14/07/2009 à 12h53

« 123456 » ou bien « azerty » ? L'enfer des mots de passe

Nathalie Kantt | Etudiante


Une serrure et sa clé (Mirko Macari/Flickr)

Aurore L. travaille dans le service marketing d'une grande entreprise. Chaque matin, elle commence sa journée en tapant un mot de passe qui la connecte à un réseau, et qu'elle doit changer tous les deux mois.

Pendant la journée, sa mémoire est plusieurs fois défiée par l'électronique, qui lui demande un sésame pour le remboursement des notes de frais, un autre pour rentrer dans le système d'approbation des factures, un troisième pour le système interne des suivis de projet...

Les mots de passe les plus populaires
A éviter absolument :
  • « password »
  • « 123456 »
  • qwerty (l'équivalent d'« azerty » sur le clavier français)
  • abc123
  • « letmein » (« laisse moi rentrer » en anglais)
  • « monkey » (« singe » en anglais)
  • « myspace1 »
  • password1
  • link182
  • le prénom

► Source : InTechnology.com

Et quand elle rentre chez elle, c'est de nouveau une succession affolante de demandes de codes : pour les boîtes mail, pour payer en ligne ses comptes, pour contrôler les dépenses effectuée avec sa carte (numéro de client et code « ultra secret »), pour se connecter aux réseaux sociaux.

Mais un matin, devant son ordinateur, sa mémoire la trahit. Elle ne se souvient plus de ses mots de passe. Et là, seule face à cet écran qui ne la reconnaît pas, elle comprend que ces quinze jours de vacances l'ont vraiment détendue. Elle oublie et elle mélange ses codes. « Ça a été un vrai handicap. Et le temps de les retrouver, j'avais déjà demandé à en avoir d´autres », se souvient-elle.

Jusqu'à quinze mots de passe dans les entreprises très sécurisées

Pour beaucoup, la sécurité qu'exige Internet finit par empoisonner l'existence. Aujourd'hui, un internaute arrive à utiliser une dizaine de mots de passe pour les différentes activités menées en ligne. Un chiffre peut qui peut atteindre quinze pour ceux qui travaillent dans de grandes entreprises très sécurisées.

A cet effort de mémoire s'ajoute la nécessité d'être original, pour échapper aux attaques des hackers. Des majuscules, des chiffres, des minuscules... En excluant les mots typiques ou les numéros qui ont un lien avec la vie privée.

OpenID : un seul identifiant partout
Certains sites proposent la création d'un OpenID , qui permet de se connecter une fois pour toutes à toute une série de services.
En pratique, l'utilisateur utilise un identifiant unique, sous la forme d'une adresse URL.
L'authentification est unique sur tous les services web qu'il a liés à son OpenID.

Avec l'omniprésence d'Internet dans nos vies, le défi semble désormais être celui de l'organisation et de la création de sa propre identité digitale. C'est ce qu'explique le spécialiste en communauté identitaire Trent Adams, de la Internet Society (Isoc) :

« Les utilisateurs doivent apprendre à considérer chaque compte en ligne qu'ils créaient comme faisant partie d'un ensemble qui constitue leur identité digitale. L'astuce est de tenir compte de tous les aspects du cycle de la vie identitaire.

Les technologies sont arrivées à un âge où elles doivent aider à réduire la dépendance à l'usage de multiples mots de passe. Et les gens désirent simplifier leur utilisation. »

L'Isoc s'est donné pour mission d'aider les usagers mieux contrôler leur identité en ligne. Ce qui inclut, bien sûr, la gestion des mots de passe :

« Si nous arrivons à éclairer les utilisateurs sur le besoin de gérer leur propre identité, de manière à respecter la vie privée, les hackers auront du mal à poursuivre leurs attaques informatiques. »

Les utilisateurs tendent à unifier tous leurs mots de passe en un seul. Comme Agathe D., 26 ans, qui travaille dans la publicité des grandes marques :

« C'est une prise de tête incroyable. C'est pourquoi j'ai décidé que la plupart de mes mots de passe personnels devaient être les mêmes, sauf pour ce qui concerne l'argent.

Je préfère que mes amis proches, qui sont les seuls à me voir taper mon mot de passe, lisent quelques mails qui n'ont rien de très secret plutôt que d'oublier les codes et de perdre tout mes mails. Ou encore d'avoir à faire cette démarche des questions secrètes [certains sites demandent, en plus d'un mot de passe, de prévoir une question et une réponse personnelle en cas d'oubli du mot de passe, ndlr]. »

Agathe avoue qu'elle utilise des chiffres et des données personnelles pour composer son code.

Objectif : compliquer la vie des pirates

Le problème d'utiliser le même mot de passe dans plusieurs systèmes, ou de créer des combinaisons faciles (en liaison ou pas avec la vie privée, comme « 123456 », « azerty », « abc123 » ou le prénom), insiste Trent Adams, c'est qu'il est beaucoup plus facile pour le hacker de rentrer dans d'autres comptes s'il parvient à attaquer une première fois :

« La création de mots de passe plus difficiles à déchiffrer est généralement une activité livrée aux professionnels de la sécurité et aux “pirates de l'informatique”. L'utilisateur reste en dehors de l'équation. La situation pourrait s'améliorer s'ils connaissent leur rôle dans la protection des informations ainsi que les options techniques pour la gestion de l'identité. »

Les spécialistes conseillent de mélanger des lettres majuscules et minuscules, des chiffres et des ponctuations, afin d'augmenter le nombre de combinaisons possibles. Dans certains systèmes, « aBc » est interprété différemment de « abc », « AbC » ou « aBC » :

« C'est une bonne manière de se défendre des pirates qui essayent chaque caractère en séquence jusqu'à trouver la bonne combinaison.

Ça leur prendra plus longtemps parce qu'ils devront considérer doublement chaque signe, et encore plus s'il y a des chiffres et des ponctuations incluses. C'est mieux parce que ça force la combinaison à ne pas être un mot, ce qui permet de se défendre de ces “ dictionary attack.”

  • 46987 visites
  • 76 réactions
TAGS
Vous devez être connecté pour commenter : or inscrivez-vous
  • b££muse
    • Posté à 13h18 le 14/07/2009

    il est pourtant très simple de créer des mots de passe fiable et très sécurisé..

    un exemple. on choisi son prénom : Jacques, on va modifier un peut ça en Jacqu£$ et par exmple le jour de naissance 14

    Jacqu£$14

    et on peut rajouter pour chaque service un caractère afin d'avoir un mdp différents pour chaques sites.

    par exemple Facebook mon mdp sera : fJacqu£$14K on prend la première et la dernière lettre du service qu'on ajoute au mdp

    pour Gmail : gJacqu£$14l

    et pour les entreprises ou il faut souvent changer de mdp, on ajoute un chiffre à implémenter à chaque changement de mdp.
    exemple pour l'intranet de la société iJacqu£$14t001 ensuite iJacqu£$14t002, iJacqu£$14t003 et ainsi de suite.

    pour ce rappeler du chiffre on peut facilement laisser un post-it sur l'écran avec le chiffre et voila,

    on obtient des mot de passe très sécurisé, que l'on ce souvient facilement..

  • ZonZon la MouChe
    • Posté à 13h19 le 14/07/2009

    Perso je compose mes password en utilisant les premières lettres des mots d'une phrase, associées à une combinaison de 4 chiffres, séparée par un point ou un tiret ou un undercore .
    Exemples
    Au clair de la lune mon ami Pierrot ». Ce qui donne AcdllmaP-1234
    Anne ma soeur Anne ne vois tu rien venir : AmsAnvtrv_0000

    Le password est ainsi facile à retenir.

  • désabusée
    • Posté à 14h24 le 14/07/2009
    • Internaute

    mes mdp sont totalement aléatoires, je tape des séries de caractères au hasard, laissant aller mes doigts sur le clavier, je les note sur un carnet et rien n'est mémorisé sur le pc. faut les trouver !

  • Couscous_Delight
    • Posté à 14h34 le 14/07/2009
    • Internaute

    Je conseille l'utilisation de Keepass, logiciel open source, qui génère (si on le veut) et stocke vos mots de passes protégé par un super mot de passe.
    Indispensable.
    Lien

  • A déménagé le 02-02-2012-2
    • Posté à 14h36 le 14/07/2009
    • Internaute
      non connue

    Un truc pour trouver des nouveaux mots de passe : prenez un surnom de Sarko. Y'en a plein.
    J'ai essayé avec des surnoms de Lefebvre, mais on est limité à 10 caractères. Et puis ça abime le clavier de taper trop fort sur les touches.