Comment choisir un bon mot de passe

Lors de la création d’un compte pour un service quelconque sur Internet, vous devez renseigner un mot de passe. Ce dernier sera sauvegardé, sous une forme ou une autre, sur un serveur, pour assurer votre authentification lors des futures connexions.

Si ce mot de passe est enregistré en clair (sans être codé) les administrateurs du service pourraient alors en abuser: le revendre ou l’utiliser à votre place.

Des listes entières d'identifiants et mots de passe sont fréquemment récupérées par des hackers (pirates informatiques) ou même retrouvées sur de vieux disques durs dans des déchèteries.

Le vol de données peut être contré par le cryptage ainsi que l'utilisation de mots de passe dit "forts".

Le hachage est une fonction mathématique qui permet de reconnaître une information sans pour autant contenir l’information elle-même.

Prenons des images comme exemple:

À partir de l’image originale, il est aisé de produire l’image hachée. Par contre, il est quasi impossible de reconstituer l’image originale à partir de l'image hachée.

Au moment du choix d'un mot de passe, le serveur va donc le hacher et ne stocker en mémoire que le résultat du hachage, sans mention du mot de passe original. Lors d'une future identification au serveur, le mot de passe transmis sera passé au travers de la fonction de hachage. Le serveur compare ensuite l’image obtenue avec celle qu’il a stockée sur son disque dur.

Le hachage permet donc d'éviter de stocker le mot de passe, en clair, sur le serveur, tout en garantissant l'authentification de l'utilisateur, et limite les risques en cas de vol de donnée.

Voici un exemple de hachage de mots de passe textuels:

Les fonctions de hachage utilisées en informatique sont connues de tous. Ainsi, n’importe quel programmeur peut transformer "MaisonBleue" en "AC1107BCD00". Par contre, il est quasi impossible de reconstruire MaisonBleue à partir de AC1107BCD00.

Imaginons un ordinateur qui passe son temps à hacher des mots de passe hypothétiques et qui les mémorise. Cela donnerait une énorme liste:

Si cet ordinateur liste tous les mots de passe possibles et imaginables et procède, un à un, à leur hachage, il disposera d’une liste énorme qui lui permettra alors de retrouver quel mot de passe correspond à quel hachage.

Cela dépend du nombre de combinaisons de mots de passe possibles. Ce dernier découle du nombre de caractères maximum que peut avoir un mot de passe ainsi que des caractères autorisés pour sa composition. Par exemple:

• les lettres de A à Z
• casse pris en compte (majuscules et minuscules)
• les chiffres de 0 à 9
• des codes spéciaux comme $ # %
• etc.

Le tableau suivant donne une idée de l'évolution du nombre de possibilités en fonction des composantes autorisées dans un mot de passe:

Plus un mot de passe est long et plus il y a de symboles autorisés, plus le nombre de possibilités devient rapidement astronomique. Un ordinateur ne peut donc pas mémoriser l’ensemble des combinaisons possibles de mots de passe.

La réponse est... non! car l’humain n’utilise qu’un petit sous-ensemble de ces nombreuses combinaisons et, de plus, cultive les mauvaises habitudes.

Une majorité des mots de passe utilisés ont une longueur inférieure ou égale à 8 caractères et ne sont composés que de lettres et/ou de chiffres. Ce qui représente tout de même 218 340 105 584 896 combinaisons possibles et nécessiterait environ 10 milliards de Gigaoctets pour les stocker toutes.

De plus, l’être humain préfère largement les mots de passe simples à mémoriser. Il évitera naturellement un mot de passe comme 3Xc4daFc et lui préfèrera Camion12.

De ce fait, le nombre de combinaisons réelles de mots de passe utilisés est bien plus faible que le nombre de combinaisons théorique possible. Il est donc tout à fait possible pour un ordinateur de créer des listes de hachages basés sur des mots issus des dictionnaires de différentes langues, combinés avec des chiffres, qui couvrent une quantité impressionnante de mots de passe utilisés à travers le monde. Ce type de mots de passe est appelé mot de passe faible.

On peut facilement produire des mots de passe forts en utilisant des symboles tels que:

Combinés à des noms usuels, ils permettent d'obtenir des mots de passe simples à mémoriser, mais offrant une protection bien plus importante:

Veillez à ne pas utiliser de symboles trop particuliers, tel qu’un accent grave seul `, par exemple. La saisie de ce type de caractère peut devenir un challenge sur un clavier d'un autre pays ou sur smartphone anglais.

La fuite de données, telle que les mots de passe, est une réalité fréquente. Il est de la responsabilité des plateformes de service de crypter les mots de passe qu’ils mémorisent avec des fonctions de hachage de qualité. Malheureusement, en tant que simples utilisateurs, nous ignorons si notre mot de passe sera stocké de manière sûre.

Il est de notre responsabilité, en tant qu’utilisateur, de choisir un mot de passe fort et, surtout, d’utiliser des mots de passe différents pour chaque service.

D’autre part, il est conseillé de changer de mot de passe régulièrement pour des services sensibles tels que l'e-banking, ou le compte mail.