vendredi 8 avril 2011

Choisir, sécuriser et gérer ses mots de passe



Webmails, forums, réseaux sociaux, banques en ligne : le point commun entre ces différentes applications est l'accès sécurisé par mot de passe. Avec la multiplication des comptes d'utilisateurs nécessitant une authentification, ces derniers sont de plus en plus difficiles à mémoriser. Pourtant, le choix de mots de passe complexe est crucial, à l'heure où les techniques d'ingénierie sociale sont en plein essor. Avec quelques conseils de base, et des outils pratiques, il est assez facile de bien choisir, sécuriser et gérer ses mots de passe. 

Comment choisir un mot de passe ? Cinq conseils de base

Il n'existe pas de "recette" permettant de sécuriser à 100% un mot de passe, mais des conseils simples suffisent pour bien prendre en compte cet aspect : 

Longueur du mot de passe 
- Choisir un mot de passe d'une longueur minimum de 8 caractères : idéalement, il doit être composé d'au moins 14 caractères. La longueur du mot de passe est primordiale si vous optez pour une chaîne de caractères du même type pour une question de mémorisation (ex : seulement des lettres ou des chiffres).

Utiliser toutes les possibilités du clavier 
- Combiner les types de caractères : lettres, chiffres, symboles et signes diacritiques (^,¨,$,!,#/, etc.) éventuellement les lettres majuscules si le service (ex : adresse mail) est sensible à la casse. 

Recourir à la mnémotechnique 
Une chaîne de caractères trop complexe peut être difficile à mémoriser, surtout si elle est peu signifiante. Un moyen simple pour associer mémorisation et complexité du mot de passe est de partir d'une phrase ou d'un mot qui fait sens. Si votre passion est la calligraphie, pourquoi ne pas partir de là. Vous pouvez changer l'ordre des lettres, puis intercaler des chiffres et des symboles. Ex : "phie33gra£cali%" 

Un mot de passe pour chaque compte d'utilisateur 
Avec la multiplication des comptes et accès nécessitant une authentification, la tentation est d'opter pour un mot de passe unique. Dans la mesure du possible (c'est à dire de ses capacités de mémorisation), il est conseillé de choisir un mot de passe par compte. A défaut, il est recommandé d'appliquer cette règle aux accès les plus sensibles (ex : banque en ligne)... Les gestionnaires de mots de passe comme Keepass permettent de pallier cette difficulté (voir plus bas). 

Changer fréquemment de mots de passe 
Le renouvellement fréquent des mots de passe est une astuce simple pour éviter les attaques de type phishing (usurpation d'identité). 

Quatre pièges à éviter

Les techniques d'ingénierie sociale, en pleine expansion, permettent aux pirates de "deviner" les mots des passe trop simples utilisés par les utilisateurs. Il convient donc : 

- D'éviter les mots de passe qui utilisent des données d'identification trop évidentes (ex : date de naissance, lieu de naissance, numéro de téléphone) 
- D'éviter -surtout pour les professionnels- de divulguer des informations personnelles sur les réseaux sociaux : les pirates peuvent s'en servir pour deviner des mots de passe. 
- D'éviter l'utilisation de chaînes de caractères linéaires : 123456, azertyuiop 
- De ne pas écrire ses mots de passe sur papier libre. 

Tester la sécurité de son mot de passe

Différents outils en ligne vous permettent de tester la sécurité de vos mots de passe. Et vous donnent des conseils pour les optimiser. 

Le testeur de mot de passe, de Microsoft 
Le test de PC-Optimise.com (indice de sécurité) 
Passwordmeter.com : un test complet, qui croise plusieurs critères de complexité et fournit des conseils simples. 

Gestion des mots de passe : les logiciels gratuits

Au-delà de 5 comptes, il est difficile de mémoriser plusieurs mots de passe complexes et d'en garantir la sécurité. Mais des logiciels gratuits permettent de remédier à cette difficulté. Ce sont les gestionnaires de mots de passe, des "coffres-forts" qui permettent de les centraliser, de les crypter et de les stocker en lieu sûr sur le disque dur (ex : avec un mot de passe d'accès unique). 

On peut notamment citer : 

KeePass Password Safe (Tutoriel en français
Hushkey 
Password Keeper Expert 
Efficient Password Manager 
Phaedra Password Manager