A propos de la gestion des mots de passe, nous disons :
- « J’utilise toujours le même ! »
- « Quel casse-tête ! »
Mais aussi : « Impossible à gérer !», « Je les oublie régulièrement.»
Pour retrouver de la sérénité et gagner du temps, voici quelques pistes à travailler, fruits d’une enquête réalisée auprès de responsables de services informatiques.
Comment composer de « solides » mots de passe
- Veillez à la taille du mot de passe : plus il est long, plus il sera robuste : a minima 8 caractères, plus de 12 caractères selon les conseils de l’ANSSI (Agence nationale de sécurité des systèmes d’information, la référence en la matière).
- Un bon mot de passe contient des majuscules, minuscules, au moins 1 chiffre et un caractère non alphanumérique. Servez-vous de caractères spéciaux et encodez des caractères. Astuces : remplacer O par zéro, I par 1, e par 3, certains mots par l’émoticône correspondante ex : le mot sourire par
- Les mots de passe ne doivent avoir aucun lien avec vous (date de naissance, nom, prénoms, N° téléphone, code postal)
- Privilégiez des mots non-signifiants en mixant chiffres et lettres, minuscules et majuscules pour éviter les attaques dites de « dictionnaire » balayant systématiquement tous les mots connus.
Extrait de 2 méthodes :
- La méthode phonétique : « J’ai acheté 5 CDs pour cent euros cet après-midi » : ght5CDs%E7am ; ou « CotCotCot c’est un œuf » qui peut se transformer en 444719
- La méthode des premières lettres : « Si j’avais huit heures pour abattre un arbre, j’en prendrais six pour affûter ma hache. » Abraham Lincoln : Sj8Hp@uA#Jp6p@mH.AL
Autres exemples :
- « La méfiance est mère de la sûreté ». Jean de La Fontaine, 1668. Peut donner « LmemdlS. »JdLF,1668.
- Utilisez une phrase reliée à votre histoire personnelle : « Quand j’avais 7 ans, ma sœur a jeté mon Doudou Lapin dans les toilettes. » : Qj7@,msajmDLdlt<:
- Prenez de l’inspiration sur le site de la CNIL, avec un générateur de mot de passe : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide puis personnalisez-le !
- Définissez un mot de passe unique pour chaque service sensible pour éviter qu’un pirate récupère votre mot de passe sur un site dont la sécurité est défectueuse et l’essaie sur les sites les plus courants (google, hotmail, free, orange, paypal, votre banque, réseaux sociaux,…). Par exemple, le mot de passe de la messagerie professionnelle, personnelle et bancaire ne doit jamais être réutilisé pour d’autres services. Même règle pour les sites contenant des données personnelles : LinkedIn, Facebook, Snapchat,….
- Ne conservez pas les mots de passe dans des fichiers ou sur des post-it ou en clair dans un fichier en clair (bloc-notes, word, excel) ou en ligne sur internet, ni sur un papier facilement accessible (dans votre portefeuille par exemple).
- N’envoyez jamais de mot de passe avec la messagerie.
- Activez systématiquement – pour les sites qui le proposent – une vérification des opérations sensibles via votre mobile. Cela permet aux sites d’envoyer un SMS en cas de doute sur le lieu de connexion de l’utilisateur/lieu de résidence.
- Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis et en particulier lors de l’utilisation ou la connexion à un ordinateur public ou partagé (salons, déplacements…).
- Si vous ne voulez plus perdre de temps à noter et réinitialiser les mots de passe et que vous êtes effrayé par la charge mentale créée par la multiplication de vos comptes, il existe une solution : utiliser un gestionnaire de mots de passe qui jouera le rôle de coffre-fort. Vous y accéderez par un seul mot de passe maître.
Quel logiciel pour gérer ses mots de passe ?
Pour vous aider à faire un premier choix, voici une 1ère sélection à l’été 2017. Tous ces outils proposent une version gratuite ou un temps d’essai.
L’idéal est de chiffrer vos données sur un seul appareil en local, soyez conscients que les solutions sur le cloud génèrent des risques supplémentaires. Pensez aussi à vérifier les navigateurs pris en charge et privilégiez les outils qui vous proposent une identification à plusieurs facteurs. Enfin, choisissez soigneusement votre mot de passe maître : il doit être complexe car il protégera tous les autres mots de passe.
Dashlane :
Ce logiciel génère et stocke des mots de passe uniques pour tous les comptes et les saisit automatiquement en ligne. Ils sont stockés dans une base de données ultra-sécurisée, protégée non seulement par un mot de passe maître mais aussi par un code pin (identification à deux facteurs).
L’application permet aussi les données d’identité, des numéros de cartes bancaire, codes wifi…
Vous pouvez choisir de l’utiliser sur un seul de vos appareils sans sauvegarder les données sur le cloud.
L’ergonomie et l’interface de cet outil sont soignées et incitent l’utilisateur à augmenter son score de sécurité. Il a été développé par une société franco-américaine. https://www.dashlane.com/fr
LastPass :
Ce logiciel possède des fonctions proches de Dashlane. La synchronisation des informations se fait sans limite de machines. Pour accéder au coffre-fort une identification à deux facteurs est nécessaire. Il est moins onéreux que Dashlane. https://www.lastpass.com/fr
Keepass :
Logiciel open source, mis en avant par la CNIL pour sa version Windows. Keepass crée un fichier contenant la base de données chiffrée stockée en local, hors ligne. Cette base sera protégée avec un mot de passe maître et/ou un fichier. Avantage : la base de données n’est synchronisée sur aucun serveur distant. Les mots de passe sont générés aléatoirement. Le fonctionnement de base est statique : on pourra copier/coller les mots de passe vers les sites, et rien de plus. Son interface est très « technique », destinée à des utilisateurs avertis, avec des notions de sécurité informatique. Les applications mobiles nécessitent des ajouts et il faut du temps pour le maîtriser. https://keepass.fr/
Pour vos outils mobiles, regardez aussi les applications suivantes : 1Password (intéressant dans un environnement Apple), KeePassDroid ou Keepass2Android sur Android, 7Pass sur Windows Phone…
Si vous souhaitez en savoir plus, quelques liens :
- https://www.ssi.gouv.fr/guide/mot-de-passe/
- https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/ pour calculer la force de vos mots de passe
- https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe
Merci en particulier à 19dlC#qHaL, JsnaP19mI9#X, 2LqUkiPeqT@Q, XqeMam@r1Ne ….qui préfèrent rester anonymes … sécurité oblige !
Sophie Le Stum, CapEquipe.
