[en] I write a weekly column for Les Quotidiennes, which I republish here on CTTS for safekeeping.
Chroniques du monde connecté: cet article a été initialement publié dans Les Quotidiennes (voir l’original).
Je suis régulièrement sidérée de la naïveté avec laquelle le grand public internautique traite ses mots de passe. Alors qu’on se pose des grandes questions sur la disparition de la vie privée puisqu’on est de plus en plus présents en ligne, on fait preuve d’une légèreté effrayante avec l’outil même qui permet de gérer la confidentialité de nos données.
Je vois deux raisons principales à cela:
- une méconnaissance des risques
- les instructions pour “faire bien” que nous donnes informaticiens et autres professionnels de la sécurité qui sont, disons-le franchement, quasi-impossibles à respecter tant elles sont exigeantes.
A proscrire:
- utiliser le même mot de passe partout
- donner son mot de passe à autrui
- utiliser comme mot de passe le nom du chien, un mot du dictionnaire, son signe astrologique…
- entrer son mot de passe ailleurs que sur le site pour lequel il a été prévu (par exemple, quand Facebook vous demande votre mot de passe Gmail… non, non!)
J’en vois déjà qui pâlissent. Ne vous inquiétez pas, j’ai l’habitude de voir pâlir ainsi mes clients.
Mais pourquoi diable faut-il faire si attention? Craquer un mot de passe qui est un mot du dictionnaire, ça prend très peu de temps. Un petit programme qui tourne, et hop, le tour est joué, on est dedans. Une fois que quelqu’un a accès à votre compte, il peut changer le mot de passe pour vous empêcher d’y accéder, et se faire passer pour vous. Imaginez! Quelqu’un d’autre aux commandes de votre e-mail, de votre compte Facebook, de votre Twitter, de votre blog, de votre compte PayPal… Ouille!
Allons droit au but, j’ai quelques conseils pour vous:
- définissez trois (quatre, en fait) niveaux de sécurité pour vos divers comptes en ligne: finances (PayPal, Amazon, iTunes, banques), identité (blog, serveur, Twitter, Facebook), autres services — et dans un groupe à part, votre e-mail
- blindez le mot de passe que vous utilisez pour votre e-mail: si quelqu’un rentre dans votre e-mail, il peut changer les mots de passe de tous les services que vous utilisez — le compte e-mail est donc le maillon faible
- assurez-vous que vous avez des mots de passe solides pour le groupe “finances” et “identité” (au minimum un mot de passe distinct pour ces deux groupes, et différent de l’e-mail)
- pour les “autres services”, bricolez-vous un algorithme avec un mot de passe de base que vous faites varier en fonction du nom du service (si l’un d’entre eux a des fuites, cela ne compromettra du coup pas tous les autres)
- en plus des lettres, utilisez majuscules/minuscules, ponctuation, et chiffres dans vos mots de passe (autant que possible!)
- une méthode pratique: prenez un long mot, et insérez au milieu de celui-ci des chiffres et signes de ponctuation (exemple — à ne pas utiliser! — biblio38!theque)
- une autre méthode pratique: choisissez une phrase dont vous gardez la première lettre de chaque mot, ainsi que les signes de ponctuation (exemple à ne pas utiliser non plus: J’ai maintenant 3 chats et je vis en Suisse. => J’am3cejveS.)
Allez, au travail! Allez changer au moins les plus importants de vos mots de passe.
Ma technique:
– une passphrase pour le email
– pour tout le reste un mot de passe aléatoire dont je ne me souviens pas, et utilisation de l’authentification par cookie et quand ça expire demander un nouveau mot de passe (que je change tout de suite par un aléatoire)
How I’d hack your weak passwords — bonne lecture!
Il y a peut-être même encore plus simple et plus secure que les méthodes décrites ci-dessus!
sinon il y a openid non?