feigned

Choisir un bon mot de passe (fort et sécurisé) avec Diceware

Avatar de Le Crabe Le Crabe

Crédits : Freepik sur www.flaticon.com (CC 3.0 BY)

Publicité

  • 27/06/18 : ajout d'un lien pour <a href="#generateur-phrase-secrete-diceware">générer automatiquement une phrase secrète Diceware</a>.

« Quel mot de passe choisir ? », « Est-ce que les mots de passe de mes comptes Internet sont vraiment efficaces ? »… Autant de questions que l’on s’est tous posé au moins une fois. Et c’est une bonne chose ! Les mots de passe sont la principale barrière de sécurité de nos comptes et doivent – à ce titre – être choisis judicieusement, pour éviter qu’une personne malintentionnée ne vole nos données personnelles et ne mettent la zizanie dans nos vies.

Publicité

Aujourd’hui plus qu’hier, le choix d’un bon mot de passe est primordial. Nous avons de plus en plus de comptes sur le Web : un compte bancaire, un compte Facebook, un compte Google, etc. Autant de comptes… et autant de portes d’entrée qu’il faut impérativement sécuriser, sous peine de mettre notre vie personnelle et professionnelle en danger.

Voyez vos comptes comme des maisons (comptes) qu’il faut protéger par des verrous (mots de passe) efficaces. Vous ne protégeriez pas votre résidence principale avec un vulgaire cadenas, n’est-ce pas ? Eh bien c’est pareil avec vos comptes sur Internet ! Et les dégâts d’une attaque sur Internet peuvent être – étonnamment – plus importants que dans la « vraie vie ».

La sélection d’un bon mot de passe est l’une des choses les plus importantes que vous puissiez faire pour préserver la confidentialité de vos données informatiques et de vos messages électroniques. En effet, les mots de passe faibles sont l’une des failles les plus courantes dans la sécurité informatique.

Je ne me sens pas concerné, j’utilise déjà des mots de passe hyper-sûrs !

Vous allez voir que ce n’est pas vraiment le cas 😉

Voici ce qu’on vous a appris à propos des mots de passe :

  • Il faut qu’ils soient compliqués ;
  • Il faut utiliser des chiffres, des majuscules et des caractères spéciaux ;
  • Il faut les changer régulièrement ;
  • Il faut utiliser des mots de passe différents pour chaque application et chaque compte Internet.
« Désolé, mais votre mot de passe doit contenir une lettre majuscule, un nombre, un haïku, un signe de gang, un hiéroglyphe et le sang d’une vierge » – Source : someecards.com

Malheureusement, ces directives ne sont pas efficaces, en plus d’être fastidieuses à appliquer pour les utilisateurs.

En juin 2017, le National Institute of Standards and Technology (NIST) a révisé ses lignes directrices pour la création de mots de passe, et les nouvelles recommandations divergent complètement des règles précédentes.

Les experts suggèrent maintenant de créer des mots de passe simples, longs et mémorables. Les caractères spéciaux et les mélanges de lettres majuscules et minuscules ne sont plus recommandés. Enfin, les mots de passe n’ont plus besoin d’être renouvelés après un certain temps.

« A travers 20 ans d’efforts, on a réussi à habituer les gens à utiliser des mots de passe qui sont difficiles à retenir pour les humains, mais faciles à deviner pour les ordinateurs » – Source : xkcd.com

Cet article a pour but de vous aider à créer un mot de passe (ou plutôt une « phrase secrète », nous allons y revenir) fort et facile à retenir, à utiliser avec vos programmes et vos différents comptes Internet pour protéger efficacement vos données personnelles.

Publicité

Table des matières

Phrase secrète vs mot de passe

Qu’est-ce qu’une phrase secrète ? 🤔

Une phrase secrète (passphrase, en anglais) est un groupe de mots et de caractères utilisé comme moyen d’authentification pour prouver son identité lorsque l’on désire accéder à une ressource ou à un service dont l’accès est protégé. C’est l’équivalent d’un mot de passe, mais en plus sécurisé.

Les mots de passe sont généralement courts, de 6 à 10 caractères. Ces derniers sont généralement suffisants pour se connecter aux comptes utilisateur dans les systèmes d’exploitation (Windows, GNU/Linux, macOS…) lesquels sont programmés pour détecter plusieurs tentatives d’accès incorrectes et pour protéger les mots de passe stockés. En revanche, ils ne sont pas sûrs pour une utilisation avec des systèmes de chiffrement.

Les phrases secrètes sont beaucoup plus longues, de 25 à 64 caractères (espaces compris). Leur plus grande longueur rend les phrases secrètes beaucoup plus sûres que les mots de passe.

Mot de passe Phrase secrète
De 6 à 10 caractères De 25 à 64 caractères
Souvent incompréhensible Toujours significatif
Difficile à retenir Facile à retenir
Facile à cracker Difficile à cracker

Pour garantir une meilleure protection contre les pirates, la plupart des programmes de sécurité vous permettent d’ailleurs d’entrer une phrase secrète plutôt qu’un mot de passe, comme par exemple :

  • Les protocoles de sécurité Wi-Fi WPA/WPA2 ;
  • Les gestionnaires de mots de passe (LastPass, KeePass…) ;
  • Les logiciels de chiffrement de données (VeraCrypt, BitLocker…) ;
  • Le logiciel de chiffrement cryptographique PGP, souvent utilisé pour signer, chiffrer et déchiffrer des e-mails ;
  • Les cryptomonnaies (BitCoin).

A quoi ressemble une phrase secrète parfaite ?

Dans l’idéal, une phrase secrète devrait être :

  • Connue uniquement par vous ;
  • Assez longue pour être sûre ;
  • Difficile à deviner – même par quelqu’un qui vous connaît bien ;
  • Facile à retenir ;
  • Facile à saisir.

Je veux remplacer mes mots de passe par des phrases secrètes ! ☝ Comment faire pour choisir une bonne phrase secrète ?

Laissez-moi vous présenter la méthode Diceware 🙂

Publicité

Qu’est-ce que la méthode Diceware ?

Diceware est une méthode pour construire des phrases secrètes faciles à retenir, à partir de mots d’une liste spéciale appelée « la liste de mots Diceware ».

Pour utiliser cette liste, vous aurez besoin d’un ou plusieurs dés. Chaque mot de la liste est précédé d’un nombre à cinq chiffres. Tous les chiffres sont compris entre un et six, permettant d’utiliser le résultat de cinq lancers de dés pour sélectionner un mot de la liste.

Voici un court extrait de la liste de mots Diceware (miroir) dont la version française a été réalisée par Matthieu Weber :

16655 cagibi
16656 cahot
16661 cahota
16662 cahote
16663 cahots
16664 cajou
16665 cajous
16666 cajun
21111 cake
21112 cakes
21113 cal
21114 cala
21115 calage
21116 calais
21121 calant
21122 calcul
21123 cale
21124 calent
21125 caler
21126 cales
21131 calez

La liste complète contient 7776 mots courts, abréviations et chaînes de caractères faciles à mémoriser. La longueur moyenne de chaque mot est d’environ 4,2 caractères. Les mots les plus longs font six caractères.

Publicité

Utiliser la méthode Diceware

Pour utiliser la liste de mots Diceware, vous aurez besoin d’un ou plusieurs dés.

Dans l’idéal, utilisez de vrais dés. Des dés sont fournis dans de nombreux jeux de société, mais sont aussi vendus séparément dans de nombreux magasins ou sur Amazon. Sinon, utilisez un générateur de dés virtuel.

  1. Téléchargez la liste de mots Diceware (français).
  2. Décidez du nombre de mots que vous voulez dans votre phrase secrète. Une phrase secrète avec 5 mots fournit un niveau de sécurité bien supérieur aux mots de passe utilisés par la plupart des utilisateurs. Il est recommandé d’utiliser un minimum de 6 mots pour une utilisation avec les programmes GPG, les protocoles de chiffrement Wi-Fi et les programmes de chiffrement de fichiers. Une phrase secrète de 7, 8 ou 9 mots est recommandée pour les programmes qui requièrent une protection totale comme le chiffrement de disques ou BitCoin.
  3. Lancez les dés et notez les résultats sur un morceau de papier. Écrivez les chiffres par groupes de cinq. Faites autant de groupes de cinq chiffres que vous voulez de mots dans votre phrase secrète. Vous pouvez lancer un dé cinq fois ou lancer cinq dés une fois (n’importe quelle autre combinaison de lancer fait aussi l’affaire). Si vous lancez plusieurs dés à la fois, lisez les dés de la gauche vers la droite.
  4. Repérez les mots associés aux nombres que vous avez obtenus, à l’aide de la liste de mots Diceware. Par exemple, 23231 signifie que le prochain mot de votre phrase secrète est « crabe ».
  5. Lorsque vous avez terminé, les mots que vous avez trouvés forment votre nouvelle phrase secrète ! Mémorisez-les, puis détruisez le morceau de papier ou gardez-le dans un endroit vraiment sûr 😉

Un exemple pas-à-pas, c’est possible ? 😅

Bien sûr ! 👍

Supposons que vous vouliez une phrase secrète de 6 mots, comme recommandé pour la plupart des utilisateurs :

  • Lancez 6 fois 5 dés ou 30 fois 1 dé.

    Dés virtuels

    Si vous n’avez pas de dés, vous pouvez utiliser le générateur de dés de RANDOM.ORG.

    Sélectionnez 5 dés virtuels puis lancez-les en cliquant sur Roll Dice :

    Notez le résultat de ce premier lancer de dés sur un morceau de papier. Dans l’exemple ci-dessous, vous obtenez ce nombre de cinq chiffres : 1 4 2 3 6.

    Répétez l’opération pour les cinq autres mots de votre phrase secrète en cliquant sur Roll Again.

    Disons que les résultats sont :

    1, 4, 2, 3, 6, 1, 5, 6, 5, 3, 5, 6, 3, 2, 5, 3, 5, 6, 1, 6, 6, 5, 2, 2, 4, 6, 4, 3, 1 et 6.

  • Écrivez les résultats sur un morceau de papier en groupes de cinq lancers :

    1 4 2 3 6
    1 5 6 5 3
    5 6 3 2 5
    3 5 6 1 6
    6 5 2 2 4
    6 4 3 1 6

  • Repérez dans la liste de mots Diceware les mots associés à chaque nombre :

    1 4 2 3 6 au
    1 5 6 5 3 bordes
    5 6 3 2 5 seuil
    3 5 6 1 6 juge
    6 5 2 2 4 verte
    6 4 3 1 6 union

  • Voilà, voici votre nouvelle phrase secrète : au bordes seuil juge verte union !

Facile, non ? Maintenant, allez-y ! Générez votre phrase secrète puis mettez à jour la sécurité de vos comptes ! 😛

Générateur de phrase secrète Diceware

Je viens de découvrir un site qui permet de générer automatiquement une phrase secrète Diceware : https://www.rempe.us/diceware/#french.

Il suffit de cliquer sur le bouton correspondant au nombre de mots que vous souhaitez utiliser dans votre phrase secrète (6 words, 7 words…), et le tour est joué !

Pratique non ? 😉

Dans le même style, vous avez également : https://passwordcreator.org/fr.html !

Remarque : même s’il n’y a aucune raison de ne pas avoir confiance en ce site, pour une sécurité maximale, je vous recommande tout de même de suivre les instructions que je vous ai écrites précédemment, pour générer un mot de passe Diceware manuellement.

Tester la force d’un mot de passe

Pour comparer le niveau de sécurité entre votre ancien et votre nouveau mot de passe, vous pouvez utiliser le testeur de mot de passe du site howsecureismypassword.net. Le site indique le temps que cela prendrait à un ordinateur pour trouver votre mot de passe.

Par exemple, voici la force de mon ancien mot de passe que je considérais comme sûr (c’était un mot de passe du type : crabDU#8+) :

Et voici la force de mon nouveau mot de passe grâce à la méthode Diceware :

C’est beaucoup mieux, vous ne trouvez pas ? 😉

Conseils sur les mots de passe

Avant de partir, suivez ces derniers conseils :

  • Si vous utilisez une phrase secrète pour le chiffrement de disques ou de fichiers, il est recommandé d’en garder une copie écrite dans un endroit sûr. Si vous ne le faites pas et que vous oubliez votre mot de passe, vos fichiers seraient perdus pour toujours.
  • Il est recommandé d’utiliser les phrases secrètes exactement telles qu’elles ont été générées. Ne remplacez pas un mot par un autre qui vous semble plus facile à mémoriser, recommencez depuis le début si c’est le cas.
  • Comme certains mots de la liste Diceware ont une longueur de seulement deux caractères, vous pouvez obtenir une phrase secrète très courte. Si votre phrase secrète, y compris les espaces entre les mots, comporte moins de 17 caractères, il est recommandé de recommencer et de créer une nouvelle phrase secrète.
  • Utilisez une phrase de passe distincte pour chacun de vos comptes.
  • N’utilisez pas de générateur de mot de passe qui vous fournira un mot de passe que vous n’allez jamais retenir.
  • Ne regroupez pas tous vos mots de passe sur le même morceau de papier. Utilisez plutôt un gestionnaire de mots de passe comme LastPass ou KeePass. Ce type de logiciel permet de stocker et de récupérer vos mots de passe de manière efficace et sécurisée.
  • Ne divulguez pas vos mots de passe, à qui que ce soit.
  • Au moment d’utiliser la méthode Diceware et pour une sécurité maximale, assurez-vous d’être seul et fermez les rideaux. Écrivez sur une surface dure – pas sur un bloc de papier. Après avoir mémorisé votre mot de passe, brûlez vos notes, pulvérisez les cendres et jetez-les dans les toilettes 🔥 💨 🚽

Si vous suivez toutes ces recommandations, je vous garantis que vos comptes seront plus sécurisés que 99% des utilisateurs et quasi-impossibles à pirater. 🙂

Liens utiles

Vous avez aimé cet article ?

Dites-le-nous !

Ne ratez pas nos prochains articles !

Suivez-nous sur :

Google Actualités Facebook
Étiquettes
Sources
À voir également
À voir également sur les forums
Besoin d'aide ?

Malgré la lecture de l'article « Choisir un bon mot de passe (fort et sécurisé) avec Diceware », vous avez encore des questions qui vous trottent dans la tête ? Vous avez toujours les mêmes problèmes qu'au départ ? Vous êtes bloqué et vous ne savez plus quoi faire ?

Faites appel à la communauté du Crabe en posant votre question sur les forums !

Poser ma question
20 commentaires
Répondre à ChristopheAnnuler
Connecté en tant que visiteur (connexion / s'inscrire)

Formulaire protégé par reCAPTCHA. Les Règles de confidentialité et les Conditions d'utilisation de Google s'appliquent.

Page 1 sur 2

  • Bonjour,
    Votre outil de test de mot de passe me laisse perplexe.
    Si je mets
    Azertyuiop : qq minutes
    Azertyuiopqsdfghjklm : je monte en million d’année
    Azertyuiopqsdfghjklmwxcvbn : je suis en quintillion (je découvre ce mot)
    Pourtant ce n’est que les lettres du clavier dans l’ordre !
    J’ai l’impression que la conclusion c’est que seule la longueur compte ?

    • Bonjour,
      À partir de 20 caractères, oui, on peut dire que seule la longueur compte parce qu’il y a trop de risque d’avoir des caractères spéciaux et/ou chiffres. D’où l’intérêt de faire des phrases de passe, et pas (ou pas seulement) avec des espaces entre les mots.

    • Pour mieux comprendre : la plupart des petits mots de passe sont trouvés à l’aide d’attaques par dictionnaires. Certains outils de bruteforce hybride génèrent même des listes (dictionnaires) via des algorithmes qui sont très efficaces pour reproduire des chaines de caractères humainement plausibles. Donc même si « Azertyuiop » ne figure pas dans un dictionnaire, c’est facilement trouvable en attaque par bruteforce pur.

  • bonjour,

    15 novemdecillion years bon courage à celui ou celle qui voudrait essayer de le trouver.

    je vais sur le site https://www.dashlane.com/fr/features/password-generator pour mes mdp et plus de soucis.

  • Bonjour ! J’ai créé une liste diceware française qui me paraît bien meilleure que celle à laquelle vous faites référence. Je l’ai mise sur diceware.fr et j’explique en quoi elle est bien construite.
    Vu qu’on tombe direct sur votre article quand on tape « diceware » dans un moteur de recherche, je me suis dit que ce serait pas mal si vous changiez la liste que vous recommandez. Merci !

  • Merci le crabe. C’est très clair !

  • Alors 16 billions d’années pour Gmail, 32 octillions d’année (je ne savais même pas que ce mot existait) et 25 microsecondes pour les 6 chiffres de mon compte bancaire.

    Je me doutais bien que c’était pourri un mot de passe à 6 chiffres mais à ce point…

  • Que c’est compliqué !

    Voici un exemple de mot de passe tel que j’aime : (c’est une adresse de potes, famille…)

    12Bis,RueDuDocteurSchmilblick,F75010-Paris

    Et quand je dois le changer, j’incrémente le 12 pour ne pas que le système refuse de le modifier en conservant le même préfixe.

    Simple à retenir, long, avec des chiffres, minuscules, majuscules, caractères spéciaux.

    • Salut mdes,

      Je ne suis pas vraiment d’accord !

      Retenir 5 mots du dictionnaire, ce n’est pas compliqué ! Notre cerveau a largement les capacités pour les retenir 😉

  • Merci pour cet article. Mais je ne comprend pas l’intérêt de la méthode diceware, par rapport à une phrase de notre choix.
    Par exemple sur le site pour tester la force du pass cité dans l’article, je tape « jem’apellelecrabe! » ça donne 80 trillion années ; bien plus que tous les pass que j’ai déjà utilisé et ça m’a pris 10 sec à trouver, alors que je serai encore à jeter des dès avec diceware.
    Donc ok pour les phrases mais pourquoi diceware plutôt que notre imagination ?

    • Salut Julien,

      Le but de la méthode Diceware est de concevoir une phrase secrète que personne ne peut deviner. Avec une phrase secrète composée de mots qui n’ont aucun sens et aucun rapport entre eux, tu peux être sûr à 100% que personne sur cette Terre, ni ordinateur, ni humain, ne peut la deviner.

      Par exemple, je viens à l’instant de créer cette phrase secrète : mondiale poudre relie impliqués occasions.

      Absolument personne de mon entourage ne peut deviner ce mot de passe. Si je m’étais laissé tenter à sélectionner mes propres mots, j’aurais choisi une suite de mots qui, involontairement, me ressemble un peu. Cela rendrait mon mot de passe sûr à 97%, pas à 100%, d’où l’intérêt de la méthode Diceware 🙂

  • je suis un brin dubitatif, il suffit au gentil petit pirate de se concocter un petit soft en brute de force basé sur cette liste et le tour est joué.

    par contre j’admets que niveau mémorisation on y gagne !

    • Salut Baboon,

      Bonne question !

      Tu as la réponse sur la FAQ de Diceware, que je te traduis ici :

      Si quelqu’un sait que j’utilise Diceware, ne peut-il pas simplement utiliser la liste de mots pour chercher ma phrase secrète ?

      La méthode Diceware est sécurisée même si un pirate sait que vous avez utilisé Diceware pour choisir votre phrase secrète, même s’il sait combien de mots sont dans votre phrase secrète et même s’il connaît la liste de mots que vous avez utilisée. La sécurité de Diceware vient du nombre énorme de combinaisons qu’un intrus doit rechercher, même en sachant tout ça. La liste de mots Diceware contient 7776 mots, donc si vous choisissez une phrase secrète de cinq mots, il y a 7776 x 7776 x 7776 x 7776 x 7776 combinaisons. C’est plus de 2**64 (2 à la 64 puissance ou 2,6 x 10 ** 19) possibilités. Une phrase secrète Diceware de six mots confronte un pirate à 2**77 (2 x 10**23) combinaisons ; sept mots 2**90 (1,5 x 10**27).

      En résumé, il est impossible pour un pirate de récupérer un mot de passe créé avec la méthode Diceware en utilisant une attaque par force brute 😉

  • Je suis dubitatif et je n’ai pas vraiment compris la simplicité avancée.
    1° Aucun de mes sites sensibles n’acceptent un mot de passe aussi long que « au bordes seuil juge verte union ». A titre d’exemple mon site bancaire accepte un nombre à 6 chiffres point ! Je ne vois pas comment utiliser cette phrase secrète dans la totalité des sites que j’utilise.
    2° Et si cela était possible, la simplicité de mémorisation d’une telle phrase pour un site (et ceci répété autant de fois que j’ai de sites auxquels me connecter) ne m’apparaît nullement ou je n’ai rien compris !

    • Salut dregnier,

      1. Malheureusement, les phrases secrètes ne peuvent pas être utilisées sur tous les services à cause des limitations qu’imposent les éditeurs de ces services. Par contre, si tu utilises des programmes de chiffrement de données comme VeraCrypt ou un gestionnaire de mots de passe, tu peux utiliser ces phrases secrètes qui sont indispensables.

      2. C’est ici que les gestionnaires de mots de passe sont utiles ! En créant un coffre-fort avec LastPass, Dashlane ou KeePass verrouillé par la seule phrase secrète que tu devras retenir, tu vas pouvoir stocker toutes autres les phrases secrètes que tu utilises sur les sites qui les autorisent. Ainsi, tu n’auras besoin de retenir que la phrase secrète qui te permet d’accéder à ton coffre-fort 🙂

  • Encore un article au top, et avec la blagounette qui va bien. 😀

518 utilisateurs actifs