au fil du temps et n'est qu'une recommandation et un résumé d'un sujet très complexe. Ce tutoriel a été écrit au début de 2018 et peut être obsolète au moment où vous le lirez.

TL;DR

Si vous ne vous souciez pas de tout mon raisonnement et de mes explications derrière les mots de passe et que vous voulez juste un moyen simple de créer des mots de passe sécurisés, passez à la dernière étape.

Étape 1: rendez-le long

La longueur est un élément très important de la sécurité des mots de passe. Avec la vitesse des ordinateurs qui augmente de plus en plus, les mots de passe peuvent être essayés à des vitesses incroyables. C'est ce qu'on appelle le craquage de mot de passe par "force brute". Il associe toutes les combinaisons possibles de caractères jusqu'à ce que vous trouviez celle qui correspond.

En théorie, cela rend tout mot de passe craquable, avec suffisamment de temps. Heureusement, plus le mot de passe est long, plus ce type d'attaque prendrait de temps. Chaque caractère que vous ajoutez à la longueur rend la difficulté beaucoup plus difficile. Si c'est assez long, cela peut prendre des décennies pour le trouver de cette façon, ce qui ne vaut pas la peine pour un attaquant.

Exemple

Disons que vous avez un mot de passe composé uniquement de majuscules. Ce n'est pas une bonne idée, mais c'est à des fins d'illustration seulement. Chaque fois que vous ajoutez un autre caractère au mot de passe, cela multiplie le nombre de mots de passe possibles par 26. Si vous aviez un mot de passe à 1 caractère, il aurait 26 mots de passe possibles, 2 caractères auraient 676 mots de passe possibles, etc. Cela commence à faire boule de neige rapidement.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Comme vous pouvez le voir, chaque lettre que vous ajoutez rend cette attaque beaucoup plus difficile et pratiquement impossible avec suffisamment de caractères. N'oubliez pas que ce n'est qu'avec des majuscules. Une fois qu'ils deviennent plus complexes, cet effet est amplifié.

Étape 2: Rendez-le complexe

La complexité est un autre facteur important dans la sécurité des mots de passe. Si un site Web est piraté, il est probable que les noms d'utilisateur et les mots de passe seront retirés. En tant que niveau de sécurité de base, nous espérons que le site Web aura les mots de passe hachés (semblable au cryptage) avant de les stocker. Cela signifie qu'ils sont brouillés avant d'entrer dans la base de données et qu'il n'y a aucun moyen d'inverser ce brouillage.

Tout cela sonne bien. Votre mot de passe n'a pas d'importance car il est brouillé, n'est-ce pas ? Ce n'est pas le cas si votre mot de passe n'est pas complexe. Des algorithmes de hachage standard sont utilisés (SHA1, MD5, SHA512, etc.) et ils hachent toujours la même chose de la même manière. Par exemple, si vous utilisez SHA1 et que votre mot de passe était "password", il serait toujours stocké dans la base de données sous le nom "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8".

Créer des hachages prend du temps et du punch informatique, et calculer tous les hachages possibles pour tous les mots de passe possibles est pratiquement impossible. Ce que les gens ont fait, c'est créer des "dictionnaires" de mots de passe courants. Des choses comme "mot de passe" ou "qwerty" seront bien sûr là-dedans, ainsi que des choses moins courantes. Il y aura des millions de mots de passe dans ces dictionnaires et cela ne prendra que quelques secondes pour parcourir chaque entrée et comparer le hachage connu au hachage de votre mot de passe. C'est ce qu'on appelle une "attaque de dictionnaire". Si le vôtre fait partie de ceux qui ont déjà été calculés, le brouillage ne protégera pas votre mot de passe, et il pourra être utilisé sur d'autres sites.

De plus, changer les lettres en chiffres n'ajoute pas de complexité. Il peut sembler plus complexe de changer E en 3 ou I en 1, mais c'est une pratique tellement courante qu'elle n'ajoute pas plus de sécurité. Les programmes de craquage ont une option qui essaiera automatiquement ces variations.

Étape 3: Rendez-le unique

Se souvenir des mots de passe est difficile. Avec nos vies de plus en plus en ligne, il n'est pas rare que chaque personne ait plus de 50 comptes en ligne, chacun avec son propre identifiant. Cela peut être très difficile à suivre.

La façon la plus courante pour les gens de gérer cela est de choisir un "bon" mot de passe et de l'utiliser sur un tas de sites Web différents. C'est une idée terrible. Il suffit d'une faille de sécurité ou d'un site Web d'hameçonnage pour obtenir votre nom d'utilisateur et votre mot de passe pour démarrer le bal. Les attaquants pourraient essayer ce nom d'utilisateur et ce mot de passe sur des centaines de sites Web en quelques secondes. Cela les amènerait automatiquement sur chaque site Web avec le même nom d'utilisateur que celui compromis.

Je sais qu'avoir un mot de passe différent pour chaque site semble être une tâche ardue, mais nous verrons comment gérer cela plus tard.

Étape 4: Rien de personnel

Vos informations ne sont pas aussi privées que vous le pensez. Une recherche rapide en ligne pourrait facilement trouver votre date de naissance ou votre adresse. Si un autre compte a été violé, encore plus d'informations peuvent être facilement obtenues. S'il y a un attaquant qui essaie d'entrer dans vos comptes, ce sont des mots de passe évidents à essayer. Il laisse également l'entrée ouverte aux membres de la famille, aux amis ou même aux connaissances.

Étape 5: Traitez tous les mots de passe avec le même soin

Lorsque vous traitez avec des sites Web, vous devez traiter la sécurité de tous avec le même niveau de soin. Par exemple, si vous avez un login sur votre site de chat préféré, vous devez prendre les mêmes précautions que votre login bancaire. Cela peut sembler peu de perdre l'accès à toutes ces adorables moustaches, mais cela pourrait simplement être un tremplin pour un attaquant. Une violation de ce site Web « sans importance » pourrait donner à un attaquant plus d'informations sur vous, comme un nom d'utilisateur différent que vous avez utilisé, une adresse e-mail différente que vous avez utilisée pour vous connecter ou des informations réelles qui pourraient être utilisées pour déverrouiller d'autres sites Web.

De plus, s'il s'agit d'un site Web sans importance, il y a de meilleures chances qu'il ne suive pas les bonnes pratiques de sécurité, ce qui signifie que si votre mot de passe est long et complexe, mais pas unique, et que les mots de passe ne sont pas hachés correctement lorsqu'ils sont stockés, ce mot de passe peut être facilement utilisé sur d'autres sites Web. Encore une fois, ce n'est pas parce que le site est "sans importance" que votre sécurité l'est.

Étape 6: Gardez-le caché

Bon - Stockage hors ligne

Le stockage hors ligne peut être une bonne option si vous êtes une personne oublieuse. Avoir une clé USB que vous gardez sous clé avec vos mots de passe dessus protège contre la plupart des attaques, à l'exception de la famille et des amis. Juste au cas où vous perdriez cette clé d'une manière ou d'une autre, assurez-vous que le fichier de mot de passe ou l'intégralité du lecteur est crypté et que la clé est sauvegardée dans un endroit très sécurisé.

Cette méthode a beaucoup de sécurité, mais au détriment de la commodité.

La raison pour laquelle il devrait être hors ligne est expliquée plus en détail ci-dessous. Gardez à l'esprit que de nombreux appareils sont désormais automatiquement sauvegardés dans le cloud, même si vous ne le vouliez pas. De plus, si jamais vous branchez cette clé sur un appareil infecté par un virus ou compromis, les données pourraient facilement être copiées.

Mieux - Se souvenir de tout

Mémorisez tous vos mots de passe. Si vous êtes incroyablement doué, cela pourrait être une option. Il n'y a aucun moyen pour quelqu'un de les trouver, et vous les avez toujours avec vous. Certains inconvénients sont que la plupart d'entre nous ne sont pas doués pour se souvenir de choses complexes et ont tendance à parler un peu trop après un verre ou deux. Surtout avec des dizaines de mots de passe à retenir, ce n'est probablement même pas une option pour le profane.

Meilleur - Pas de stockage

Dans le meilleur des cas, vous ne les stockez pas du tout. Soit vous vous souvenez de tous vos mots de passe uniques, longs et complexes, soit vous avez un moyen de les recréer à la volée. Si vous connaissez les ingrédients nécessaires pour les recréer, il n'y a aucun moyen qu'un attaquant puisse les "trouver" car ils n'existent pas avant d'en avoir besoin. Cela peut sembler compliqué, mais ce n'est vraiment pas le cas. Plus à ce sujet plus tard.

L'importance du hors ligne

Les sites Web sont gérés par des personnes. Pour la plupart des sites Web, il est probablement prudent de supposer que ces personnes ont généralement de bonnes intentions, mais même les meilleures personnes peuvent faire des erreurs. Rien que l'année dernière, il y a eu un certain nombre d'énormes violations de la sécurité des sites Web de grandes entreprises généralement sécurisées telles que Linked-In, Yahoo, Equifax, Apple et Uber, pour n'en nommer que quelques-unes. Ce sont de grandes entreprises avec des services de sécurité et elles ont été violées.

Le stockage dans le cloud a l'air sophistiqué et il est pratique, mais ce qu'est un "cloud" est en réalité l'ordinateur de quelqu'un d'autre que vous utilisez pour stocker vos fichiers. Comme je l'ai dit plus haut, les gens peuvent faire des erreurs. Si cela se produit, vos mots de passe pourraient être accessibles au monde entier. Les sites cloud sont une cible géante pour les attaquants en raison de la quantité de données qu'ils détiennent. Détruisez le site cloud, accédez à toutes les informations que potentiellement des millions de personnes ont stockées.

Je suis sûr que c'est en partie de la paranoïa, mais avec une grande partie de votre vie cachée derrière ces mots de passe, protégez-les comme tels.

Étape 7: Ma recommandation

Cela a été un très long préambule pour expliquer les principaux piliers de la sécurité des mots de passe. Si vous suivez ces 6 directives, vous devriez avoir un minimum de problèmes de sécurité en ligne, et si quelque chose se produit, cela devrait s'arrêter à la source, et non s'étendre au reste de votre vie en ligne.

Il existe de nombreuses façons différentes de résoudre ces défis. Certains sont meilleurs que d'autres et offrent des avantages différents. Ma solution préférée est SuperGenPass (SGP). Je ne suis affilié d'aucune façon, je suis juste un fan.

Simple à utiliser

SGP a une application pour votre téléphone et un bouton que vous pouvez ajouter à votre navigateur. Lorsque vous accédez à un site Web et qu'il vous demande votre identifiant, cliquez sur le bouton. Une petite fenêtre s'ouvrira. Entrez votre mot de passe principal. SGP générera un mot de passe pour ce site et le saisira pour vous dans la zone de mot de passe !

Longue

Vous pouvez choisir la longueur du mot de passe créé. Cela générera des mots de passe jusqu'à 24 caractères, ce qui est assez sécurisé, mais vous pouvez choisir des mots de passe plus courts si certains sites Web limitent la longueur de votre mot de passe.

Complexe

Les majuscules, les minuscules et les chiffres sont utilisés, ce qui est assez sûr. Ils ne suivent aucun modèle reconnaissable sans mots ni phrases. Rien de votre URL ou mot de passe principal n'est dans cette chaîne.

Unique

Chaque site Web aura un mot de passe complètement unique. Les mots de passe pour example1.com et example2.com sont complètement différents, même s'il n'y a qu'un seul caractère différent dans les "ingrédients" initiaux. Comme vous pouvez le voir dans l'exemple ci-dessous, il n'y a aucun lien entre les "ingrédients" et le mot de passe résultant et ils sont TRÈS différents les uns des autres.

mot de passe maître: exemple1.com -> zVNqyKdf7Fmot de passe maître: exemple2.com -> eYPtU3mfVw

Espace de rangement

Il stocke et ne transmet aucune donnée. Il peut être exécuté complètement hors ligne si vous êtes concerné et il n'y a aucun moyen pour quelqu'un de les trouver ou de les voler.

Étape 8: SGP: configuration

La configuration de SGP est très simple. Tout d'abord, vous voudrez probablement l'ajouter à votre barre de favoris. Pour cela, rendez-vous sur:

chriszarate.github.io/supergenpass/

Il y aura 2 boutons au choix. Pour configurer un ordinateur que vous utilisez habituellement, faites glisser le bouton gauche dans votre barre de favoris. Cela vous donnera un nouveau bouton à utiliser.

Si vous utilisez l'ordinateur de quelqu'un d'autre à l'avenir, vous pouvez sélectionner le bouton à droite. Cela vous permettra d'utiliser SGP sans rien changer dans leur navigateur. C'est aussi une option pour un navigateur mobile.

Une fois qu'il a été ajouté à votre barre de favoris, cliquez sur le bouton. Cela ouvrira une petite fenêtre dans le coin de votre page Web. Cliquer sur le petit engrenage ouvrira les paramètres.

Longueur

Le nombre sur la gauche est la longueur du mot de passe qu'il va générer. Je vous recommande de parcourir les sites que vous utilisez le plus et de définir le nombre le plus élevé autorisé par ces sites. Plus de 12 ans est recommandé, mais plus c'est long, mieux c'est, d'autant plus que vous n'avez pas besoin de vous en souvenir.

Type de hachage

Il existe deux options pour le type de hachage utilisé, MD5 et SHA. Les deux généreront des mots de passe avec des lettres majuscules, des lettres minuscules et des chiffres. Changer cela est un moyen simple de changer tous vos mots de passe tout en conservant le même mot de passe principal.

Mot de passe secret

La section du mot de passe secret est un moyen supplémentaire de s'assurer que tout est sécurisé. Lorsque l'applet démarre, si vous avez un mot de passe secret, il affichera une petite image dans la zone de mot de passe. Ce mot de passe doit TOUJOURS être le même au démarrage. S'il démarre et que cette image n'est pas ce qu'elle est habituellement, il est possible que quelqu'un essaie d'obtenir votre mot de passe principal.

Mot de passe maître

Ce n'est pas nécessaire lors de l'installation, mais c'est très important. Assurez-vous de choisir un mot de passe fort. Il s'agit d'un mot de passe unique que vous saisissez toujours sur chaque site. Assurez-vous que c'est quelque chose dont vous pouvez vous souvenir, mais qui est complexe, long et non personnel.

Économie

Une fois que vous avez choisi tous vos paramètres, cliquez à nouveau sur l'icône d'enregistrement et sur l'icône d'engrenage pour fermer les paramètres

Étape 9: utiliser SGP

Pour utiliser SGP, accédez à un site Web comme vous le feriez normalement. Lorsque vous devez entrer votre mot de passe, cliquez sur le bouton SGP que vous avez ajouté à votre barre de favoris. Si vous avez utilisé un mot de passe secret lors de la configuration de SGP, assurez-vous que l'image qui s'affiche dans la zone de mot de passe correspond à ce qu'elle était lorsque vous l'avez configuré.

Tapez votre mot de passe principal et appuyez sur Entrée. Cela calculera votre mot de passe unique pour ce site Web et le remplira pour vous ! Au fur et à mesure que vous saisissez votre mot de passe principal, l'icône se met à jour. Si l'image ne correspond pas à l'icône que vous avez habituellement, soit vous avez mal tapé votre mot de passe principal, soit quelqu'un essaie d'obtenir votre mot de passe.

Selon la façon dont le site est écrit, SGP peut ne pas être en mesure de saisir le mot de passe pour vous, ou le site peut ne pas se rendre compte qu'il a été saisi. Si tel est le cas, vous pouvez cliquer sur l'icône de copie à côté de la zone de mot de passe généré et le coller manuellement.

Une fois votre mot de passe entré, cliquez sur Connexion et vous y êtes !

Étape 10: Réflexions finales

SGP peut ne pas fonctionner pour tout le monde, et c'est OK. Ce n'est pas la solution parfaite car cela n'existe pas. Si vous avez un autre service ou méthode que vous aimez utiliser pour les mots de passe, gardez à l'esprit les 6 étapes pour un mot de passe sécurisé. Si votre méthode actuelle échoue dans quelques-uns de ces domaines, il est peut-être temps de chercher une autre solution. Oui, cela peut prendre une demi-journée pour changer tous vos comptes, mais ce serait probablement moins un casse-tête que de voir vos comptes violés.

Remarque concernant le stockage en ligne: si le service stocke vos mots de passe en ligne/dans le « cloud », vérifiez leurs pratiques de sécurité pour vous assurer qu'ils sont bons. Le site vous dira probablement ce qu'il fait pour protéger vos mots de passe s'il le fait correctement. Si vous n'êtes pas sûr, envoyez-leur un e-mail et demandez-leur. S'ils ne peuvent pas vous donner une réponse bonne/concise/précise, soyez prudent lorsque vous utilisez ce service.