Qu’est-ce qu’un mot de passe fort ?

Un mot de passe fort se caractérise par le nombre et le type de caractère qu’il contient, mais il est surtout évalué au temps nécessaire pour le hacker pour le déchiffrer. Plus votre mot de passe sera robuste, plus il sera long et difficile de le hacker. Voyons les différentes approches utilisées pour le cassage de mot de passe et les solutions pour les contrecarrer à l’aide de mots de passe forts.

 

Mots de passe : quelles sont les différentes techniques de piratage ?

L’approche par force brute

Différentes techniques peuvent être utilisées par les hackers pour parvenir à leur fin. Parmi elles, l’attaque par force brute : toutes les combinaisons de caractères vont être testées une par une, pour tenter de trouver le mot de passe. Les internautes utilisant généralement des mots de passe courts avec uniquement des lettres de l’alphabet, le nombre de combinaisons possibles est réduit et les mots de passe facilement découverts.  

La force du mot de passe est tributaire de sa longueur et du nombre de caractères possibles. Le nombre de combinaisons peut ainsi être déterminé par la formule : nombre de caractères possibles puissance longueur du mot de passe.
Pour un mot de passe de 5 caractères, incluant uniquement des lettres de a à z, le calcul est 26^5, soit 11 881 376 combinaisons possibles. Notons qu’en moyenne, l’attaquant va devoir tester 50% de toutes les possibilités avant de casser le mot de passe. Pour notre exemple, il va en moyenne tester 5 940 688 combinaisons avant de trouver le bon code.

La question est donc de savoir combien de mots de passe le pirate peut tester par secondes (vous vous doutez qu’il ne fait pas de test manuellement…). Cela dépendra de plusieurs conditions, de la puissance de calcul du pirate, du mode de stockage du mot de passe, mais prenons pour l’exemple le cas d’un pirate utilisant un ordinateur moderne. Cet ordinateur possède 8 coeurs tournant à 2.6 GHz. Il peut donc effectuer grossièrement 20 milliards de tests par seconde dans les meilleures conditions. Les pirates les plus organisés auront probablement des puissances de calcul 10000 fois plus élevées. On obtient alors les temps de cassage suivants:

UpSignOn Pro

On observe que la longueur du mot de passe prime sur l’utilisation des caractères spéciaux dans l’évaluation de la force du mot de passe. Un mot de passe de 9 caractères avec chiffres, lettres minuscules et majuscules et symboles est moins robuste qu’un mot de passe de 13 caractères, uniquement composé de lettres.

Évidemment, moins un mot de passe permet d’accéder à des ressources sensibles, moins le pirate a d’intérêt économique à le hacker et plus vous pouvez en théorie vous permettre de le choisir faible. Oui mais…

Notez que l’ANSSI a mis à jour ses recommandations concernant la longueur des mots de passe, tenant compte probablement des moyens de calculs de plus en plus puissants des pirates et de leur organisation de plus en plus professionnelle. Elle conseille désormais au moins 12 caractères pour des mots de passe « ergonomique », à usage local, tel qu’une session windows par exemple. Elle conseille au moins 16 caractères pour des mots de passe plus robustes. En définitive, l’usage d’un coffre-fort de mots de passe devient de plus en plus nécessaire.

 

La véritable approche des hackers : l’attaque par dictionnaire

En pratique les pirates utilisent rarement la force brute car il existe une technique beaucoup plus efficace : l’attaque par dictionnaire. L’idée est simple, plutôt que de tester les mots de passe de façon aléatoire, le pirate utilise des listes de mots de passe qui ont déjà fuité. Ces listes contiennent plusieurs centaines de millions de mots de passe réellement utilisés par des internautes et triés par nombre d’occurence. Le pirate va donc commencer par tester le mot de passe le plus utilisé du monde, c’est-à-dire “123456”. Puis il va tester “123456789”, puis “azerty”, etc. Si vous utilisez l’un de ces mots de passe, c’est vraiment que vous cherchez les problèmes. Le cybercriminel teste ensuite des variantes de ces mots de passe, avec les mécanismes classiques de remplacement de lettre par des chiffres ou symboles. Par exemple, un a devient un @, un o devient un 0, etc. Sont également testés les mots de passe composés de suites, tels que abcd, 1234, azerty, ou avec une racine comportant le nom du site ou des informations personnelles.

Avec cette technique, même un mot de passe assez long et complexe peut n’être pas assez fort…

 

Comment rendre son mot de passe “fort” ?

Bien qu’un mot de passe soit toujours cassable, il est heureusement possible de limiter et ralentir ces attaques. Voici quelques solutions efficaces pour renforcer vos mots de passe et éviter ces intrusions.

L’idéal est bien sûr d’utiliser un générateur de mot de passe aléatoire. Ce type de mot de passe est insensible à une attaque par dictionnaire et le hacker doit donc utiliser la force brute, ce qui est totalement rédhibitoire car le mot de passe généré sera par ailleurs souvent très long. Ce type de mot de passe nécessite bien sûr l’utilisation d’un coffre-fort de mot de passe car ils sont impossibles à retenir.

Dans le cas où vous avez besoin de mémoriser vous-mêmes votre mot de passe, vous pouvez utiliser la technique de la phrase de passe. L’idée est d’associer des mots divers, avec ou sans espace, pour constituer une suite de caractères. Dans l’idéal, votre phrase doit contenir 4 mots et 15 caractères au minimum. À éviter : les citations célèbres et expressions. Une phrase de passe ressemblerait à : bureaufeutreplanterideau.

Cette technique génère des mots de passe plus faciles à mémoriser, plus forts qu’un code habituel mais moins qu’un mot de passe aléatoire. La phrase de passe est très adaptée notamment aux sessions Windows ou aux mots de passe d’adresse e-mail et également aux mots de passe maître de votre coffre-fort de mots de passe.

Une autre technique permettant de générer des mots de passe relativement forts est de partir d’une phrase assez longue et de choisir les initiales ou des écritures phonétiques des mots de cette phrase. Par exemple, partons de la phrase « Voici un mot de passe contenant des caractères spéciaux et des chiffres. ». Cela pourrait donner le mot de passe suivant : « V1m2pcdcs&dc ». En pratique, utilisez une phrase qui n’est pas une citation célèbre et qui aboutit à un mot de passe contenant une combinaison de tous les caractères pour que votre mot de passe remplissent les critères habituels exigés par les sites. Ce genre de mots de passe peut également être très adapté pour un mot de passe de session Windows, mais ils sont probablement légèrement plus difficiles à taper que ceux de la méthode précédente.

 

Conclusion

Retenons que la longueur de vos mots de passe est plus importante que l’utilisation des caractères spéciaux. En effet, un mot de passe peut cocher tous les critères en termes de complexité, mais ne pas être robuste : c’est le cas notamment de “P@$$w0rd!” par exemple. Pour renforcer vos mots de passe, vous pouvez générer des mots de passe avec des caractères aléatoires ou créer des phrases de passe. N’oubliez pas cependant d’utiliser des mots de passe différents d’un site à l’autre  (découvrez pourquoi dans cet article) et de les changez régulièrement si possible. 

Bien sûr, vous éviterez de les écrire sur des post-it, les notes de votre smartphone ou de les transmettre par email. Dans ce contexte, l’utilisation d’un coffre-fort trouve toute sa pertinence : en plus de les retenir pour vous, ils génèrent automatiquement des mots de passe aléatoires et longs, donc très robustes.