À propos des mots de passe, voici quelques conseils à suivre pour en choisir un et assurer plus de sécurité à vos comptes.
Éviter les mots de dictionnaire
Une tentative pour forcer l'accès à une zone sécurisée protégée par un nom d'utilisateur et un mot de passe consiste à procéder à ce qu'on appelle un "dictionary attack". En connaissant le username, il suffit d'essayer toutes les combinaisons possibles. Il y a de fortes chances pour que le mot de passe soit un mot du dictionnaire, un prénom, etc. Comme point de départ, il ne faut pas chercher très loin car dans les distributions Linux, des fichiers de dictionnaire sont installés par défaut. Par exemple, dans mon installation de Fedora 10, le fichiers "words" qui se trouve dans /usr/share/dict/ compte 479827 termes.
Combinaison de lettres minuscules et majuscules
Lorsque le mot de passe est sensible à la case ou s'il est encrypté, alterner des lettres minuscules et majuscules et un choix judicieux. L'encodage interne des lettres fait qu'elles n'ont pas la même valeur. Par exemple, en ASCII, un "A" possède la valeur décimale de 65 alors qu'un "a" est représenté par 97. Donc pour un mot de passe aussi simple que "vie", il ne sera pas équivalent à "VIE", "viE", "VIe", etc. Ce qui veut dire que pour un même mot, un hacker devra tenter plus de combinaisons pour réussir à le craquer.
Intégrer des chiffres et autres caractères
Réduit encore plus les chances que le mot se retrouve dans le dictionnaire en augmentant l'entropie. Le mot "code" est commun, alors que "code%18$" a peu de chance de faire parti d'une langue parlée par l'espèce humaine.
Au minimum 8 caractères
Faites l'exercice de le calculer, vous comprendrez que le nombre de combinaisons différentes à tester augmente en fonction du nombre de caractères.
Choisir un phrase ou une abréviation
Plutôt que de combiner des caractères aléatoires pour former un mot de passe, pourquoi ne pas s'inspirer d'une phrase que vous ne pourrez pas oublier en utilisant la première lettre de chaque mot : "Deux têtes valent mieux qu'une !" deviendrait : "2tv$mqu!".
Pour terminer, une dernière recommandation : changez vos mots de passe régulièrement (au minimum 1 fois par année) et évitez d'utiliser le même partout.
lundi 27 juillet 2009
2 réponses à "Choix de mot de passe"
S'abonner à :
Publier des commentaires (Atom)
J'ai un truc sympa pour le mot de passe.
Comme on a souvent tendance à utiliser le même pour plusieurs sites (parce que plusieurs c'est le meilleur moyen d'oublier), voici l'idée qui m'est venue: changer une lettre du passe en fonction de la première lettre du site visiter.
Ainsi si votre mot de passe google et g123pass, celui de yahoo sera y123pass.
Et voilà :-)
Perso, si je dois choisir un mot de passe que je ne devrais pas retenir (typiquement lorsque j'ai une application qui va se connecter à une autre), j'utilise le lien ci-après; lien que j'ai paramétré et donc, qui me fournit d'emblée un sacré mot de passe.
http://www.pctools.com/guides/password/?length=32&phonetic=on&alpha=on&mixedcase=on&numeric=on&punctuation=on&nosimilar=on&quantity=1&generate=true
Je défie quiconque de le retenir :-)