- La faiblesse des mots de passe utilisés par les internautes. On retrouve de nombreuses “études” statistiques sur le sujet et les résultats sont souvent effrayants. L’analyse d’un fichier de données personnelles (identifiant-mot de passe) publié par les LulzSec a ainsi montré que le top 3 des mots de passe les plus utilisés se composait de : ’123456′, ’123456789′ et ‘password’.
- La réutilisation des mots de passe. Les attaques menées par les LulzSec ont également montré (et confirmé) que la réutilisation du même mot de passe (aussi complexe soit-il) est un véritable fléau pour la sécurité. Combien de personnes réutilisent le même mot de passe pour leur compte GMail et leur compte Facebook en plus de leur compte de messagerie professionnelle ? Beaucoup trop…
- Le stockage en clair des mots de passe. Les piratages en série des sites du groupe Sony ont également montré que les équipes informatique et sécurité ont fait preuve d’énormes manquements pour la sécurité des données de leurs clients ou de leurs utilisateurs. Stocker les mots de passes en clair dans une base SQL ne semble en effet pas respecter l’état de l’art sécurité… Surtout quand en plus, les mêmes administrateurs laissent la porte de derrière de leurs sites Web ouvertes à des attaques par injection SQL (le menace n°1 pour les applications Web).
Je vous propose donc 8 conseils / rappels pour améliorer la sécurité de vos mots de passe :
- Utiliser des mots de passe complexes. Mélanger chiffres, lettres, caractères spéciaux (avec modération). Fini les mots de passe comme 123456 ou azerty. Ne pas hésiter à utiliser des générateurs de mots de passe pour les applications et services les plus sensibles. Sinon quelques conseils sympathiques à lire sur ce forum informatique.
- Ne jamais donner son mot de passe à quelqu’un. Même si c’est l’administrateur informatique qui vous le demande (attention aux attaques par social engineering) ou pour aider un collègue. Un mot de passe c’est comme le code de votre carte bancaire, il est personnel et vous en êtes responsable.
- Changer régulièrement vos mots de passe les plus critiques. Il est toujours utile de renouveler son stock de mot de passe et c’est souvent exigé en entreprise .
- Eviter les questions secrètes… Ce sont des énormes failles de sécurité. Ou tout du moins créer des questions personnalisées qui ne permettent pas de deviner la réponse en moins de 5 minutes grâce à Facebook. Vous vous rappelez de “Hacker Croll” le fameux pirate auvergnat qui avait réussi accéder à des comptes administrateur et de célébrités sur Twitter en détournant les questions secrètes simplistes d’un responsable du réseau de microblogging…
- Fini le Post-It, pense-bête de prédilection. Créer des mots de passe intelligents sous forme de phrases. Un bon mot de passe doit être à la fois assez complexe et facile à retenir (si si c’est possible).
- Attention aux lieux publics : utiliser un mode de navigation privée ou penser à supprimer vos “cookies” avant de fermer votre navigateur. Et ne jamais cocher la case “enregistrer mon mot de passe” quand vous relevez vos e-mails sur un ordinateur public.
- Attention aux WIFI publics et aux accès non sécurisés à certains sites Internet. Privilégier les connexions en HTTPS (ou mieux en VPN) sur les sites sensibles. Personne n’a oublié “l’expérience” Firesheep, cette extension Firefox permettant de détourner le plus simplement du monde des sessions Twitter, Facebook, WordPress…
- Privilégier l’authentification forte (quand c’est possible). Cette dernière devrait “logiquement” se généraliser dans les années futures. Espérons le pour les applications bancaires notamment.
Rien de nouveau mais bien résumé, super recommandation nico 🙂
Bien résumé Nicolas,
J’ajouterai deux choses :
Taper son mot de passe ne doit pas être un geste anodin !!!
Un mot de passe (fort ou faible crypté ou pas) ne doit pas être noté n’importe où et encore moins sous des tapis de souris, clavier, post’it sur l’écran, ni sur un document Word comme je le vois souvent. C’est l’idéal pour pirater une entreprise ! Il va de soi qu’il ne faut pas le communiquer ou le taper devant une autre personne, même du service informatique de votre boîte. Votre mot de passe est sous votre responsabilité et il est là pour vous protéger (votre travail etc …) donc protégez-le !!!
Le choix d’un mot de passe doit être réfléchi !!!
Pour construire un mot de passe fort et mémorisable, vous pouvez faire une base par exemple « ut1(8bx » et y ajouter une référence comme « ya » (pour yahoo). N’hésitez pas à ajouter une clé en utilisant un caractère compliqué tel que @&% pour un mot de passe plus fort ! On évite le prénom du petit dernier ou celui du chat et tout ce qui sort d’un dictionnaire, marque, expression etc !!!
attention quand même aux caractères spéciaux si on voyage à l’étranger et qu’on utilise un ordinateur sur place: les claviers ne sont pas les mêmes et les caractères spéciaux pas à la même place. Galère assurée (je parle d’expérience. J’ai vécu en Espagne avec un clavier espagnol au bureau et un français à la maison).
Sinon, on peut retrouver un peu d’enfance et s’amuser à créer des mots de passe comme on s’amusait avec les codes secrets. Prendre un mot au hasard dans un livre par exemple et le combiner avec des chiffres de page et de chapitre (on met un marque page dans le livre au cas où et on le remet dans sa bibliothèque) et effectivement ajouter des références. On peut s’aider d’une grille comme matthias sandorf….
Pr les plus vieux qui s’en souviennent encore, faire un salmigondis avec les anciens numéros de téléphone, chiffres et lettres. Pas mal aussi, la note de restaurant, total de la facture pour les chiffres, nom du restau pr les lettres (et on la garde dans son portefeuille).;
Oui, c’est pour ça que j’ai laissé avec modération pour les caractères spéciaux. A l’étranger ça peut poser quelques problèmes. Merci de la précision !
Voici une ressource également intéressante sur la question du choix de mots de passe: http://www.practicalhacks.com/2009/03/14/how-to-create-strong-passwords-that-are-easy-to-remember/