Catégories
Analyse

Comment créer un bon mot de passe ?

Les mots de passe de tes comptes Orange, Google, Facebook sont-ils sûrs ? Visualise-les dans ta tête ? Est-ce facile de les deviner ? As-tu bien un mot de passe unique par compte ?

Pas le temps de lire ? Regarde ma vidéo

Chaque jour, des centaines de millions d’emails / mots de passe s’échangent sur le darknet

Pour bien démarrer on va vérifier ensemble si ton email ou tes mots de passe ont été compromis dans le passé par des fuites données, pour cela on va aller sur le site https://haveibeenpwned.com/

site have i been pwned
“have i been powned ?” signifie : “mon compte a-t-il été hacké ?”

Le site est tenu par Troy Hunt, un développeur australien indépendant, expert en sécurité et MVP Microsoft.

Chaque fois qu’un gros site est piraté, HaveIBeenPwned va récupérer sur le darknet et stocker sur son site de façon chiffrée les emails et mots de passe qui ont été compromis.  

mot de passe en clair
Le top 20 des mots de passe saisis dans le monde

HaveIBeenPowned référence plus de 500 fuites de données, 10 milliards de comptes et 600 millions de mots de passe. Autant dire qu’on n’a pas plus exhaustif comme base.

fuite de données
10,6 milliards de comptes compromis dans 511 fuites de données

Tu es sûrement tombé sur des articles sensationnalistes ces derniers jours disant que 3 milliards de comptes avaient été hackés récemment, la plus grosse fuite de données,  etc… En fait il s’agissait de vieilles failles que le site de Troy avait déjà répertorié.

3 exemples de mauvais mots de passe

Il ne faut pas créer des mots de passe génériques ou trop faciles à deviner pour le commun des mortels. Cf l’étude Harris / Google sur les mots de passe des américains.

mot de passe 123456

Ce mot de passe est tellement commun qu’il a a été vu plus de 24 millions de fois sur haveibeenpwnd.

Les variantes suivantes en français, clavier azerty ne valent guère mieux :

  • azertyuiop
  • jetaime
  • motdepasse
  • parisestmagique

mot de passe medor06 ou viet1981

Une pratique courante est d’ajouter dans son mot de passe :

  • le nom de son animal de compagnie
  • son nom ou celui de son épouse
  • le nom de ses enfants
  • sa date de naissance

En essayant toutes ces combinaisons sur haveibeenpwned, tu verras que d’autres ont une les mêmes mauvaises idées que toi 🙁

3 grandes principes pour créer de meilleurs mots de passe

Un mot de passe unique

Savais-tu que 2/3 des internautes utilisaient le même mot de passe pour chaque site. C’est un gros risque.

Troy Hunt en analysant les données des failles Sony et Yahoo ! avait remarqué que les personnes qui avaient des comptes dans les 2 bases utilisaient dans 59% des cas les mêmes mots de passe.

Ceci t’expose au credential stuffing une technique de hacking qui consiste à rejouer des couples login/mot de passe compromis sur des bases où ils peuvent choper plus d’infos personnelles.

Le credential stuffing

Un mot de passe complexe

Si tu utilises 6 caractères minuscule de l’alphabet ou un mot de passe déjà présent dans la base des mots de passe hackés, il suffit à un hacker de faire entre 300 et 600 millions d’essais pour trouver ton mot de passe. C’est ce qu’on appelle une attaque par brute force.

9 minutes pour trouver un mot de passe de 7 caractères, 360 000 ans pour un mot de passe de 13 caractères

Par contre si tu as 12 caractères, minuscules et majuscule, 10 chiffres, 10 caractères spéciaux, cela te fait 72 puissance 12 possibilités, soit un chiffre d’essai 62 000 milliards plus important que le précédent.

Une vie humaine ne suffirait pas à deviner ce mot de passe.

Doubler l’authentification

Une dernière façon imparable de protéger ton mot de passe, c’est que je te recommande de faire pour ton compte Gmail notamment, c’est d’activer la double authentification.

authentification en 2 étapes
La double authentification Google

Ainsi si quelqu’un essaie de se connecter à distance avec ton login/mot de passe Google, il sera bloqué par la 2ème étape qui demande de saisir un mot de passe temporaire que Google t’envoie par SMS.

Active le gestionnaire de mot de passe de Chrome pour gérer tous ces mots de passe

Google Chrome propose un gestionnaire de mot de passe en ligne que tu peux activer en te logguant à ton compte Google depuis Chrome et en allant sur https://passwords.google.com/

Il suffit d’activer dans les paramètres :

  • Proposer d’enregistrer les mots
  • Connexion automatique

En l’activant tu pourras saisir automatiquement les mots de passes déjà enregistrés et en générer de nouveaux très sécurisés de façon aléatoire.

15 caractères avec chiffres, majuscules, minuscules et caractères spéciaux

Tu as même un petit module « chekup de mot de passe » pour vérifier si ton mot de passe a été hacké, est trop simple ou est utilisé par plusieurs comptes pour corriger les problèmes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *