Après avoir lu une longue interview de Matthias Ungethuem, un hacker allemand, sur la fiabilité des mots de passe, j'ai décidé de vous donner quelques unes de ses astuces pour choisir un bon mot de passe et aussi le sécuriser !
À la télé ou dans les films, le hacking est souvent associé en premier au cracking de mot de passe. Cependant, la sécurité informatique est un domaine beaucoup plus vaste que cela ! La télévision nous donne une image tronquée de la réalité du hacking. Mais pourtant c'est bien cette image qui reste dans la tête de la plupart des gens !
Savoir qu'un hacker peut cracker tous nos comptes effraie de nombreuses personnes ! Ainsi beaucoup d' idées reçues ont circulé sur la façon de créer un mot de passe fort.
Comment choisir un mot de passe ?
Alors bien sûr, il faut éviter les mots de passe comme " 123456 " ou " azerty " mais ça je pense que vous devez le savoir ! Je vais parler ici de techniques un peu plus avancées.
Trois mauvaises habitudes:
- La première chose à éviter est de se croire à l'abri sur Internet ! Il faut toujours penser à choisir des mots de passe fort peu importe le site Internet. En effet, si des pirates réussissent à attaquer des gros sites web, les mots de passe les plus simples seront les premiers à être crackés ! Vous êtes une cible potentielle à chaque instant. Ne soyez pas flemmard et utilisez un mot de passe compliqué partout !
- Ne changez pas fréquemment de mot de passe. Cela peut sembler contre-intuitif, mais les personnes modifiant régulièrement leurs identifiants ont tendance à noter le nouveau mot de passe quelque part sur un morceau de papier. Ce qu'il faut évidemment éviter ! En soit changer de temps en temps de mot de passe n'est pas une mauvaise idée. Mais vous devez mémoriser vos codes d'accès uniquement avec votre tête.
- Il faut aussi éviter de construire un mot de passe avec une règle simple ou un petit algorithme. Un code construit de cette façon peut nous sembler compliqué en tant qu'humain. Mais pour une machine c'est totalement différent ! Plus il y a de logique dans le mot de passe, plus il est facile à casser !
Construire un mot de passe résistant à la bruteforce
Tout d'abord, il faut savoir que tous les codes (sauf peut être les codes nucléaires enfin je l'espère :P) sont vulnérables à la bruteforce (c'est-à-dire essayer une par une toutes les combinaisons). C'est uniquement une question de temps et de probabilité pour casser un mot de passe.
Je vais donc vous lister les critères pour créer un mot de passe vraiment résistant à la bruteforce.
- La longueur du mot de passe. Cela paraît évidement mais un mot de passe de 16 caractères et bien plus solide qu'un mot de passe de 4 ! À partir de 12 caractères, le nombre de combinaison est vraiment énorme. Votre code va donner du fil à retordre aux hackers.
- Les caractères spéciaux. De plus en plus de sites obligent de choisir un mot de passe avec des majuscules, des minuscules et des chiffres. C'est bien mais on peut faire beaucoup mieux ! Rajoutez aussi les " ? ", "! ", "& " etc... L'espace est aussi un caractère spécial qu'il faut utiliser. Pour encore plus de sécurité, utilisez les lettres greques ß,α etc... ou tout autre symbole que vous aimez !
- L'aléatoire. En effet, moins votre mot de passe est logique, plus il est difficile à casser. Toutes les méthodes mnémotechniques affaiblissent votre mot de passe. En effet, toujours selon le hacker, les outils de crack connaissent aussi les méthodes de mémorisation d'un humain et peuvent s'en servir pour trouver votre mot de passe. La technique de choisir une phrase et de garder seulement les premières lettres n'est donc pas la plus efficace ! (exemple: " Les plats à base de viande sont ils de bonne qualité ? " devient " Lpàb2Vsi2BQ?" ) Il n'y a rien de mieux qu'un mot de passe totalement aléatoire !
Exemple de mot de passe aléatoire résistant à la bruteforce: " _QXm(Ø4fv:83M<c2 "
Pour construire ce code j'ai utilisé un générateur de mot de passe aléatoire et j'ai rajouté un symbole à l'intérieur.
Vous avez maintenant un mot de passe ultra-sécurisé, il ne reste plus qu'à le retenir 😛 Il existe des techniques pour apprendre des longues séries par cœur comme celle-ci.
Si ne voulez pas mémoriser un mot de passe aléatoire, revenez à la technique des premières lettres d'une phrase 😉
Calculer l'efficacité de votre mot de passe
Comme beaucoup de choses en cryptographie, la force des mots de passe peut se calculer à l'aide d'une formule mathématique très simple.
Nombre de combinaison =
(nombre de caractère possible)^(longueur du code)
Par exemple pour " Lpàb2Vsi2BQ? " on a 12 caractères avec 95 possibilités environ. Cela fait 95^12 ≈ 10²⁸ combinaisons. Ce qui est largement suffisant pour ne pas se faire cracker avant des milliards d'années !
Comment sécuriser votre mot de passe ?
Maintenant que vous avez votre super mot de passe anti-bruteforce, ça serait bête de se le faire voler ! Nous allons donc voir comment le sécuriser.
Après tous ces efforts de mémorisation, hors de question de donner votre code de 16 caractères à un pirate! Il va donc falloir se méfier de deux choses:
- des keyloggers
- du phishing ou d'une attaque MITM
Se protéger contre les keyloggers
Un keylogger est un petit logiciel qui enregistre tout ce que vous tapez. Il est en général difficilement détectable. Voici quelques techniques pour éviter de devoir écrire votre mot de passe avec votre clavier:
- Utiliser un clavier virtuel. Sûrement la solution la plus efficace contre les keyloggers ! En effet, au lieu d'écrire avec votre clavier vous utilisez la souris. Sur Windows, il suffit de lancer la commande osk.exe et voici le résultat:
Il faut cependant faire attention aux keyloggers qui prennent des captures d'écran ! C'est plus rare mais cela existe. Le mieux est donc d'utiliser un clavier visuel, où l'ordre des touches change à chaque utilisation et sans animation lorsque l'on clique sur une touche. - Il existe aussi des logiciels comme KeyScrambler Personal qui chiffrent tout ce que vous tapez sur votre clavier. Le keylogger ne peux rien enregistrer en clair !
- Dernière astuce qui ne demande aucun installation, faire des fautes de frappe volontaires. Il vous suffit de corriger les fautes en pensant bien à utiliser la souris pour déplacer le curseur.
- Bon allez j'en rajoute une. Enregistrez la moitié de votre mot de passe dans votre navigateur, puis complétez la suite à la main. Le tour est joué !
Il faut cependant faire attention aux keyloggers qui prennent des captures d'écran ! C'est plus rare mais cela existe. Le mieux est donc d'utiliser un clavier visuel, où l'ordre des touches change à chaque utilisation et sans animation lorsque l'on clique sur une touche.Se protéger contre le phishing ou une attaque MITM
J'ai déjà parlé du phishing dans un article, je vais donc faire court !
Voici quelques conseils pour éviter de perdre son mot de passe sur un site web malveillant:
- Faire bien attention sur quel site vous rentrez vos mots de passe. Vérifiez bien l'URL, et au moindre doute allez sur https://www.phishtank.com/.
- Sur les Wi-Fi non sécurisé, n'oubliez pas d'utiliser un VPN pour éviter les attaques MITM ! J'ai écris un article complet sur les VPN si vous voulez en savoir plus.
- Vous pouvez aussi utiliser l'extension Firefox HTTPS Everywhere qui permet de chiffrer les pages en HTTP !
Deux dernières astuces qui peuvent être utiles
Je vais maintenant parler de l'utilisation d'un gestionnaire de mot de passe et de double authentification.
Un gestionnaire de mot de passe permet de stocker tous vos mots de passe dans un même endroit. Vos codes d'accès seront protégés par un mot de passe global. Cette pratique a des avantages mais aussi des inconvénients.
Conclusion:
Surtout faites attention à ne jamais envoyer en clair votre mot de passe sur un site malveillant, c'est le cas le plus fréquent de vol d'identifiants de connexion !
Je sais que ces techniques sont parfois pénibles à utiliser, et qu'il ne faut pas tomber non plus dans une paranoïa aiguë. Cependant, si vous tenez vraiment à la sécurité de vos mots de passe, suivez ces conseils validés par un très bon hacker 😉
Jeu de briques
Snake
Pacman
Bubble