Glossaire relatif à la confidentialité

Robustesse d’un mot de passe

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce que la robustesse d’un mot de passe ?

La robustesse d’un mot de passe est la mesure de la sécurité d’un mot de passe, généralement basée sur sa longueur, sa complexité et son unicité. La robustesse d’un mot de passe est souvent décrite en termes du temps qu’il faudrait pour deviner (ou « craquer ») correctement ce mot de passe en utilisant les outils logiciels et matériels actuels.

Qu’est-ce qui rend un mot de passe fort ?

Un mot de passe fort est un mot de passe difficile à deviner. Un attribut qui peut aider à atteindre cet objectif est la longueur du mot de passe ; plus il contient de caractères, plus il est difficile à deviner. Par exemple, ajouter deux lettres supplémentaires à un mot de passe de 8 lettres rend ce mot de passe 650 fois plus difficile à deviner. La plupart des sites Web imposent une longueur minimale de 8 caractères, mais les experts en sécurité recommandent souvent une longueur d’au moins 14 à 16 caractères pour empêcher un ordinateur de le deviner rapidement.

Un deuxième élément de la robustesse d’un mot de passe est la variété des caractères utilisés. C’est pourquoi les sites Web suggèrent souvent ; ou même exigent ; que les mots de passe incluent des lettres majuscules, des chiffres et des caractères spéciaux. Plus la variété des caractères est grande, plus les possibilités pour un pirate informatique sont nombreuses et plus il est difficile de deviner le mot de passe. Lorsqu’un mot de passe n’utilise que des lettres minuscules, cela signifie que chaque caractère peut être l’une des 26 possibilités. Mais lorsque chaque caractère peut aussi être une lettre majuscule, un chiffre et un caractère spécial, la variété des possibilités pour chaque caractère augmente à environ 70.

Utiliser un mot de passe long incluant une variété de types de caractères est une bonne méthode; être imprévisible est encore mieux. Mettre une majuscule au premier caractère ou terminer par « ! » est un comportement prévisible qu’un pirate peut exploiter pour améliorer ses chances de deviner un mot de passe. Une stratégie plus efficace consiste à mettre des majuscules, des chiffres et des caractères spéciaux dans des parties inattendues du mot de passe. Par exemple, changer « johnsmith » en « JohnSmith1! » le rend plus difficile à deviner. Mais ce serait encore plus difficile avec une utilisation moins prévisible de la diversité des caractères dans quelque chose comme « john6?SMITH » ou même « sMITH6?john ».

Comment puis-je générer des mots de passe forts ?

Le meilleur moyen d’éliminer la prévisibilité du comportement humain est d’utiliser des mots de passe générés aléatoirement. Vous pouvez en obtenir auprès des outils en ligne offerts par des organisations de cybersécurité, ou dans le cadre d’un gestionnaire de mots de passe. Utiliser un gestionnaire de mots de passe a aussi l’avantage de stocker le mot de passe pour vous. C’est particulièrement utile car les mots de passe complexes générés aléatoirement sont pratiquement impossibles à mémoriser.

Si vous avez besoin d’un mot de passe que vous pouvez vous rappeler (comme le mot de passe pour déverrouiller votre gestionnaire de mots de passe), une excellente astuce consiste à assembler plusieurs mots sans rapport entre eux totalisant 18 lettres ou plus, puis à créer une petite histoire ou une image mentale qui vous aide à vous en souvenir. Par exemple, « snowingreadpillowupstairs » est un mot de passe très fort de 25 caractères qui peut être mémorisé par une histoire comme « Quand il neige, j’aime monter à l’étage et lire au lit. » Une autre alternative consiste à fusionner une courte phrase. Ainsi, en utilisant l’exemple précédent, nous pourrions utiliser « J’aime2Monter&Lire ».

Si vous créez des mots de passe sans générateur, il est important d’éviter d’utiliser des informations personnelles. N’utilisez pas de dates de naissance ou d’anniversaires, de noms de famille ou d’animaux, ou d’adresses actuelles ou anciennes. Certaines de ces informations sont disponibles publiquement ; ou peuvent devenir disponibles lors d’une violation de données ; ce qui rend le mot de passe facile à deviner.

Comment les pirates informatiques craquent-ils les mots de passe ?

La méthode la plus populaire, appelée « attaque par force brute », essaie systématiquement toutes les combinaisons possibles de caractères jusqu’à réussir à se connecter. Le processus peut commencer par essayer des possibilités probables (par exemple « default » ou « admin »), puis passer à tous les vrais mots du dictionnaire et aux mots de passe populaires déterminés à partir de l’analyse des violations de données (par exemple « acbd134 », « qwerty » ou « password1 »). Une fois ces tentatives épuisées, le processus passera à toutes les combinaisons possibles de lettres, de chiffres et de symboles.

Cet effort massif n’est pas réalisé par une personne seule qui entre manuellement des suppositions sur un clavier. Toutefois, cela peut être accompli par un simple hacker utilisant un logiciel sophistiqué et un bon ordinateur domestique. Avec cette configuration, il est possible de casser un mot de passe de 8 caractères composé uniquement de minuscules en quelques secondes. Un mot de passe de 8 caractères utilisant des lettres minuscules et majuscules, des chiffres et des caractères spéciaux pourrait prendre quelques heures. Si le même logiciel de cassage est déployé sur un ordinateur haut de gamme, un botnet (un réseau d’ordinateurs connectés et coordonnés), ou via l’informatique en nuage, le processus est encore plus rapide pour casser votre meilleur mot de passe de 8 caractères. Par exemple, louer des services d’informatique en nuage pendant un petit moment permet à un hacker de casser instantanément ces mêmes mots de passe de 8 caractères (s’ils ne contiennent que des minuscules) ou en environ 15 minutes (si le mot de passe utilise une variété de caractères). À l’inverse, le mot de passe « sMITH6?john » prendrait plus de 10 ans à casser, et « ILike2GoUpstairs&Read » prendrait des billions d’années.

Les mots de passe hachés (où le mot de passe lui-même est utilisé pour créer son propre code unique) qui ont été divulgués lors d’une violation de données sont soumis à une attaque par force brute similaire. Si le hacker connaît le schéma de hachage utilisé, il peut exécuter tous les mots de passe possibles via le même processus de validation de mot de passe localement (c’est-à-dire sur son ordinateur) et comparer les suppositions aux hachages réels stockés en ligne. Si les meilleures pratiques ne sont pas utilisées par les sites web stockant vos mots de passe, cette procédure peut casser plusieurs mots de passe sur des données violées en une seule exécution du processus de cassage.

Pourquoi devrais-je créer un mot de passe différent pour chaque accès ?

Si un hacker casse votre mot de passe pour un compte, il essaiera ce même mot de passe sur d’autres comptes en espérant que vous l’avez utilisé ailleurs; une pratique courante appelée « recyclage des identifiants ». Si votre mot de passe est le même sur plusieurs sites, cela signifie que le hacker a un accès instantané à plusieurs comptes en craquant simplement un mot de passe. Les hackers tireront parti de cette habitude connue en ciblant des bases de données qu’ils croient moins sécurisées, comme un forum pour un club local. S’ils parviennent à accéder à un compte sur un site qui a moins de sécurité, ils finiront avec un mot de passe qu’ils pourront ensuite essayer sur des cibles de plus grande valeur comme les sites web bancaires.

Même s’il ne se passe rien dans vos comptes, si vous apprenez qu’un mot de passe réutilisé fait partie d’une violation de données, vous devrez alors changer ce mot de passe partout où il est utilisé; l’effort de nettoyage est plus important, plus préoccupant et doit être effectué sous pression. Il est moins stressant de changer de manière proactive tous les mots de passe réutilisés avant qu’une violation ne survienne.

Il est particulièrement important de rendre votre mot de passe de messagerie fort et unique. Si un hacker parvient à casser votre mot de passe de messagerie, il peut changer tout autre mot de passe pouvant être réinitialisé en cliquant sur « mot de passe oublié » et en suivant les procédures de réinitialisation envoyées à votre boîte de réception de messagerie.

Gardez une trace de tous vos mots de passe

Garder une trace de dizaines de mots de passe uniques et complexes est une tâche ardue. Un gestionnaire de mots de passe est un outil utile pour cela. Un bon gestionnaire de mots de passe peut stocker tous les identifiants de connexion et mots de passe, et synchroniser ces informations sur vos appareils, tels que votre ordinateur portable et votre téléphone. Un gestionnaire de mots de passe offre également une protection supplémentaire car il vous permet de vous connecter sans taper réellement les informations, empêchant ainsi qu’elles soient capturées par des keyloggers. Les gestionnaires de mots de passe peuvent être des programmes autonomes, des extensions de navigateur ou une fonctionnalité intégrée à votre navigateur, comme dans le navigateur Brave.

Bien qu’un gestionnaire de mots de passe vous aide à garder une trace des mots de passe que vous ne pouvez pas mémoriser, il est important de choisir un mot de passe fort que vous pouvez retenir pour sécuriser le gestionnaire de mots de passe. C’est une excellente occasion d’utiliser un mot de passe composé de plusieurs mots enchaînés.

Si vous utilisez des mots de passe forts, il n’est pas nécessaire de les changer à moins de penser qu’ils ont été compromis. Les changements fréquents peuvent entraîner de la frustration et des erreurs sans augmenter la sécurité.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.