Les mots de passe faibles et faciles à deviner font que même la stratégie de cybersécurité la plus solide est facile à contourner. Si un pirate devine ou déchiffre un mot de passe, il peut accéder à votre compte ou à votre système sans déclencher l'alarme et compromettre les actifs que vous avez protégés par un mot de passe.
Le guide ci-dessous propose 11 idées de mots de passe forts qui vous permettront de garder une longueur d'avance sur les pirates. Nous expliquons également la différence entre une phrase de passe solide et une phrase de passe faible, fournissons des conseils pour améliorer les mots de passe actuels et montrons les principales méthodes utilisées par les pirates pour craquer les informations d'identification.
Comment créer un mot de passe fort (avec des exemples)
Un mot de passe fort est un mot ou une phrase unique qu'un pirate informatique ne peut pas facilement deviner ou craquer. Voici les principales caractéristiques d'un mot de passe fiable et sûr :
- Au moins 12 caractères (plus c'est long, mieux c'est).
- Combinaison de lettres majuscules et minuscules, de chiffres, de signes de ponctuation et de caractères spéciaux.
- Aléatoire et unique.
Si la complexité améliore la sécurité du mot de passe, la longueur est la caractéristique essentielle. La meilleure façon de rendre un mot de passe fort est de le rendre long. Par exemple, regardez ces deux mots de passe :
- 89&^598
- ILoveMyCatLordStewart
Bien que 89&^598 soit totalement aléatoire, le premier mot de passe est moins sûr que le second. Un programme de craquage de mots de passe pourrait deviner le 89&^598 en 44 heures environ, tandis que le craquage du ILoveMyCatLordStewart nécessiterait 7 ans de traitement constant.
Cependant, même la barre des 7 ans n'est pas suffisante pour qualifier un mot de passe de sûr, c'est pourquoi toutes les idées et astuces de mots de passe forts ci-dessous conduisent à des phrases qui prennent beaucoup plus de temps à craquer.
Astuce 1 : La méthode des 4 mots aléatoires
L'une des idées de mot de passe fort les plus simples mais aussi les plus efficaces consiste à réunir 4 mots ou plus, apparemment aléatoires. Assurez-vous simplement que :
- Le mot de passe comporte au moins 12 caractères.
- Les mots n'ont pas de sens naturel (comme Mon nom est Steven).
- Vous séparez les mots par des espaces, des signes de ponctuation ou des caractères spéciaux.
Voici quelques exemples de ces mots de passe (et comment s'en souvenir) :
- Phoenix Passe Café Travail ("Je travaille à Phoenix et je passe devant un café tous les jours en allant au travail").
- Seattle, Kindle, Café, Avions ("Seattle est le berceau d'Amazon, Starbucks et Boeing").
- Minnesota Avion Boston Noël ("J'habite dans le Minnesota mais je rentre en avion à Boston chaque année à Noël").
Le temps nécessaire pour craquer le mot de passe Phoenix Passe Café Travail : 2 millions d'années.
Astuce 2 : Utiliser une phrase entière
Si vous ne voulez pas vous souvenir d'une suite aléatoire de mots, vous pouvez créer un mot de passe à partir d'une phase personnalisée. Les mots d'une phrase s'enchaînent mieux que des mots aléatoires et sont plus faciles à retenir, mais vous ne devez pas vous fier à un dicton célèbre ou à une citation.
Vous pouvez décider d'inclure des espaces entre les mots (si le site Web accepte les espaces dans les mots de passe). Voici quelques bons exemples de phrases personnalisées :
- Vous pouvez en fait utiliser des espaces dans votre mot de passe !
- Mes garçons sont dans l'équipe de basket du lycée
- Je préférerais être à Marseille, s'il vous plaît.
Le temps nécessaire pour craquer le mot de passe Vous pouvez en fait utiliser des espaces dans votre mot de passe ! : 4 cent mille milliards d'années.
Astuce 3 : Utiliser un acronyme personnalisé
Vous pouvez utiliser un acronyme pour créer un mot de passe mémorable mais efficace. Par exemple, vous pouvez choisir la phrase "Mon fils est né dans un hôpital de Liverpool en 2002" et prendre la première lettre de chaque mot (MfenduhdLe2002) pour créer un mot de passe solide et facile à retenir.
Si vous choisissez cette méthode, veillez à ne pas baser le mot de passe sur une expression courante (telle que Tb,on2b,titq). Voici quelques bonnes idées :
- JpuBMW,aup5782. ("Je possède une BMW, avec une plaque 5782.").
- H!Mnmdpn'epsdàr! ("Hé ! Mon nouveau mot de passe n'est pas si difficile à retenir !").
- 2015el'aoj'aampm. ("2015 est l'année où j'ai acheté ma première maison.").
Le temps nécessaire pour craquer le mot de passe JpuBMW,aup5782. : 42 millions d'années.
Astuce 4 : Utiliser la disposition du clavier
Utiliser la disposition du clavier pour créer un modèle personnalisé est une autre idée de mot de passe efficace. Par exemple, vous pouvez retenir quelque chose de simple comme un nom (par exemple AVEC UN CLAVIER QWERTY, Jane Austen), puis utiliser les touches situées au-dessus et à droite des lettres (Iwj4 W8e64j). Voici quelques bons exemples :
- P05r 0t 6u4 %9jye ("Lord of the Rings").
- Y5wjr F4j65wp ^45k9jwp ("Grand Central Terminal").
- J43 &05o F4j65wp _w5o ("New York Central Park").
Le temps nécessaire pour craquer le mot de passe P05r 0t 6u4 %9jye : 698 trillions d'années.
Astuce 5 : Créer une formule simple
Vous pouvez inventer une formule personnalisée pour créer un mot de passe fiable. Par exemple, vous pouvez prendre n'importe quelle phrase et remplacer chaque lettre par la suivante dans l'alphabet :
- Les concombres sont savoureux ! -> Mft dpodpncsft tpou tbwpvsfvy ! (temps nécessaire pour craquer : 762 mille trillions d'années)
Tu peux aussi prendre la première lettre de chaque mot du refrain de ta chanson préférée :
- Refrain de Mamma Mia -> MmhIgammhcIrymmdisammjhmimy (temps nécessaire pour craquer : 129 millions de milliards d'années)
Ces exemples peuvent ressembler à du charabia, mais c'est exactement ce que vous voulez obtenir.
Astuce 6 : Changement de voyelle
Prenez n'importe quelle phrase et remplacez une voyelle par une autre (par exemple, E par A). Comme toujours, ayez au moins 12 caractères et utilisez une phrase aléatoire pour une protection maximale :
- "Tous les lundis, j'aimerais qu'on soit vendredi" -> Tous las lundis, j'aimarais qu'on soit vandradi.
- "J'aime les bistrots avec des bars ouverts toute la nuit" -> J'aima las bistrots avac das bars ouvarts touta la nuit.
- "Je martèle des clous, mais les clous martèlent la planche" -> Ja martala das clous, mais las clous martalant la plancha.
Le temps nécessaire pour craquer le mot de passe Tous las lundis, j'aimarais qu'on soit vandradi. : 307 trillion years
Astuce 7 : Raccourcissez chaque mot
Choisissez une phrase mémorable et supprimez les trois premières lettres de chaque mot (ne vous inquiétez pas si le processus supprime le mot entier) :
- "Les jours ouvrables sont pour le travail, mais les week-ends sont pour le football !" -> rs rables t r vail, s k-ends t r tball !
- "Les jeudis sont super, mais les vendredis sont meilleurs" -> dis t er, s dredis t lleurs
- "Le basket est mon sport préféré après le hockey" -> ket rt féré ès key
Le temps nécessaire pour craquer le mot de passe rs rables t r vail, s k-ends t r tball ! : 184 milliards d'années
Astuce 8 : La méthode de la phrase (méthode Bruce Schneier)
Pensez à une phrase aléatoire et transformez-la en mot de passe en prenant les deux premières lettres de chaque mot. Par exemple :
- "J'aimerais avoir plus de temps pour penser à de meilleurs mots de passe..." -> J'aavpldetepopeàdememodepa...
- "Passer devant un McDonalds et ne pas s'arrêter demande beaucoup de volonté" -> PadeunMcetnepas'adebedevo
- "Créer un mot de passe fort n'est pas si difficile après tout" -> Crunmodepafon'epasidiapto
Le temps nécessaire pour craquer le mot de passe J'aavpldetepopeàdememodepa... : 1 milliard d'années
Astuce 9 : Mélangez les codes ISO de vos pays préférés
Cette idée de mot de passe à la fois amusante et forte nécessite que vous fassiez la liste des codes ISO de vos pays ou comtés préférés que vous avez visités (de cette façon, vous pouvez mettre à jour votre mot de passe chaque fois que vous visitez un nouveau pays). Vous obtiendrez quelque chose comme ceci :
- "Canada, Mexique, France, Allemagne, Japon" -> can mex fra deu jpn
Le temps nécessaire pour craquer le mot de passe "can mex fra deu jpn" : 424 mille milliards d'années.
Astuce 10 : La méthode mathématique
Vous pouvez utiliser des symboles et des équations mathématiques pour créer un mot de passe fort. Ces mots de passe sont généralement longs et remplis de symboles différents, ce qui en fait un choix idéal de mot de passe. En voici quelques exemples :
- MonChien+MonChat=8pattes
- 830-630=DeuxCents
- Enfants+Noël=Cadeaux
Le temps nécessaire pour déchiffrer le mot de passe MonChien+MonChat=8pattes : 9 millions d'années.
Astuce 11 : Utilisez une faute d'orthographe délibérée
Vous pouvez intentionnellement mal orthographier les mots pour créer des mots de passe uniques et sûrs tels que :
- ChaqueAnéDesMausNaisse
- LeFranssaisAit1LangueVivante
- JèmeLèGâtauxOChokolat
Temps nécessaire pour craquer le mot de passe LeFranssaisAit1LangueVivante : 119 millions d'années.
Si vous décidez d'utiliser cette méthode, veillez à ne pas utiliser de fautes d'orthographe courantes. Les pirates alimentent les programmes de craquage avec des listes de mots de passe comportant toutes les fautes d'orthographe habituelles, donc plus votre mot de passe est obscur, mieux c'est.
Comment améliorer un mot de passe existant
Si vous avez un mot de passe favori que vous trouvez déjà facile à retenir, vous n'avez pas besoin de le remplacer par un nouveau mot de passe. Au lieu de cela, vous pouvez améliorer le mot de passe faible actuel en :
- Ajoutant des espaces ou des parenthèses.
- Ajoutant des mots supplémentaires.
- Répétant le mot de passe deux fois.
- Transformant le mot de passe en adresse électronique.
- Ajoutant une ponctuation aléatoire.
- Ajoutant des émoticônes.
- Permutatant des lettres (si le mot de passe actuel comporte suffisamment de caractères pour être sûr).
De légères modifications apportées à un mot de passe sont également utiles pour créer des mots de passe uniques pour plusieurs comptes. Plutôt que de créer un nouveau mot de passe à partir de zéro, vous pouvez ajouter un code différent à votre mot de passe existant pour chaque compte en ligne (par exemple, {Andrew,77}EBAY pour votre profil eBay et {Andrew,77}PPAL pour le compte PayPal).
Ce qu'il faut éviter lors du choix d'un mot de passe
Vous devez suivre un ensemble de règles strictes lorsque vous choisissez des mots de passe afin d'éviter les faiblesses qu'un pirate informatique peut exploiter. Un mot de passe fort ne doit jamais :
- Comporter moins de 12 caractères.
- Être uniquement basé sur des données personnelles (nom, prénom, nom d'un membre de la famille, date de naissance, lieu de travail, club de sport préféré, etc.)
- Contenir des chemins de clavier mémorisables (notamment qwerty et asdfgh).
- Utiliser uniquement des lettres, des caractères spéciaux ou des chiffres.
- Être réutilisé sur deux (ou plus de) comptes ou sites web différents (même si le mot de passe est fort, l'un des sites web conservant le mot de passe peut subir une brèche et mettre tous les autres comptes en danger).
- Inclure des lettres ou des chiffres séquentiels.
- Être basé sur un mot courant (dans n'importe quelle langue).
- S'appuyer sur une substitution de caractères de base pour la sécurité (comme M@nch3st3rUtd ou L3tM31n).
- Contenir le nom d'utilisateur correspondant.
Voici des exemples de mots de passe médiocres qui peuvent ressembler à des idées de mots de passe forts :
- 5404464785 : ce mot de passe ne comporte ni lettres ni caractères spéciaux, et il utilise un numéro de téléphone.
- March101977 : Ce mot de passe utilise des informations personnelles (la date d'anniversaire de quelqu'un), contient un mot du dictionnaire courant (March) et ne comporte pas de caractères spéciaux.
- P@ssword12345 : Bien qu'il comporte 13 caractères, un symbole, des chiffres, un mélange de lettres et aucune information personnelle identifiable, un ordinateur peut craquer ce mot de passe en 0,01 seconde. P@ssword est une expression courante, et la séquence 12345 est facile à trouver pour n'importe quel programme.
Il est également sage de ne pas utiliser les mots de passe que d'autres personnes utilisent couramment. Les pirates commencent toujours le processus de craquage en essayant les mots de passe les plus populaires, telles que :
- 111111
- 123123
- 12345678
- jesus
- letmein
- mot de passe1
- asdf
- qwerty
- trustno1
- abc123
- dragon
- football
- iloveyou
Vous pouvez utiliser le site Web Have I Been Pwned? pour vérifier le caractère unique de votre mot de passe et vous assurer que votre mot de passe n'a pas fait l'objet d'une violation de données antérieure.
Autres options de sécurité pour sécuriser vos mots de passe
Outre les astuces de mots de passe forts, vous pouvez également vous appuyer sur d'autres pratiques de sécurité pour vous assurer qu'un mot de passe reste sûr. Les suggestions ci-dessous sont utiles tant pour sécuriser les informations d'identification personnelles que pour protéger les mots de passe à l'échelle de l'entreprise.
Authentification multifactorielle (MFA - Multi-Factor Authentication)
Même si quelqu'un vole votre mot de passe, vous pouvez toujours empêcher l'intrus d'accéder à votre compte. L'authentification multifactorielle (MFA) ajoute une couche supplémentaire de sécurité à votre compte en demandant à l'utilisateur de fournir les éléments suivants lors de la connexion :
- Un nom d'utilisateur et un mot de passe.
- Un scan biométrique ou un jeton physique.
Ce processus de vérification en deux ou trois étapes rend difficile l'accès des cybercriminels et le vol de votre identité.
Si vous souhaitez protéger votre entreprise contre le vol d'identités et de mots de passe, vous pouvez mettre en œuvre la MFA via une application spécialisée que vos employés installent sur leurs smartphones. Google's Authenticator et Authy sont deux excellentes options gratuites, deux outils qui génèrent un code PIN à usage unique qui sert de facteur supplémentaire lors de la connexion.
Réseaux privés virtuels (VPN - Virtual Private Network)
Vous (et vos employés) devriez toujours utiliser un VPN lorsque vous saisissez ou échangez des mots de passe sur un réseau Wi-Fi public. Un VPN garantit que personne n'intercepte votre nom d'utilisateur et votre mot de passe lorsque vous vous connectez à votre compte.
Meilleures pratiques générales en matière de protection des mots de passe
Même le mot de passe le plus difficile du monde devient inutile si vous ne savez pas comment l'utiliser et le protéger. Soyez donc prudent avec votre mot de passe en suivant ces meilleures pratiques :
- Ne partagez jamais votre mot de passe avec qui que ce soit.
- Si vous stockez des mots de passe en ligne, assurez-vous que le site Web ne stocke pas les informations d'identification en clair.
- Ne sauvegardez pas vos mots de passe dans un document en ligne, par exemple un courriel.
- Lorsque vous choisissez des questions de sécurité en cas de mot de passe oublié, sélectionnez des options difficiles à deviner dont vous êtes le seul à connaître la réponse. N'utilisez pas une question dont la réponse est facile à trouver en ligne ou sur vos médias sociaux.
- Changez régulièrement de mot de passe, au moins une fois tous les quelques mois.
- Ne notez pas votre mot de passe et ne le conservez pas à proximité de votre poste de travail.
- Ne conservez pas le mot de passe dans votre téléphone (sous forme de note ou de photo).
N'autorisez pas non plus les navigateurs à enregistrer votre mot de passe. Bien que pratique, cette fonctionnalité signifie qu'une seule fuite de données compromet instantanément tous vos comptes.
Gestionnaires de mots de passe
Un gestionnaire de mots de passe conserve la trace de tous vos mots de passe et se charge de les mémoriser pour vous. Tout ce que vous devez retenir, c'est le mot de passe principal qui vous donne accès au programme de gestion (qui est, espérons-le, un mot de passe fort protégé par MFA).
Les gestionnaires de mots de passe protègent les mots de passe grâce au cryptage. Si quelqu'un réussit à pirater le gestionnaire, les hachages de mots de passe seraient inutiles sans la clé de décryptage, c'est pourquoi une bonne gestion des clés est vitale pour ces applications.
Vous pouvez utiliser un programme de gestion des mots de passe pour sécuriser les informations d'identification personnelles ou pour rationaliser et sécuriser la manière dont vos employés créent, stockent et utilisent les mots de passe.
Quelles sont les techniques courantes utilisées par les pirates pour craquer votre mot de passe ?
Les pirates utilisent de nombreuses techniques pour craquer les mots de passe. Vous trouverez ci-dessous une liste des méthodes les plus courantes qu'un cybercriminel peut utiliser pour compromettre vos informations d'identification.
Attaques par force brute
Une attaque par force brute est un processus simple dans lequel un programme passe automatiquement en revue les différentes combinaisons possibles jusqu'à ce qu'il devine le mot de passe cible. Ces programmes peuvent facilement craquer des mots de passe simples et moyens.
Un programme de force brute moyen peut essayer plus de 15 millions de tentatives de saisie par seconde, ce qui signifie que 9 minutes suffisent pour craquer la plupart des mots de passe à sept caractères. Les attaques par force brute sont la principale raison pour laquelle nous insistons sur un minimum de 12 caractères pour les mots de passe.
Attaques par dictionnaire
Alors qu'une attaque par force brute essaie toutes les combinaisons possibles de symboles, de chiffres et de lettres, une attaque par dictionnaire tente de craquer le mot de passe à l'aide d'une liste de mots préétablie. Cette attaque commence généralement par des catégories communes de mots, telles que :
- Des équipes sportives.
- Noms de célébrités, de membres de la famille, d'amis, d'animaux domestiques, de personnages de télévision ou de films, etc.
- Lieux (pays, villes, points de repère, etc.).
- Les hobbies.
- Noms d'animaux.
Une attaque par dictionnaire tente également de substituer des lettres par des symboles, comme 1 pour un I ou @ pour un A. Cette cyberattaque est la principale raison pour laquelle aucune personne consciente de la sécurité ne devrait utiliser des mots courants dans son mot de passe.
Attaques de phishing ou attaques par hameçonnage
Une attaque par hameçonnage se produit lorsqu'un criminel essaie de vous tromper ou de faire pression sur vous pour que vous communiquiez involontairement des informations d'identification. Cette menace d'ingénierie sociale repose souvent sur les courriels : les pirates envoient un courriel en se faisant passer pour quelqu'un d'autre et renvoient les utilisateurs vers de fausses pages de connexion.
Par exemple, vous (ou l'un de vos employés) pouvez recevoir un courriel décrivant un problème avec votre compte de carte de crédit. L'e-mail renvoie à un lien qui mène à une page de connexion sur un site Web bidon ressemblant à celui de votre société de carte de crédit. Si la victime tombe dans le panneau, le pirate qui a créé le faux site Web reçoit les informations d'identification sur un plateau d'argent.
Écoute clandestine ou Eavesdropping
Un pirate peut intercepter les informations d'identification lorsque les victimes échangent des mots de passe via des communications réseau non sécurisées (sans VPN ni cryptage en transit). Également appelée "sniffing" ou "snooping", l'écoute clandestine permet à un pirate de voler un mot de passe sans que la victime ne s'aperçoive que quelque chose ne va pas.
Virus d'enregistrement de frappe ou Keylogger
Un virus d'enregistrement de frappe surveille chaque pression sur le clavier, permettant à un pirate d'enregistrer vos mots de passe (entre autres activités).
Dridex et Zeus sont les deux virus d'enregistrement de frappe les plus courants. Ces deux programmes malveillants se propagent par le biais de pièces jointes d'e-mails infectés et recherchent principalement des informations de connexion bancaire. Pour éviter ces virus, vous devez :
- Savoir comment identifier les courriels de phishing.
- Maintenir les logiciels de votre ordinateur à jour.
- Installer et utiliser un outil anti-virus robuste.
- Éviter les sites web et les logiciels douteux.
Recyclage d'identifiants
Le recyclage d'identifiants est une attaque moins ciblée mais toujours dangereuse pour les personnes ne disposant pas d'un mot de passe fort. Cette tactique utilise des noms d'utilisateur et des mots de passe collectés lors d'autres violations et les essaie sur autant de plateformes et de sites Web aléatoires que possible.
Les pirates rassemblent généralement des dizaines de milliers d'informations d'identification différentes ayant fait l'objet d'une fuite lors d'un autre piratage. Malheureusement, comme de nombreuses personnes utilisent les mêmes mots de passe simples, cette méthode est très efficace. D'autres noms pour désigner le recyclage d'identifiants sont le password spraying, le Credential Recycling ou encore le credential stuffing.
Ne prenez pas de risques avec vos mots de passe
Si quelqu'un vole ou devine votre mot de passe, cette personne peut facilement contourner toutes les autres mesures de sécurité protégeant vos données. Les idées et astuces de mots de passe forts présentées dans cet article peuvent vous aider à assurer votre sécurité et à faire en sorte que vos mots de passe ne tombent jamais entre de mauvaises mains.