Sécurité : Comment construire un mot de passe sûr et gérer la liste de ses codes d’accès ?

Banque, e-commerce, messagerie, documents, administration : de nombreuses démarches de notre vie quotidienne passent désormais par Internet et par la création de comptes sur les différents sites.

Nombre de ces espaces privatifs contiennent des informations confidentielles qui ne doivent pas être rendues disponibles à des personnes non habilitées. Une étude de 2013 de Dashlane portant sur 100 sites de e-commerce français a révélé que 87% des acteurs de l’e-commerce acceptent encore des mots de passe "basiques" comme "123456", « azerty » ou "motdepasse", qui sont les premiers que les pirates informatiques vont essayer de taper. 17 % des internautes utilisent leur date de naissance.

Qu’est-ce qu’un « bon » mot de passe ?

Un bon mot de passe doit être suffisamment long, et faire au moins huit caractères. Il doit être composé d’au moins 3 types de caractères différents parmi les quatre types de caractères existants (majuscules, minuscules, chiffres et caractères spéciaux). Il ne doit pas avoir de lien avec son détenteur (nom, date de naissance…).

Comment construire un mot de passe sûr ?

Des moyens mnémotechniques permettent de créer des mots de passe complexes, tels que:

• ne conserver que les premières lettres des mots d’une phrase ; par exemple, la phrase « un Utilisateur d’Internet averti en vaut deux » correspond au mot de passe 1Ud’Iaev2.
• en mettant une majuscule si le mot est un nom (ex : Utilisateur) ;
• en gardant des signes de ponctuation (ex : ’) ;
• en exprimant les nombres à l’aide des chiffres de 0 à 9 (ex : Un ->1).

Avoir 4 ou 5 mots de passe différents pour tous ses comptes est-il suffisant ?

Non, idéalement, il faudrait utiliser des mots de passes différents pour tous ses comptes. Il faudrait donc avoir un mot de passe spécifique pour chaque compte important (ex : compte mail, banque, etc.), et surtout ne pas l’utiliser pour un autre compte. Ainsi, en cas de compromission du mot de passe, les autres comptes ne seront pas compromis. En effet, supposons que vous utilisiez le même mot de passe pour votre compte de messagerie et votre compte de réseau social. Si votre fournisseur de réseau social est victime d’une fuite de données comprenant vos moyens d’authentification, une personne mal intentionnée pourrait les utiliser pour non seulement accéder à votre compte de réseau social mais aussi pour accéder à votre messagerie. De plus, une fois l’accès à votre messagerie obtenu, il deviendra possible de voir la liste des messages d’inscriptions à vos comptes sur différents sites (si vous ne les avez pas supprimés de votre boîte). Il sera ainsi possible de connaître certains de vos identifiants de compte et d’utiliser la fonction d’oubli de mots de passe pour en prendre le contrôle.

Peut-on faire une liste de ses mots de passe ?

Oui, mais pas n’importe comment :

• ne stockez pas vos mots de passe dans un simple fichier texte stocké sur votre ordinateur ou sur internet ;

• ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;
• supprimez systématiquement les messages qui vous sont envoyés par messagerie lors de la création de vos comptes, surtout s’ils contiennent votre identifiant et/ou mots de passe ;
• configurez les logiciels pour qu’ils ne se "souviennent" pas des mots de passe choisis ou, au moins, définissez un mot de passe principal, ou « mot de passe maître » qui permet de débloquer (ou non) leur utilisation ;
• Pour gérer ses mots de passe de façon pratique, il existe des « gestionnaires de mots de passe ».

Quels gestionnaires de mots de passe peut-on utiliser ?

Il est recommandé d’utiliser un gestionnaire qui permette de constituer une base de données de mots de passe chiffrée par un unique mot de passe « maître » dont la sécurité a pu être vérifiée. Cela vous permet de ne retenir qu’un seul mot de passe qui ouvre l’accès à tous les autres. Les mots de passe pourront alors être très longs, très complexes et tous différents car c’est l’ordinateur qui les retient à votre place. Ces logiciels facilitent par ailleurs la saisie, sans erreurs, des mots de passe et permet de retenir les nombreux identifiants et comptes que l’on collectionne avec le temps. En pratique, il existe de nombreuses solutions sur le marché. On peut citer entre autres, parmi les logiciels libres régulièrement mis à jour : Keepass, dont la sécurité a été évaluée par l’Agence nationale de sécurité des systèmes d’information (ANSSI), passreminder ou passwordsafe. La vidéo suivante vous explique comment utiliser le gestionnaire Keepass :

Si j'utilise un gestionnaire de mots de passe sur un seul terminal, comment faire si celui- ci tombe en panne?

Parce que cette base de mots de passe est une ressource critique pour pouvoir accéder à vos comptes, il est indispensable de disposer d’une copie de celle-ci sur une clé USB, ou sur tout autre support, que vous gardez soit avec vous, soit dans un endroit sûr.