Page d'entrée d'un site sécurisé

Comment choisir un bon mot de passe en 2021

Plusieurs critères de choix de mots de passe sont à respecter afin d’en arriver à une sécurité acceptable. Pourquoi j’utilise l’adjectif ‘acceptable’ ? Car pour moi le critère du choix du mot de passe n’est pas le seul pour bien sécuriser un accès. Le principe du double facteur d’authentification devrait être mis en place dans les organisations.

Le double facteur et mot de passe adéquat

Bien que le double facteur d’authentification ne soit pas l’objectif principal de cet article, je me dois quand même de vous en parler. La raison est forte simple, c’est que si vous êtes à lire ce texte, c’est que votre intérêt pour la sécurité informatique ou simplement l’intérêt de la protection de vos données personnelles vous intéresses non ?

Le double facteur consiste à incorporer deux systèmes de vérification d’accès à un système informationnel. En 2021, ce principe défini entre autres par la norme PCI DSS 3.2 devrait être réglementé et obligé par nos gouvernements.

Le principe technologique est simple, comme son nom l’indique, en plus d’une identification avec un mot de passe ou un code Pin, une deuxième identification devrait être nécessaire afin d’accéder à l’environnement informationnel désiré : Jeton, certificat présent sur le poste, etc.

Le bon mot de passe

En plus de la mise en place de deux facteurs d’identifications sur les systèmes informationnelles, il faut s’assurer que ces derniers sont sécuritaires. Un des deux facteurs le plus souvent utilisés est celui du mot de passe. Il est important d’obliger l’utilisateur à effectuer le bon choix, car ce dernier pourrait être facile à deviner à l’aide d’outils. Analysons quelques possibilités pour vous démontrer la facilité de trouver un mot de passe ou non.

Le site Francoischarron.com nous apprend « qu’une étude réalisée en 2013 par la firme Deloitte révèle que 90% des mots de passe utilisés pour sécuriser l’accès à un compte bancaire, une boîte courriel ou un profil sur un réseau social sont vulnérables en raison de leur répétition. »

À ce moment, cette étude estimait que 79% des internautes utilisaient les mêmes 500 mots de passe les plus courants.

Je me suis amusé à tester certains mots de passe sur le site howsecureismypassword.net avec le temps qu’il faut pour qu’un pirate informatique malicieux à l’aide d’un ordinateur le découvre. Voici les résultats.

bonjour              =     Immédiatement

Bonjour              =     25 secondes

Bonjour1234      =    41 années (Hmmm, j’ai un doute!)

Bonjour1234!     =   34 000 années (j’ai encore un doute)

BonjourSoleil      =   16 000 années (il est temps d’essayer un autre simulateur)

Voilà, les résultats du simulateur suggéré par François Charron me laisser douter, alors je me suis rendu sur le site de la réputé compagnie russe Karspesky. J’ai effectué des tests avec les mêmes mots de passe. Cependant, ce dernier ne me donne pas un temps qu’un ordinateur prendrait afin de déchiffrer mon mot de passe, mais des informations sur la qualité du passe cherché et ces fuites antérieures.  

bonjour              =     Apparu 80694 fois dans une base de données de mots de passe ayant fait l’objet d’une fuite.

Bonjour              =     Apparu 1838 fois dans une base de données de mots de passe ayant fait l’objet d’une fuite.

Bonjour1234      =    Apparu 52 fois dans une base de données de mots de passe ayant fait l’objet d’une fuite.

Bonjour1234!     =   Apparu 7 fois dans une base de données de mots de passe ayant fait l’objet d’une fuite.

BonjourSoleil      =   Aucune fuite mais le site me suggère fortement de le changer quand même, car celui-ci utilise des mots faciles à pirater.

Nous allons effectuer un dernier test en vérifiant un mot de passe ne contenant pas de mots existants du dictionnaire, utilisant des chiffres, des minuscules, majuscules et caractères spéciaux :   ertC23jiu!%aLos.  Le site de Karspesky me dit que ce mot de passe est très sécuritaire et celui de Howsecureismypassword m’apprend qu’il faudrait 15 millions d’années à un ordinateur pour le trouver.

En conclusion

Le mot de passe doit inclure le plus de caractères différents possible (Chiffre, lettre, majuscule, caractères spéciaux), une longueur adéquate (minimum 10 caractères) et idéalement être différents d’un compte à l’autre.

Cependant, il est toujours possible que votre mot de passe soit disponible à des pirates par une fuite de données à cause du vol sur un site dont vous être présent. Le choix d’un bon mot de passe n’est pas le seul facteur à considérer afin de diminuer le risque. Le choix de mots différents à chaque site et le changement fréquent de vos passes diminueront de façons considérables le risque d’attaque contre vous.

Ce principe est fort simple, faites une chaînes de sensibilisation, pourquoi ne pas débuter par vos enfants ?

Dany Brisson

Charron, F. (2019, 3 avril). Conseils pour choisir un bon mot de passe. francoischarron.com. https://francoischarron.com/sur-le-web/trucs-conseils/conseils-pour-choisir-un-bon-mot-de-passe/gp2xLTdqAY/

Denayer, D. (s. d.). Se conformer à la norme PCI DSS 3.2 : authentification multi-facteurs. OneSpan. Consulté le 16 août 2021, à l’adresse https://www.onespan.com/fr/blog/se-conformer-la-norme-pci-dss-32-authentification-multi-facteurs

Kaspersky : Secure Password Check. (s. d.). Kaspersky. Consulté le 16 août 2021, à l’adresse https://password.kaspersky.com/fr/