Les mots de passe sont couramment utilisés pour protéger l'accès à un objet ou d'une information et seules la ou les personnes qui possèdent ce sésame ont la possibilité d'accéder à cette ressource.

Pour accentuer le niveau de sécurité, un mot de passe doit être habilement choisi et remplir trois conditions : être long, unique et peu prédictible.

La taille du mot de passe compte

Plus le mot de passe est long, plus il y a de combinaisons possibles.

Concrètement, imaginons un cadenas de vélo à code composé de 4 chiffres. Un tel cadenas permet de choisir un code entre 0000 et 9999, soit exactement 10 000 possibilités.

Dix mille possibilités, ça parait peut-être déjà beaucoup, mais en réalité c'est très peu. Dans le cas où l'on testerait toutes les possibilités1, une par une, chacune prenant une demi-seconde, il faudrait en moyenne 42 minutes pour trouver le mot de passe. Ce n'est qu'une moyenne car on mettrait beaucoup moins de temps à trouver un mot de passe proche de 0000 qu'un mot de passe proche de 9999, dans le cas où on testerait tous les nombres séquentiellement en partant de 0.

On pourrait améliorer ce cadenas en augmentant la longueur du code, et utiliser 6 chiffres par exemple.

On pourrait aussi ajouter plus des caractères et permettre à l'utilisateur de choisir parmi les 26 lettres de l'alphabet en plus des 10 chiffres. Le nombre de possibilités passerait alors de 10 milles à 16 millions et il faudrait non pas 42 minutes pour trouver le bon code mais presque 5 jours !

Pour protéger les comptes des utilisateurs sur Internet, il est recommandé en plus des chiffres et des lettres de l'alphabet, d'accepter tous les caractères spéciaux (tirets, étoiles, ponctuations, etc.), et de faire la distinction entre les lettres majuscules et minuscules. Soit presque 100 millions de possibilités pour un mot de passe de seulement 4 caractères. Et des milliards de possibilités si on augmente la taille du mot de passe.

L'unicité d'un mot de passe est cruciale

Le fait d'utiliser un mot de passe unique pour chaque ressource permet d'éviter de protéger ses ressources avec le même code.

Imaginons que vous possédiez deux cartes bancaires dans votre portefeuille et que toutes deux utilisent le même code PIN. Le fait de connaître le code PIN de l'une donne directement accès à la seconde carte.

Sur Internet, en utilisant le même mot de passe pour tous vos comptes, il suffirait qu'un seul site rencontre des problèmes de sécurité pour que tous vos comptes soient potentiellement accessibles.

La signification du mot de passe est importante

Plus le mot de passe est prévisible ou commun, plus il est risqué.

Si l'on cherche le mot de passe d'une personne, on cherche rarement par hasard, sauf si le nombre de possibilités est faible.

On commencerait plutôt par des mots de passe classiques2 (azerty, motdepasse, 123456789, etc.), puis on essayerait une combinaison de mots couramment utilisés3. On obtiendrait probablement de bons résultats car les mots de passe sont trop souvent communs ou facilement prévisibles.

La solution : un gestionnaire de mots de passe

Un bon mot de passe est donc un mot de passe long, unique, et peu prévisible4 mais les utilisateurs respectent rarement ces trois points car les mots de passe complexes ne sont pas pratiques, car difficilement mémorisables.

Il est en effet très difficile pour un humain doté une intelligence normale de retenir des séries de plus 20 de caractères aléatoires.

Pour répondre à cette problématique, des gestionnaires de mots de passe ont été créés.

Un gestionnaire de mots de passe est un programme qui stocke les mots de passe de tous vos comptes. Ces mots de passe peuvent être longs, uniques, et peu prévisibles pour tous les sites car vous n'avez plus besoin de les mémoriser.

Bien sûr, l'accès à ce gestionnaire doit être sécurisé au mieux car il donne accès à tous les autres mots de passe.

Il convient alors de choisir un bon mot de passe, et de le mémoriser. On peut même envisager d'utiliser plusieurs facteurs d'authentification5 pour ne pas reposer uniquement sur un mot de passe.

Les navigateurs les plus populaires (Firefox, Chrome, Safari) intègrent tous un gestionnaire de mots de passe facile à utiliser, qui permet aux utilisateurs de générer des mots robustes et remplir automatiquement les formulaires de connexion pour se connecter en un clic. Très pratique et même indispensable.

Note : Une vidéo a été réalisée pour présenter les techniques utilisées par les hackers pour trouver les mots de passe.

MAJ du 04/03/2021 : nous ne recommandons pas l'utilisation du gestionnaire de mots de passe LastPass, car sept trackers ont été détectés dans leur application Android6.

Notes et références

  1. La méthode consistant à essayer toutes les possibilités, l'une après l'autre, est appelée attaque par brute force.
  2. « azerty », « motdepasse » et « 123456789 » figurent dans la liste des pires mots de passe de 2019 (source).
  3. La méthode consistant à essayer des mots de passe à partir d'une liste composée de mots courants ou idéalement choisis est appelée attaque par dictionnaire.
  4. En informatique, la mesure permettant de juger le caractère aléatoire d'une série est appelée entropie.
  5. L'authentification à deux facteurs consiste à ajouter une couche supplémentaire de sécurité en demandant à l'utilisateur de saisir un code généré par une application (TOTP) ou par une clé de sécurité, ou bien reçu par SMS.
  6. Sept trackers ont été détectés dans le gestionnaire de mots de passe LastPass, édité par la société LogMeIn (source).