Votre mot de passe se compose d’un nom, un nombre et un point d’exclamation (ou d’interrogation) ? C’est bien, mais pas assez pour vous protéger. Les cybercriminels disposent de plusieurs tactiques pour récupérer votre code secret. Une attaque de force brute, par exemple, utilise un logiciel pour tenter autant de combinaison que possible jusqu’à trouver la bonne. Dans ce cas, les alignements classiques comme celui cité précédemment sont bien plus facilement détectables par la machine. On parle aussi d’attaque dictionnaire lorsque le logiciel fait une recherche à travers tous les mots répertoriés dans une langue.
Comment faut-il composer son mot de passe afin qu’il soit le plus sûr possible et sans avoir à rédiger trois lignes de codes pour se connecter à Instagram ?
Trois facteurs sont déterminants : la longueur, la combinaison et la complexité totale. « La longueur est surement le critère le plus important, insiste Jonathan Farhi, directeur chez l’éditeur de logiciels F-Secure, contacté par Numerama. La technique la plus simple est d’utiliser une phrase complète telle que jadorelechocolatviennois. À chaque fois que vous rajoutez un caractère, vous ajoutez de la complexité. Jenoublieraijamaiscemoment, c’est long et ça devient intraçable », ajoute-t-il.
Le site du groupe Avast, spécialisé dans les logiciels anti-virus, recommande par exemple d’aligner au moins 15 caractères.
Une formule, une réplique, parsemée de symboles
Webroot, une société de cybersécurité, donne quelques exemples en anglais sur son site, dont on peut s’inspirer. La célèbre réplique de Shakespeare, Être ou ne pas être, telle est la question – en anglais To be or not to be, that is the question – peut être transformée en 2BorNot2B_ThatIsThe ?. Il est possible de faire plus simple en français avec une phrase marquante. Je suis né à Lyon peut devenir Jesu!sné4Ly0n.
L’ANSSI a mis en ligne un outil pour créer une combinaison solide, tandis que le site de la Cnil propose de tester son mot de passer pour vérifier son imperméabilité.
Si vous êtes suffisamment prudent, vous pouvez tester une combinaison différente pour chaque compte et noter la liste dans un gestionnaire de mot de passe.
« La réutilisation du code est tout aussi risquée. Il ne nous viendrait pas à l’esprit d’utiliser la même clé pour le domicile, le véhicule et la boîte aux lettres, c’est pareil pour le mot de passe », indique Jonathan Farhi.
À noter, que les listes de mots de passe découverts sont régulièrement vendues sur le darkweb. En juin 2021, plus de 8,4 milliards de codes secrets avaient fuité sur le web. Des sites existent pour savoir si votre adresse mail a fait l’objet d’un leak tels que Have I been Pwned ou celui de F-Secure.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !