Les mots de passe de tes comptes Orange, Google, Facebook sont-ils sûrs ? Visualise-les dans ta tête ? Est-ce facile de les deviner ? As-tu bien un mot de passe unique par compte ?
Pas le temps de lire ? Regarde ma vidéo
Chaque jour, des centaines de millions d’emails / mots de passe s’échangent sur le darknet
Pour bien démarrer on va vérifier ensemble si ton email ou tes mots de passe ont été compromis dans le passé par des fuites données, pour cela on va aller sur le site https://haveibeenpwned.com/
Le site est tenu par Troy Hunt, un développeur australien indépendant, expert en sécurité et MVP Microsoft.
Chaque fois qu’un gros site est piraté, HaveIBeenPwned va récupérer sur le darknet et stocker sur son site de façon chiffrée les emails et mots de passe qui ont été compromis.
HaveIBeenPowned référence plus de 500 fuites de données, 10 milliards de comptes et 600 millions de mots de passe. Autant dire qu’on n’a pas plus exhaustif comme base.
Tu es sûrement tombé sur des articles sensationnalistes ces derniers jours disant que 3 milliards de comptes avaient été hackés récemment, la plus grosse fuite de données, etc… En fait il s’agissait de vieilles failles que le site de Troy avait déjà répertorié.
Attention : une information circule sur la mise en ligne d’une base de données de 3,2 milliards d’emails compromis. Ce n’est qu’une compilation d’anciennes fuites de données. Si vous voulez savoir s’il faut changer vos identifiants 👉 https://t.co/ig9KlFW9hu #cybersécurité https://t.co/shpoGviFc1
— Cédric O (@cedric_o) February 13, 2021
3 exemples de mauvais mots de passe
Il ne faut pas créer des mots de passe génériques ou trop faciles à deviner pour le commun des mortels. Cf l’étude Harris / Google sur les mots de passe des américains.
mot de passe 123456
Ce mot de passe est tellement commun qu’il a a été vu plus de 24 millions de fois sur haveibeenpwnd.
Les variantes suivantes en français, clavier azerty ne valent guère mieux :
- azertyuiop
- jetaime
- motdepasse
- parisestmagique
mot de passe medor06 ou viet1981
Une pratique courante est d’ajouter dans son mot de passe :
- le nom de son animal de compagnie
- son nom ou celui de son épouse
- le nom de ses enfants
- sa date de naissance
En essayant toutes ces combinaisons sur haveibeenpwned, tu verras que d’autres ont une les mêmes mauvaises idées que toi 🙁
3 grandes principes pour créer de meilleurs mots de passe
Un mot de passe unique
Savais-tu que 2/3 des internautes utilisaient le même mot de passe pour chaque site. C’est un gros risque.
Troy Hunt en analysant les données des failles Sony et Yahoo ! avait remarqué que les personnes qui avaient des comptes dans les 2 bases utilisaient dans 59% des cas les mêmes mots de passe.
Ceci t’expose au credential stuffing une technique de hacking qui consiste à rejouer des couples login/mot de passe compromis sur des bases où ils peuvent choper plus d’infos personnelles.
Un mot de passe complexe
Si tu utilises 6 caractères minuscule de l’alphabet ou un mot de passe déjà présent dans la base des mots de passe hackés, il suffit à un hacker de faire entre 300 et 600 millions d’essais pour trouver ton mot de passe. C’est ce qu’on appelle une attaque par brute force.
Par contre si tu as 12 caractères, minuscules et majuscule, 10 chiffres, 10 caractères spéciaux, cela te fait 72 puissance 12 possibilités, soit un chiffre d’essai 62 000 milliards plus important que le précédent.
Une vie humaine ne suffirait pas à deviner ce mot de passe.
Doubler l’authentification
Une dernière façon imparable de protéger ton mot de passe, c’est que je te recommande de faire pour ton compte Gmail notamment, c’est d’activer la double authentification.
Ainsi si quelqu’un essaie de se connecter à distance avec ton login/mot de passe Google, il sera bloqué par la 2ème étape qui demande de saisir un mot de passe temporaire que Google t’envoie par SMS.
Active le gestionnaire de mot de passe de Chrome pour gérer tous ces mots de passe
Google Chrome propose un gestionnaire de mot de passe en ligne que tu peux activer en te logguant à ton compte Google depuis Chrome et en allant sur https://passwords.google.com/
Il suffit d’activer dans les paramètres :
- Proposer d’enregistrer les mots
- Connexion automatique
En l’activant tu pourras saisir automatiquement les mots de passes déjà enregistrés et en générer de nouveaux très sécurisés de façon aléatoire.
Tu as même un petit module « chekup de mot de passe » pour vérifier si ton mot de passe a été hacké, est trop simple ou est utilisé par plusieurs comptes pour corriger les problèmes.