Créer un mot de passe robuste

Les mots de passe constituent une composante essentielle de votre sécurité numérique, dans votre vie privée comme professionnelle. Ils permettent de verrouiller et limiter les accès à vos services et vos données pour les protéger. Il est donc très important de choisir des mots de passe forts, et de les enregistrer / sauvegarder de manière sécurisée.

Si vous utilisez un service d’hébergement SafeBrands, il existe un système de génération de mot de passe fort directement intégré à la console Plesk. Pour cela, dans la section Mot de passe de l’élément à configurer, cliquez sur le bouton ‘Générer’ pour créer un mot de passe fort et sur ‘Afficher’ pour le visualiser et le mémoriser avant de l’appliquer. Une fois enregistré, il n’est plus visible.

Plesk nous oblige à respecter une politique de sécurité forte et précise en ce qui concerne les mots de passe.

Politique de nos serveurs (mode FORT) en matière de mot de passe :
Votre mot de passe doit être suffisamment complexe. Pour l’accès à Plesk, comme pour l’accès FTP ou encore, pour toutes vos adresses de messagerie, il est impératif de définir des mots de passe FORTS et DISTINCTS. Ne remettez pas chaque fois le mot de passe pour toutes vos adresses de messagerie, et veillez à ce qu’ils soient tous strictement différents.
Vérifiez si besoin tous vos mots de passe, et modifiez tous les mots de passe faibles et/ou répétés.
D’après la politique de sécurité appliquée sur nos serveurs, la complexité minimale des mots de passe est Forte. Pour renforcer la complexité de vos mots de passe, utilisez des nombres, des majuscules et minuscules ainsi que des caractères spéciaux tels que !, @, #, $, %, ^, &, *, ?, _ , ~

Les failles et vulnérabilités des mots de passe

Pour information, voici les 6 mots de passe les plus fréquemment utilisés dans le monde. Ils ne sont pas très recherchés ni sécurisés …

  • password
  • 123456
  • 12345678
  • 1234
  • qwerty / azerty
  • 12345

Ces mots de passe simples à cracker/deviner sont encore très couramment employés.
Avec des outils comme John The Ripper (John the Ripper password cracker) et des listes de mots fréquemment utilisés, il ne faut que quelques minutes pour trouver un mot de passe simple.

Si votre mot de passe ne fait pas partie de cette liste de mots, mais qu’il est très court et comporte des caractères simples, comme « 13#ax » par exemple, il ne faudra également que quelques minutes pour le cracker en appliquant une méthode dite de « force brute ». La « force brute » consiste à tester successivement toutes les combinaisons possibles.

Exemple :

  • 0001
  • 0002
  • 0003
  • aaaa
  • aaa1
  • aaa2
  • ….
  • aaab
  • aaac
  • aaad
  • etc.

Pour avoir un aperçu du nombre de combinaisons à tester, si votre mot de passe est un mot du dictionnaire, cela représentera environ 600 000 possibilités à tester. C’est à dire pas grand-chose.

Pour un mot de passe à 8 caractères, il faudra tester au maximum 100 000 000 de combinaisons si le mot de passe est constitué uniquement de chiffres ; 208 827 064 576 combinaisons si c’est uniquement des lettres en minuscules. Et si on a majuscules + minuscules + chiffres, il y a 218 340 105 584 896 combinaisons possibles à tester.

Attention, si ces chiffres nous paraissent impressionnants à traiter, les ordinateurs actuels sont capables de traiter tout cela très rapidement.

Comment générer un mot de passe robuste ?

La première erreur à éviter est de choisir un mot de passe trop court, ou bien trop simple, ou encore un mot du dictionnaire.

Pour vous aider à créer des mots de passe solides :

1. Générateur de mots de passe robustes
• CNIL.fr : Générer un mot de passe solide
• Dashlane.com : https://www.dashlane.com/fr/features/password-generator

2. Conseils / Bonnes pratiques
• ANSSI : Calculer la « force » d’un mot de passe
• Korben : https://wiki.korben.info/Mots_de_passe_statiques
• Google : https://support.google.com/accounts/answer/32040?hl=fr

Il est possible de créer des mots de passe robustes et facilement mémorisables grâce à ces 2 techniques :

  1. La première technique, la plus en vogue en ce moment, est d’utiliser un gestionnaire de mot de passe. Le concept est simple : vous n’avez qu’un mot de passe principal à retenir. Celui-ci permet de verrouiller un outil qui générera et retiendra les mots de passe pour vous. Il existe de nombreux gestionnaires de mot de passe, mais ils utilisent tous une base de données solidement chiffrée qui contiendra tous vos mots de passe. La plupart proposent aussi des plugins pour les navigateurs, ce qui permet de remplir automatiquement les champs d’authentifications sur les sites web. C’est facile d’utilisation et vraiment très pratique. En cas de fuite de données, comme tout est chiffré de bout en bout, vos mots de passe ne seront jamais en clair dans la nature.
  2. La seconde technique consiste à utiliser des phrases secrètes ou phrases de passe. Par exemple : plutôt que d’utiliser et retenir un mot de passe comme « ehr8Xpw$P », il est préférable de constituer une phrase complète du genre : « Mon chameau ne boira jamais tout le whisky que mon chat lui a acheté » ; ou encore « Mon Chameau Ne Boira Jamais Tout Le Whisky Que Mon Chat Lui A Acheté » ; ou bien « Mon ch4meau ne bo/r4 j4m4/s tout le wh/sky que mon ch4t lu/ 4 4cheté », … etc.

Pour plus d’informations et vous aider à créer des mots de passe solides :

1. Générateur de mots de passe robustes
• CNIL.fr : Générer un mot de passe solide
• Dashlane.com : https://www.dashlane.com/fr/features/password-generator

2. Conseils / Bonnes pratiques
• ANSSI : Calculer la « force » d’un mot de passe
• Korben : https://wiki.korben.info/Mots_de_passe_statiques
• Google : https://support.google.com/accounts/answer/32040?hl=fr