Vos mots de passe seront plus sécurisés si vous suivez ces conseils
Les mots de passe sont aujourd’hui absolument nécessaires pour s’authentifier soit pour se connecter aux services en ligne, soit pour s’authentifier sur votre ordinateur ou sur un serveur local. Compte tenu du fait que les mots de passe sont essentiels à la fois localement et sur Internet, il est très important de savoir comment créer un mot de passe sécurisé , de sorte qu’il soit très difficile à deviner ou à déchiffrer par les différents programmes qui existent aujourd’hui.
Qu’est-ce qui rend un mot de passe sécurisé ?
Un mot de passe est considéré comme fort lorsque personne ne peut le deviner , et lorsque les différents programmes de craquage de mots de passe qui existent aujourd’hui ne peuvent pas le «deviner», ou s’ils le font, cela devrait prendre très longtemps (des années) pour trouver le mot de passe correct. De nos jours tous les mots de passe que nous utilisons sont stockés localement hachés, cela signifie que, si nous utilisons le mot de passe « password », ce mot de passe ne sera jamais stocké en clair, mais le hachage de « password ».
Un hachage est une fonction cryptographique dans une seule direction , de sorte que nous aurons une «entrée» qui est généralement le mot de passe, et elle a une seule sortie. Cette fonction de hachage représente uniquement un mot de passe, mais aussi un document ou un ensemble de données. Il existe des fonctions de hachage qui ont toujours une sortie de la même longueur, mais d’autres ont une longueur dynamique car elle dépend de l’entrée elle-même. Le contenu est illisible, et en fait, ayant le hachage d’une clé, il n’est pas possible d’effectuer une fonction mathématique pour obtenir l'»entrée». Il est possible qu’il y ait les mêmes hachages pour différentes entrées, car une fonction de hachage, dans le cas de SHA-1, a 160 bits, et les objets possibles à «résumer» n’ont pas de limite de taille. Cette fonctionnalité est appelée une «collision», et une fonction de hachage est considérée comme dangereuse lorsque de telles collisions sont connues.
Les fonctions de hachage ont un certain nombre d’exigences fondamentales :
- Impossible d’obtenir le texte d’origine à partir du hachage.
- Impossible de trouver un ensemble de données différent ayant la même empreinte digitale (bien que, comme nous l’avons vu ci-dessus, cette exigence puisse ne pas être remplie). Forte résistance aux collisions possibles (deux entrées différentes pourraient avoir la même sortie).
- Possibilité de pouvoir transformer un texte de longueur variable en une empreinte de taille fixe (comme SHA-1 qui fait 160bits), bien qu’il existe de nouvelles fonctions de hachage dont la sortie n’a pas de taille fixe.
- Facilité d’utilisation et de mise en œuvre.
- La longueur de sortie doit être petite, elle doit être efficace (facile à calculer dans un sens), et il doit être impossible d’obtenir «l’original».
Certains hachages largement utilisés pour stocker les mots de passe, avec SHA2-256, SHA2-384, SHA2-512, ainsi que des hachages spécialement conçus pour être utilisés avec des mots de passe, tels que scrypt, bcrypt, argon2 et PBKDF2.
Les mots de passe sont stockés toujours hachés pour la sécurité , de sorte que si quelqu’un est capable d’entrer dans nos systèmes, n’obtienne pas les mots de passe pour chaque utilisateur, mais ils obtiennent le «hachage» de cette clé, qu’ils devront déchiffrer par deux méthodes principales :
- Dictionnaire : Cette méthode consiste à avoir un dictionnaire avec des millions de mots à tester un par un. Les fonctions de hachage ne peuvent être obtenues que dans un sens, l’objectif de ce dictionnaire est d’avoir des millions de mots, de calculer le hachage et de le comparer avec le hachage que l’on a précédemment obtenu dans un hack.
- Brute Force : Cette méthode consiste à essayer toutes les clés possibles une par une, jusqu’à trouver le hachage du mot de passe de la base de données volée, et donc, obtenir le vrai mot de passe.
L’un des meilleurs programmes pour déchiffrer les hachages de mots de passe est Hashcat, car il utilise à la fois la puissance CPU des ordinateurs, ainsi que les GPU. Cela rendra le déchiffrement d’un mot de passe court très chronophage. Ce programme intègre une énorme quantité de hachages différents, utilisés par les principaux services réseau.
Conseils pour créer une bonne clé
Pour créer une bonne clé pour un service, il faut réfléchir à la manière de le concevoir de manière à ce que les deux types d’attaques par mot de passe ne l’affectent pas , ou du moins l’affectent le moins possible. En raison de ces deux attaques différentes (dictionnaire et force brute), il est essentiel qu’un mot de passe réponde à certaines exigences :
- Utilisez une clé qui ne peut être trouvée dans aucun dictionnaire.
- N’utilisez pas de mot de passe avec un ou deux mots, car le dictionnaire peut également incorporer des mots typiques joints.
- Utilisez des mots de passe longs (plus de 12 caractères), de sorte qu’il est très difficile pour la force brute de déchiffrer le mot de passe en peu de temps.
- N’utilisez pas de mots de passe qui concernent notre vie personnelle, tels que la date de naissance, notre identifiant et d’autres données personnelles.
Combinaison de chiffres, de lettres et de symboles
Il serait également conseillé d’utiliser une combinaison de chiffres, de lettres majuscules, de lettres minuscules et de symboles. Cette conjonction de caractères est recommandée pour rendre très difficile les programmes par force brute, car ils devront essayer toutes les combinaisons possibles en les tenant compte. Par exemple, si nous voulons créer un mot de passe sûr et facile à retenir, nous pouvons choisir une phrase que nous aimons particulièrement, et sélectionner la première lettre de chaque mot, et la mettre en majuscules, puis mettre le nombre de caractères que la phrase choisie a.
Générateurs de mots de passe
Hoy en día existen una gran cantidad de programas gestores de contraseñas, los más conocidos con LastPass y KeePass, estos gestores de claves no solo nos permitirán almacenar todas las contraseñas en un lugar seguro, sino que tienen generadores de claves incorporados que podremos utilizar para proteger nos services. Ce serait idéal si, par exemple, nous utilisions une clé aléatoire de 15 caractères de long, et composée de majuscules, minuscules, chiffres et symboles. Un détail important est que si vous allez utiliser des symboles dans la clé WPA2 de votre routeur Wi-Fi, vous devez savoir qu’il existe certains symboles qui ne sont pas pris en charge, utilisez donc des symboles typiques et non des symboles rares.
Avec ce type de programme, nous n’aurons qu’à retenir un seul mot de passe, pour avoir accès au reste des mots de passe que nous avons stockés en toute sécurité avec le programme.
Ne jamais utiliser le même mot de passe dans plusieurs services
Vous ne devez jamais réutiliser le même mot de passe dans plusieurs services, surtout s’ils sont en ligne, car si l’un de ces services est piraté et qu’ils parviennent à déchiffrer le mot de passe, ils pourraient utiliser vos informations d’identification dans d’autres services et affecter les autres de manière collatérale. Il y a déjà eu beaucoup de gros hacks, tels que Dropbox, Sony, Adobe et de nombreuses autres sociétés. Par conséquent, il est essentiel d’utiliser différentes clés pour différents services.
Un petit «truc» que vous pourriez faire (bien que pas fortement recommandé, car ils pourraient être capables de deviner le modèle et d’attaquer uniquement la partie «différente»), consiste à utiliser la même clé «start» pour tous les services, et «end »Avec une chaîne de caractères différente.
Erreurs courantes lors de la création de mots de passe
Il existe de nombreuses erreurs courantes lors de la création de clés fortes, et elles doivent toujours être évitées :
- Utilisez le même mot de passe pour tous les services
- Mots de passe avec des données personnelles, telles que la date de naissance, la date du mariage et autres.
- Notez-le sur un post-it et collez-le sur le moniteur
- Apportez avec nous le mot de passe écrit sur un morceau de papier
- Enregistrez les mots de passe utilisés en texte brut sur le bureau de notre PC.
Comment vérifier si un mot de passe est sécurisé ?
Un moyen très simple de savoir si un mot de passe est sécurisé, est de penser comme quelqu’un qui veut le cracker, si la réponse est NON à toutes ces questions, cela signifie que vous aurez un mot de passe fort :
- Ce mot de passe sera-t-il dans un dictionnaire de mots ?
- Ce mot de passe contient-il des données personnelles comme le nom de ma mère ou une date d’anniversaire ?
- Ce mot de passe est-il court et peut-il être facilement déchiffré par des programmes de force brute ?
- Ce mot de passe est-il très simple (pas de symboles, pas de chiffres et pas de majuscules/minuscules) ?
Vous pouvez également utiliser des services en ligne pour vérifier la «force» de votre mot de passe, mais s’il vous plaît, ne mettez jamais votre vrai mot de passe que vous utilisez dans un certain service, mais un mot de passe similaire en mettant des majuscules, des minuscules, des chiffres et des symboles différents. Ne mettez jamais un service en ligne pour vérifier la force de votre clé, le vrai mot de passe, car ils pourraient collecter toutes les clés des utilisateurs à votre insu.
Un mot de passe fort suffit-il ?
Actuellement, les mots de passe seuls peuvent ne pas être assez forts , en fait, il est toujours recommandé d’utiliser un deuxième facteur d’authentification. Les mécanismes d’authentification dont nous disposons actuellement sont les suivants :
- Quelque chose que nous avons : des cartes magnétiques, des cartes à puce et même notre propre smartphone/tablette.
- Quelque chose que nous savons : les mots de passe
- Quelque chose que nous sommes : la biométrie
L’une des combinaisons les plus sûres consiste à entrer dans un système grâce à la combinaison de deux de ces trois facteurs que nous vous avons expliqués. Par exemple, pour accéder à un service, nous pourrions configurer le mot de passe (quelque chose que nous connaissons) et, également, quelque chose que nous avons (notre smartphone avec une application d’authentification). L’avantage de cette combinaison est qu’elle augmente le niveau de sécurité et la difficulté pour un utilisateur malveillant d’accéder à un service, puisqu’il doit répondre aux deux exigences et pas seulement au mot de passe. L’inconvénient est que le temps d’authentification va augmenter, puisque nous devrons entrer le mot de passe et le code généré par notre smartphone. Un autre inconvénient serait de ne pas disposer du deuxième facteur.
Comment vérifier si mes identifiants ont été divulgués sur Internet ?
Il existe actuellement plusieurs services qui nous permettront de savoir si nos mots de passe ou nos identifiants numériques ont été divulgués sur Internet. Le premier service est haveibeenpwned , juste en entrant votre email il vous dira si vous êtes concerné par un vol de base de données, où l’email que vous avez entré y apparaît, c’est un service totalement gratuit et va nous permettre de le savoir très rapidement maintenant lequel dispose d’une grande base de données de fuites à consulter.
Le deuxième service est Firefox Monitor , un service très similaire au précédent, et dans certaines violations de données, il est basé sur le service précédent. La principale différence est qu’il nous enverra un e-mail si à l’avenir il est découvert que notre e-mail fait partie d’une fuite, ce qui est idéal pour pouvoir prendre les mesures appropriées (changer les mots de passe).
Enfin, Google lui-même nous permet de vérifier tous les mots de passe que nous avons mémorisés et synchronisés dans Google Chrome. De cette façon, il nous informera s’il y a eu une fuite de données là où il a été exposé, et il nous dira également si nous répétons le même mot de passe dans différents services (une erreur très courante), et il indiquera même si le mot de passe est ou non robuste.
Comme vous l’avez vu, pour créer des mots de passe sécurisés il est essentiel de suivre une série d’étapes, et si possible, toujours activer la vérification en deux étapes des différents services qui le supportent.