M0td3p@$$E n’est pas un bon mot de passe, mais comment le faire alors ? La complexité n’est pas la clé, la longueur est essentielle. Nous vous présentons la meilleure stratégie pour obtenir un mot de passe solide et utilisable.
Pendant des années, toutes sortes de sites web nous ont appris à choisir de mauvais mots de passe. Les caractères spéciaux, les majuscules et les chiffres semblent sacrés, tandis qu’une longueur d’à peine huit caractères est généralement suffisante. Ces mots de passe sont difficiles à retenir pour les gens, mais sont un jeu d’enfant pour les ordinateurs. Les caractères spéciaux ne vous protégeront pas des pirates ou des logiciels malveillants, mais une longueur suffisante pour votre mot de passe le fera. De plus, vous pouvez choisir quelque chose dont vous pouvez vous souvenir.
Jeu d’enfant puissante
Avant d’expliquer exactement ce qu’est un bon mot de passe, vous devez savoir ce qui rend un mauvais mot de passe si mauvais. Aujourd’hui, les criminels disposent d’une puissance informatique exponentiellement plus importante qu’il y a dix ans, par exemple. Ils peuvent l’utiliser pour deviner votre mot de passe. Cela ne se fait pas de manière subtile : les attaquants essaient simplement des combinaisons, parfois basées sur des dictionnaires, et le font de manière aléatoire. Une telle attaque par force brute peut être très efficace avec des mots de passe modestes.
En 2022, le déchiffrage d’un mot de passe à six caractères prend moins d’une seconde.
Prenons l’exemple de R8@bl#. Ce mot de passe combine des lettres majuscules et minuscules avec des chiffres et des symboles. Les experts en sécurité de Hive Systems ont étudié le temps qu’il faudrait pour craquer un tel mot de passe en 2022. La réponse : moins d’une seconde.
Les caractères spéciaux aident, légèrement
Il en va de même pour eftanvi: un mot de passe de huit caractères ne comportant que des lettres minuscules. La variation des symboles est importante dans ce cas. Si vous choisissez Eft@nv1, dan duurt het een kleine 40 minuten voor het wachtwoord wordt gekraakt. Dat is minder dramatisch, maar nog steeds niet zo lang.
Hoe langer je wachtwoord, hoe moeilijker het is om te kraken. Voeg je één teken toe aan bovenstaand wachtwoord, zodat het bijvoorbeeld Eft@nv1A, il faut un peu moins de 40 minutes pour craquer le mot de passe. C’est moins grave, mais toujours pas aussi long.
Douze caractères ou plus
Microsoft recommande de choisir un mot de passe d’au moins 12 caractères, et de préférence de 14. Un mot de passe de quatorze caractères, avec des majuscules et des minuscules, mais sans chiffres ni symboles, peut être craqué en 64 000 ans environ. Si vous ajoutez des chiffres ou des symboles, une attaque réussie prendra rapidement 16 millions d’années. De tels mots de passe sont pratiquement impossibles à craquer pour le moment et semblent également à l’épreuve du futur.
Mots de passe : c’est du passé, il vaut mieux parler de phrase de passe
Les mots de passe sont donc chose du passé : il est préférable de parler de phrase de passe. Une phrase de passe idéale peut être beaucoup moins complexe à retenir que six caractères aléatoires. Il est bon de combiner encore quelques chiffres et symboles dans une telle phrase et de ne surtout pas se limiter aux mots du dictionnaire. Optez pour une sorte d’absurdité qui ne signifie rien pour un ordinateur, mais peut-être pour vous-même.
Milou mange des croquettes Purina
Voici un exemple. Vous avez peut-être un chat qui s’appelle Milou et qui aime manger des croquettes Purina dans la cuisine. Vous n’avez pas peur du dialecte. Dans cette optique, vous pourriez choisir MimivolePuri@cuisin1. Ce mot de passe a vingt caractères. Hive a calculé le temps de piratage des mots de passe à dix-huit caractères. Si vous combinez tous les caractères d’un tel mot de passe, le temps de piratage est de 438 trillions d’années. Alors pour MimivolePuri@cuisin1, c’est encore plus long. Une attaque basée sur un dictionnaire n’aidera pas non plus le pirate.
Pour un bon mot de passe, la longueur est donc le paramètre le plus important. MimivolePuri, une variante plus courte sans caractères spéciaux, peut encore résister à un millier d’années d’attaques par force brute, grâce à sa longueur de 13 caractères.
Règles d’or
Alors pour un bon mot de passe, choisissez :
- Une phrase de passe contenant au moins 12 caractères, mais de préférence plus de 14 ;
- Une combinaison de lettres majuscules et minuscules, complétée de préférence par des chiffres et des caractères spéciaux ;
- Pas de noms de personnes, de rues, d’entreprises ou d’autres choses qui peuvent être recherchées en ligne ou dans le dictionnaire ;
- Une phrase d’attente qui est significativement différente des autres phrases d’attente de manière significative ;
- Une phrase que vous pouvez mémoriser vous-même.
Nous partageons quelques autres exemples pour vous inspirer :
- 1LoveS0ftF@tCat$
- caIIak@LakdAnnec3
- @p1rateIdioN0N
- 1nutilisabl#j3sp3r3
Tous ces mots de passe sont longs et contiennent des caractères complexes. Une attaque par force brute doit donc prendre en compte l’ensemble des caractères disponibles. Vous pouvez imaginer que, respectivement, une personne avec un gros chat, un fan du Lac d’Annecy, une personne détestant les hackers stupides et une personne pleine d’espoir peuvent encore se souvenir de ces mots de passe. Chacun d’entre eux est plus facile pour un individu que le R8@bl# insécure.
N’oubliez pas les conseils ci-dessus quand vous devez créer un nouveau mot de passe sécurisé, mais n’oubliez pas non plus que les mots de passe ne sont jamais inviolables. Ne les partagez en aucun cas, même avec votre famille et vos amis, et utilisez la MFA chaque fois que possible. Et vous arrive-t-il encore de tomber sur un site web qui affiche un message d’erreur parce que votre mot de passe est trop long ? Ensuite, évitez-les ou envoyez un courriel de mécontentement lorsque vous n’avez pas d’autre choix.
Cet édito fait partie de notre dossier sécurité suite au mois de la sécurité octobre 2022. Elle est rendue possible grâce à nos partenaires parmi lesquels Telenet. Telenet organise (en collaboration avec ITdaily) le concours du « cyberexpert le plus intelligent de Flandre », auquel chacun peut participer. Vous pouvez trouver plus d’informations. Vous trouvez plus d’informations ici.