Vie privée

Comment créer un mot de passe fort

Charlotte Empey 6 déc. 2021

Essayez ces idées de mots de passe pour rendre vos comptes indestructibles.

Vos mots de passe donnent accès à  presque toute votre vie. Sachez q'un mot de passe peut  être fort et facile à retenir. Voici les meilleures pratiques pour créer un mot de passe fort afin de protéger vos comptes contre les cybercriminels. (PS: si vos mots de passe ont fait l'objet d'une violation, vous devez les changer immédiatement).

Avant de passer à l'action, examinons d'abord les différentes façons dont les mots de passe peuvent être piratés, afin de comprendre les méthodes les plus courantes utilisées aujourd'hui.

Comment un mot de passe peut-il être piraté ?

Les cybercriminels disposent de plusieurs tactiques de piratage des mots de passe, mais la plus simple consiste simplement à acheter vos mots de passe sur le dark web. L'achat et la vente d'identifiants de connexion et de mots de passe sur le marché noir rapportent gros. Si vous utilisez le même mot de passe depuis de nombreuses années, il est fort probable qu'il ait été compromis.

Mais si vous avez eu la sagesse d'éviter que vos mots de passe ne figurent sur les listes agrégées du marché noir, les cybercriminels doivent les craquer. Et si c'est le cas, ils vont certainement utiliser l'une des méthodes ci-dessous. Ces attaques peuvent viser vos comptes réels ou, éventuellement, une base de données de mots de passe qui a fait l'objet d'une fuite.


Attaque par force brute

Cette attaque tente de deviner toutes les combinaisons possibles jusqu'à ce qu'elle trouve la vôtre. L'attaquant automatise un logiciel pour essayer le plus grand nombre de combinaisons possibles dans le plus court laps de temps possible, et l'évolution de cette technologie a connu des progrès regrettables. Dans une étude de l'Université de South Wales, on découvre que, bien que les attaques par force brute soient considérées comme lentes, elles peuvent encore craquer un mot de passe alphanumérique (majuscules et minuscules) de 6 caractères en 33 minutes. En revanche, pour craquer le même mot de passe alphanumérique à 10 caractères, il faudrait 150 ans. Les attaques par force brute nous apprennent que la longueur du mot de passe est très importante. Plus il est long, mieux c'est.


Attaque par dictionnaire

Cette attaque est exactement ce qu'elle semble être : le pirate vous attaque essentiellement avec un dictionnaire. Alors qu'une attaque par force brute essaie toutes les combinaisons de symboles, de chiffres et de lettres, une attaque par dictionnaire essaie une liste préétablie de mots tels que ceux que l'on trouve dans un dictionnaire.

Si votre mot de passe est effectivement un mot ordinaire, vous ne survivrez à une attaque par dictionnaire que si votre mot est très peu courant ou si vous utilisez des phrases à mots multiples, comme LessiveZebreServietteBleue. Ces mots de passe composés de plusieurs mots sont plus efficaces qu'une attaque par dictionnaire, qui réduit le nombre de variations possibles du nombre de mots que nous pouvons utiliser à la puissance exponentielle du nombre de mots que nous utilisons, ce qui signifie que plus il y a de mots dans la phrase du mot de passe, mieux c'est.


Hameçonnage

La plus détestable des tactiques - le phishing - consiste pour les cybercriminels à essayer de vous tromper, de vous intimider ou de faire pression sur vous par le biais de l'ingénierie sociale pour que vous fassiez involontairement ce qu'ils veulent. Un courriel de phishing peut vous dire (faussement) qu'il y a un problème avec votre compte de carte de crédit. Il vous demandera de cliquer sur un lien qui vous mènera à un site Web bidon conçu pour ressembler à la société émettrice de votre carte de crédit. Les escrocs attendent en retenant leur souffle, espérant que la ruse fonctionne et que vous allez maintenant saisir votre mot de passe. Une fois que vous l'aurez entré, ils le détiendront.

Les escroqueries par hameçonnage peuvent également tenter de vous piéger par des appels téléphoniques ou des SMS. Méfiez-vous de tout appel type robot que vous recevez et qui prétend concerner votre compte de carte de crédit. Remarquez que le message d'accueil enregistré ne précise pas de quelle carte de crédit il s'agit. Il s'agit d'une sorte de test pour voir si vous raccrochez tout de suite ou si vous êtes "accroché". Si vous restez en ligne, vous serez mis en relation avec une personne réelle qui fera tout son possible pour vous soutirer un maximum de données sensibles, y compris vos mots de passe.

L'anatomie d'un mot de passe fort

Maintenant que nous savons comment les mots de passe sont piratés, nous pouvons créer des mots de passe forts qui déjouent chaque attaque (bien que le moyen de déjouer une arnaque de phishing soit simplement de ne pas y tomber). Votre mot de passe est en passe d'être inviolable s'il respecte ces trois règles de base.


Ne soyez pas crédule

Évitez les évidences. N'utilisez jamais de suite de chiffres ou de lettres et, pour l'amour de tout ce qui est cybersécurité, n'utilisez pas "motdepasse" comme mot de passe. Créez des mots de passe uniques qui ne contiennent pas d'informations personnelles telles que votre nom ou votre date de naissance. Si vous êtes spécifiquement visé par un piratage de mot de passe, le pirate mettra tout ce qu'il sait sur vous dans ses tentatives de devinette.

Évitez ces 10 mots de passe faibles

1.  123456
2. 123456789
3. azerty
4.  111111
5. motdepasse
6.  12345678
7. abc123
8.  1234567
9. motdepasse1
10.  123123


Peut-il être attaqué par force brute ?

En gardant à l'esprit la nature d'une attaque par force brute, vous pouvez prendre des mesures spécifiques pour tenir les brutes à distance :

  • Un mot de passe long. C'est le facteur le plus critique. Ne choisissez rien de plus court que 15 caractères, plus si possible.
  • Utilisez un mélange de caractères. Plus vous mélangez de lettres (majuscules et minuscules), de chiffres et de symboles, plus votre mot de passe est puissant et plus il est difficile pour une attaque par force brute de le craquer.
  • Évitez les entrées courantes. Les craqueurs de mots de passe sont habitués aux substitutions habituelles. De nos jours, le placement aléatoire des caractères est beaucoup plus efficace que les substitutions courantes en leetspeak*.
    (*définition du leetspeak : langage ou code informel utilisé sur Internet, dans lequel les lettres standard sont souvent remplacées par des chiffres ou des caractères spéciaux. Ex: PAPA et P4P4).
  • N'utilisez pas de chemins de clavier mémorisables. Tout comme le conseil ci-dessus de ne pas utiliser de lettres et de chiffres séquentiels, n'utilisez pas non plus de chemins de clavier séquentiels (comme le azerty). Ils sont parmi les premiers à être devinés.


Peut-il être attaqué par un dictionnaire ? 

La clé pour éviter ce type d'attaque est de s'assurer que le mot de passe n'est pas constitué d'un seul mot. Des mots multiples rendront cette tactique confuse. N'oubliez pas que ces attaques réduisent le nombre de suppositions possibles à la puissance exponentielle du nombre de mots que nous utilisons.


Les meilleures méthodes de mots de passe (et de superbes exemples de mots de passe)

Chez Avast, nous savons ce qui fait un bon mot de passe et nous avons nos méthodes préférées pour les créer. Les méthodes ci-dessous vous donnent quelques bonnes idées pour créer vos propres mots de passe forts et mémorisables. Si vous suivez l'un de ces conseils pratiques, vous redoublerez d'efforts pour protéger votre monde numérique.


La méthode de la phrase de passe révisée

Il s'agit de la méthode de la phrase à mots multiples avec une touche d'originalité : choisissez des mots bizarres et peu communs. Utilisez des noms propres, des noms d'entreprises locales, des personnages historiques, des mots que vous connaissez dans une autre langue, etc. Un hacker pourrait deviner Mimimathy, mais il trouverait ridiculement difficile d'essayer de deviner un bon exemple de mot de passe comme celui-ci :

MimimathyElyseeMerciCiao

Même si les mots doivent être peu courants, essayez de composer une phrase qui vous donne une image mentale. Cela vous aidera à vous en souvenir.

Pour augmenter encore la complexité de la phrase, vous pouvez ajouter des caractères aléatoires au milieu des mots ou entre les mots. Évitez simplement les traits de soulignement entre les mots et les substitutions courantes en leetspeak*. (*leetspeak : langage ou code informel utilisé sur Internet, dans lequel les lettres standard sont souvent remplacées par des chiffres ou des caractères spéciaux. Ex : MAMAN/M4M4N).

La méthode de la phrase

Cette méthode est également décrite comme la "méthode Bruce Schneier". L'idée est de penser à une phrase aléatoire et de la transformer en un mot de passe en utilisant une règle.
Par exemple, en prenant les deux premières lettres de chaque mot dans "Le Minck est mon bistro préféré dans le Nord de la France", vous obtiendrez :

LeMiesmobiprdaleNodelaFr

Pour tout le monde, c'est du charabia, mais pour vous, c'est parfaitement logique. Assurez-vous que la phrase que vous choisissez est aussi personnelle et indéchiffrable que possible.



Méthodes recommandées pour améliorer votre portefeuille de mots de passe

Toutes les méthodes ci-dessus contribuent à renforcer vos mots de passe mais ne sont pas très pratiques, étant donné que la personne moyenne en utilise des dizaines. Passons en revue quelques méthodes que nous recommandons : utiliser de nouveaux mots de passe complexes et un gestionnaire de mots de passe, installer une application d'authentification sur votre smartphone et acheter du nouveau matériel. Chacun de ces moyens peut contribuer à des authentifications meilleures et plus sûres.



Utilisez un gestionnaire de mots de passe et un générateur de mots de passe aléatoires

Un gestionnaire de mots de passe conserve la trace de tous vos mots de passe et s'occupe de les mémoriser pour vous, à l'exception d'une chose : le mot de passe principal qui vous donne accès à votre gestionnaire de mots de passe. Les programmes sont également dotés de générateurs, tels que le générateur de mots de passe aléatoires d'Avast présenté ci-dessous, afin que vous puissiez créer des mots de passe super compliqués et très longs qui sont infiniment plus difficiles à craquer que tous les mots de passe qu'un être humain pourrait inventer. 


Testez également votre adresse électronique

Consultez le site Avast Hack Check pour voir si votre mot de passe a été divulgué lors de précédentes violations de données. Si c'est le cas, changez immédiatement le mot de passe de votre compte de messagerie.


Faites attention à qui vous faites confiance

Les sites Web soucieux de la sécurité hachent les mots de passe de leurs utilisateurs afin que, même si les données sont divulguées, les mots de passe réels soient cryptés. Mais d'autres sites Web ne s'embarrassent pas de cette étape. Avant de créer des comptes, des mots de passe et de confier des informations sensibles à un site web, prenez le temps d'évaluer le site. La barre d'adresse indique-t-elle "https", ce qui garantit une connexion sécurisée ? Avez-vous l'impression qu'il est conforme aux dernières normes de sécurité en vigueur ? Si ce n'est pas le cas, réfléchissez à deux fois avant de partager des données personnelles avec lui.


Utilisez l'authentification multifactorielle

L'authentification multifactorielle (MFA/2FA) ajoute une couche supplémentaire de protection (qui devient votre première couche de protection en cas de fuite des données de votre compte). Elles sont devenues la nouvelle norme industrielle pour une sécurité efficace. Dans un autre article du blog, nous expliquons comment ils sont utilisés et comment vous pouvez ajouter la MFA à vos réseaux sociaux. Ils exigent quelque chose en plus du mot de passe, comme des données biométriques (empreinte digitale, scan oculaire, etc.) ou un jeton physique. Ainsi, aussi simple ou complexe que soit votre mot de passe, il ne représente que la moitié du puzzle.

Pour en savoir plus : Comment utiliser l'authentification multifactorielle pour des applications plus sûres ?

Remarque : Nous vous déconseillons d'utiliser les SMS comme deuxième facteur d'authentification. Ils sont faciles à suivre et à repérer.


Utilisez une application smartphone d'authentification

La meilleure méthode MFA consiste à utiliser une application spécialisée pour votre smartphone. Authenticator de Google (disponible pour Apple et Android) est gratuit. L'application génère un code PIN à usage unique que vous saisissez comme facteur supplémentaire lors de votre processus de connexion. Le code PIN change automatiquement toutes les 30 secondes. Vous devrez suivre les instructions pour configurer la MFA pour votre application particulière et certaines applications ne prennent pas encore en charge cette méthode de MFA/2FA.

 

Autres conseils de sécurité concernant les mots de passe

Protégez davantage vos informations de connexion grâce à ces conseils de bon sens et de haute sécurité :

  • Utilisez un VPN lorsque vous utilisez un réseau Wi-Fi public. Ainsi, lorsque vous vous connectez à des comptes, personne n'intercepte votre nom d'utilisateur et votre mot de passe.
  • N'envoyez jamais votre mot de passe par SMS ou par courrier électronique.
  • Lorsque vous sélectionnez des questions de sécurité lors de la création d'un compte, choisissez des options difficiles à deviner et dont vous êtes le seul à connaître la réponse. De nombreuses questions ont des réponses faciles à trouver sur les canaux sociaux à l'aide d'une simple recherche, alors méfiez-vous et assurez-vous de choisir judicieusement vos questions de sécurité.
  • Lorsque vous aurez terminé, prenez le temps de dire à votre famille et à vos amis de se protéger également. Des failles continuent de se produire, alors rien qu'en partageant cet article de blog avec vos amis et votre famille, vous aiderez votre entourage à se protéger.
  • Assurez-vous que votre antivirus est à jour. (Vous n'en avez pas ? Essayez Avast One Essentiel Gratuit) Si une menace parvient à passer outre vos solides défenses et à pénétrer dans votre système, un bon antivirus la détectera et la neutralisera.