Le mot de passe...

Bonjour à tous !

Ah la la, les mots de passe, une sacrée affaire ! On devrait d'ailleurs dire phrase de passe, pour éviter que les gens ne les choisissent dans le dictionnaire. Heureusement, hashtagueule est là pour faire un petit tour de la question.

Comment choisir un mot de passe, à quoi est-ce que ça doit ressembler, doit-il vraiment comporter 18 caractères ?

Un mot de passe, c'est tout d'abord personnel. Évitez le nom de votre animal de compagnie, c'est d'ailleurs une très mauvaise idée de la part de certains webmails de les utiliser. Jiminy ou Croquette ne sont pas des bons "mots de passe", barrez-les de la liste.

Un mot de passe, ça contient :

majuscules ;
minuscules ;
caractères spéciaux ('"[|-]_=^+ç/!§.;?*÷×¿¡%€) ;
chiffres ;
un assez grand nombre de caractères (10 au minimum, 8 pour des sites sans importance).

De plus :

il n'y a pas de mot du dictionnaire. D'aucun dictionnaire, en fait, messieurs les latinistes, et hellènes, anglophiles...
Il n'y a pas de lieu géographique (lieu de naissance).
Il n'y as pas de date, ni de nom (toto42, gilles63, 1984).
et surtout, surtout, ce n'est jamais 1234, 0000.

Alors comment s'y prendre ?

Il existe trois méthodes qui résistent à une attaque de type "bruteforce" ou "par dictionnaire" :

prendre une phrase que l'on connaît, et la transformer ;
utiliser un générateur de mots de passe ;
choisir un grand nombre de mots au hasard dans un très grand dictionnaire.

Détaillons la première méthode. Je prends cette phrase, trop peu connue :

Le Petit Prince : "On ne voit bien qu'avec le cœur. L'essentiel est invisible pour les yeux."

et je la transforme ainsi (je ne garde que les premières lettres des mots) :

LPP:"Onvbq'ac.L'eeiply."
L2P:"0nvbq'4c.L'e2iply."

La seconde méthode impose d'avoir confiance dans le logiciel qu'on utilise.

On a le choix entre plusieurs solutions logicielles sous GNU/Linux :

apg ;
pwgen ;
un basique $ cat /dev/urandom ;-)

Personnellement, j'apprécie le logiciel apg, dans les dépôts de Debian/Ubuntu :

$ apg -a 1 -n 50 -m 40 -x 40 -M SNCL

détaillons les options :

-a 1 pour forcer le comportement automatique (pas d'entrée utilisateur, plus rapide).
-n 50 : génère 50 mots de passe. Permet de laisser le choix.
- m 60 -x 60 : taille minimale et maximale des mots de passe générés de 60 caractères. La encore, permet de choisir un sous-ensemble de caractères.
-M : permet de spécifier le type de mot de passe. les options sont :
- S : impose la présence d'un caractère spécial, s : permet la présence d'un caractère spécial.
- N : impose la présence d'un chiffre, n : permet la présence d'un chiffre.
- C : impose la présence d'une majuscule, c : permet la présence d'une majuscule.
- L : impose la présence d'un minuscule, l : permet la présence d'une minuscule.

La dernière méthode est récente et peut être plus facile à retenir : il s'agit de piocher au hasard des mots dans un grand dictionnaire. S'il y a suffisamment de mot, que le dictionnaire est suffisamment grand, et qu'on les a bien piochés au hasard (et pas au début ou à la fin), alors le temps nécessaire pour créer tous les couples sera trop long. Exemples :

Éléphant miel Barbiturique repolluaient plaquebière plaisantin hôpital
izolovat resouffrirons Réébarbées Espanbrun bootabilisa collimateront biliotin

qui ont le double avantage d'être complexes, et de nous cultiver un peu ^^. Pour obtenir ces résultats, j'ai utiliser la fonction page aléatoire du Wiktionnaire. J'admets qu'utiliser des mots à consonance française (1er exemple) est plus facile.

Enfin, si vous voulez tester un peu vos idées de mots de passe, ne les envoyez jamais sur un site web. Vous n'avez aucune garantie que celui-ci ne va pas les enregistrer. Utilisez des mots de passe à la construction identique. Il y en a deux sites permettant d'en tester la robustesse que je peux vous conseiller :

how secure is my password ;
un vérificateur passif-agressif en anglais que je trouve amusant.

À bientôt !

Motius