feigned

Choisir un bon mot de passe (fort et sécurisé) avec Diceware

Le Crabe

Crédits : Freepik sur www.flaticon.com (CC 3.0 BY)

  • 27/06/18 : ajout d'un lien pour <a href="#generateur-phrase-secrete-diceware">générer automatiquement une phrase secrète Diceware</a>.

« Quel mot de passe choisir ? », « Est-ce que les mots de passe de mes comptes Internet sont vraiment efficaces ? »… Autant de questions que l’on s’est tous posé au moins une fois. Et c’est une bonne chose ! Les mots de passe sont la principale barrière de sécurité de nos comptes et doivent – à ce titre – être choisis judicieusement, pour éviter qu’une personne malintentionnée ne vole nos données personnelles et ne mettent la zizanie dans nos vies.

Aujourd’hui plus qu’hier, le choix d’un bon mot de passe est primordial. Nous avons de plus en plus de comptes sur le Web : un compte bancaire, un compte Facebook, un compte Google, etc. Autant de comptes… et autant de portes d’entrée qu’il faut impérativement sécuriser, sous peine de mettre notre vie personnelle et professionnelle en danger.

Voyez vos comptes comme des maisons (comptes) qu’il faut protéger par des verrous (mots de passe) efficaces. Vous ne protégeriez pas votre résidence principale avec un vulgaire cadenas, n’est-ce pas ? Eh bien c’est pareil avec vos comptes sur Internet ! Et les dégâts d’une attaque sur Internet peuvent être – étonnamment – plus importants que dans la « vraie vie ».

La sélection d’un bon mot de passe est l’une des choses les plus importantes que vous puissiez faire pour préserver la confidentialité de vos données informatiques et de vos messages électroniques. En effet, les mots de passe faibles sont l’une des failles les plus courantes dans la sécurité informatique.

Je ne me sens pas concerné, j’utilise déjà des mots de passe hyper-sûrs !

Vous allez voir que ce n’est pas vraiment le cas 😉

Voici ce qu’on vous a appris à propos des mots de passe :

  • Il faut qu’ils soient compliqués ;
  • Il faut utiliser des chiffres, des majuscules et des caractères spéciaux ;
  • Il faut les changer régulièrement ;
  • Il faut utiliser des mots de passe différents pour chaque application et chaque compte Internet.
« Désolé, mais votre mot de passe doit contenir une lettre majuscule, un nombre, un haïku, un signe de gang, un hiéroglyphe et le sang d’une vierge » – Source : someecards.com

Malheureusement, ces directives ne sont pas efficaces, en plus d’être fastidieuses à appliquer pour les utilisateurs.

En juin 2017, le National Institute of Standards and Technology (NIST) a révisé ses lignes directrices pour la création de mots de passe, et les nouvelles recommandations divergent complètement des règles précédentes.

Les experts suggèrent maintenant de créer des mots de passe simples, longs et mémorables. Les caractères spéciaux et les mélanges de lettres majuscules et minuscules ne sont plus recommandés. Enfin, les mots de passe n’ont plus besoin d’être renouvelés après un certain temps.

« A travers 20 ans d’efforts, on a réussi à habituer les gens à utiliser des mots de passe qui sont difficiles à retenir pour les humains, mais faciles à deviner pour les ordinateurs » – Source : xkcd.com

Cet article a pour but de vous aider à créer un mot de passe (ou plutôt une « phrase secrète », nous allons y revenir) fort et facile à retenir, à utiliser avec vos programmes et vos différents comptes Internet pour protéger efficacement vos données personnelles.

Phrase secrète vs mot de passe

Qu’est-ce qu’une phrase secrète ? 🤔

Une phrase secrète (passphrase, en anglais) est un groupe de mots et de caractères utilisé comme moyen d’authentification pour prouver son identité lorsque l’on désire accéder à une ressource ou à un service dont l’accès est protégé. C’est l’équivalent d’un mot de passe, mais en plus sécurisé.

Les mots de passe sont généralement courts, de 6 à 10 caractères. Ces derniers sont généralement suffisants pour se connecter aux comptes utilisateur dans les systèmes d’exploitation (Windows, GNU/Linux, macOS…) lesquels sont programmés pour détecter plusieurs tentatives d’accès incorrectes et pour protéger les mots de passe stockés. En revanche, ils ne sont pas sûrs pour une utilisation avec des systèmes de chiffrement.

Les phrases secrètes sont beaucoup plus longues, de 25 à 64 caractères (espaces compris). Leur plus grande longueur rend les phrases secrètes beaucoup plus sûres que les mots de passe.

Mot de passe Phrase secrète
De 6 à 10 caractères De 25 à 64 caractères
Souvent incompréhensible Toujours significatif
Difficile à retenir Facile à retenir
Facile à cracker Difficile à cracker

Pour garantir une meilleure protection contre les pirates, la plupart des programmes de sécurité vous permettent d’ailleurs d’entrer une phrase secrète plutôt qu’un mot de passe, comme par exemple :

  • Les protocoles de sécurité Wi-Fi WPA/WPA2 ;
  • Les gestionnaires de mots de passe (LastPass, KeePass…) ;
  • Les logiciels de chiffrement de données (VeraCrypt, BitLocker…) ;
  • Le logiciel de chiffrement cryptographique PGP, souvent utilisé pour signer, chiffrer et déchiffrer des e-mails ;
  • Les cryptomonnaies (BitCoin).

A quoi ressemble une phrase secrète parfaite ?

Dans l’idéal, une phrase secrète devrait être :

  • Connue uniquement par vous ;
  • Assez longue pour être sûre ;
  • Difficile à deviner – même par quelqu’un qui vous connaît bien ;
  • Facile à retenir ;
  • Facile à saisir.

Je veux remplacer mes mots de passe par des phrases secrètes ! ☝ Comment faire pour choisir une bonne phrase secrète ?

Laissez-moi vous présenter la méthode Diceware 🙂

Qu’est-ce que la méthode Diceware ?

Diceware est une méthode pour construire des phrases secrètes faciles à retenir, à partir de mots d’une liste spéciale appelée « la liste de mots Diceware ».

Pour utiliser cette liste, vous aurez besoin d’un ou plusieurs dés. Chaque mot de la liste est précédé d’un nombre à cinq chiffres. Tous les chiffres sont compris entre un et six, permettant d’utiliser le résultat de cinq lancers de dés pour sélectionner un mot de la liste.

Voici un court extrait de la liste de mots Diceware (miroir) dont la version française a été réalisée par Matthieu Weber :

16655 cagibi
16656 cahot
16661 cahota
16662 cahote
16663 cahots
16664 cajou
16665 cajous
16666 cajun
21111 cake
21112 cakes
21113 cal
21114 cala
21115 calage
21116 calais
21121 calant
21122 calcul
21123 cale
21124 calent
21125 caler
21126 cales
21131 calez

La liste complète contient 7776 mots courts, abréviations et chaînes de caractères faciles à mémoriser. La longueur moyenne de chaque mot est d’environ 4,2 caractères. Les mots les plus longs font six caractères.

Utiliser la méthode Diceware

Pour utiliser la liste de mots Diceware, vous aurez besoin d’un ou plusieurs dés.

Dans l’idéal, utilisez de vrais dés. Des dés sont fournis dans de nombreux jeux de société, mais sont aussi vendus séparément dans de nombreux magasins ou sur Amazon. Sinon, utilisez un générateur de dés virtuel.

  1. Téléchargez la liste de mots Diceware (français).
  2. Décidez du nombre de mots que vous voulez dans votre phrase secrète. Une phrase secrète avec 5 mots fournit un niveau de sécurité bien supérieur aux mots de passe utilisés par la plupart des utilisateurs. Il est recommandé d’utiliser un minimum de 6 mots pour une utilisation avec les programmes GPG, les protocoles de chiffrement Wi-Fi et les programmes de chiffrement de fichiers. Une phrase secrète de 7, 8 ou 9 mots est recommandée pour les programmes qui requièrent une protection totale comme le chiffrement de disques ou BitCoin.
  3. Lancez les dés et notez les résultats sur un morceau de papier. Écrivez les chiffres par groupes de cinq. Faites autant de groupes de cinq chiffres que vous voulez de mots dans votre phrase secrète. Vous pouvez lancer un dé cinq fois ou lancer cinq dés une fois (n’importe quelle autre combinaison de lancer fait aussi l’affaire). Si vous lancez plusieurs dés à la fois, lisez les dés de la gauche vers la droite.
  4. Repérez les mots associés aux nombres que vous avez obtenus, à l’aide de la liste de mots Diceware. Par exemple, 23231 signifie que le prochain mot de votre phrase secrète est « crabe ».
  5. Lorsque vous avez terminé, les mots que vous avez trouvés forment votre nouvelle phrase secrète ! Mémorisez-les, puis détruisez le morceau de papier ou gardez-le dans un endroit vraiment sûr 😉

Un exemple pas-à-pas, c’est possible ? 😅

Bien sûr ! 👍

Supposons que vous vouliez une phrase secrète de 6 mots, comme recommandé pour la plupart des utilisateurs :

  • Lancez 6 fois 5 dés ou 30 fois 1 dé.

    Dés virtuels

    Si vous n’avez pas de dés, vous pouvez utiliser le générateur de dés de RANDOM.ORG.

    Sélectionnez 5 dés virtuels puis lancez-les en cliquant sur Roll Dice :

    Notez le résultat de ce premier lancer de dés sur un morceau de papier. Dans l’exemple ci-dessous, vous obtenez ce nombre de cinq chiffres : 1 4 2 3 6.

    Répétez l’opération pour les cinq autres mots de votre phrase secrète en cliquant sur Roll Again.

    Disons que les résultats sont :

    1, 4, 2, 3, 6, 1, 5, 6, 5, 3, 5, 6, 3, 2, 5, 3, 5, 6, 1, 6, 6, 5, 2, 2, 4, 6, 4, 3, 1 et 6.

  • Écrivez les résultats sur un morceau de papier en groupes de cinq lancers :

    1 4 2 3 6
    1 5 6 5 3
    5 6 3 2 5
    3 5 6 1 6
    6 5 2 2 4
    6 4 3 1 6

  • Repérez dans la liste de mots Diceware les mots associés à chaque nombre :

    1 4 2 3 6 au
    1 5 6 5 3 bordes
    5 6 3 2 5 seuil
    3 5 6 1 6 juge
    6 5 2 2 4 verte
    6 4 3 1 6 union

  • Voilà, voici votre nouvelle phrase secrète : au bordes seuil juge verte union !

Facile, non ? Maintenant, allez-y ! Générez votre phrase secrète puis mettez à jour la sécurité de vos comptes ! 😛

Générateur de phrase secrète Diceware

Je viens de découvrir un site qui permet de générer automatiquement une phrase secrète Diceware : https://www.rempe.us/diceware/#french.

Il suffit de cliquer sur le bouton correspondant au nombre de mots que vous souhaitez utiliser dans votre phrase secrète (6 words, 7 words…), et le tour est joué !

Pratique non ? 😉

Dans le même style, vous avez également : https://passwordcreator.org/fr.html !

Remarque : même s’il n’y a aucune raison de ne pas avoir confiance en ce site, pour une sécurité maximale, je vous recommande tout de même de suivre les instructions que je vous ai écrites précédemment, pour générer un mot de passe Diceware manuellement.

Tester la force d’un mot de passe

Pour comparer le niveau de sécurité entre votre ancien et votre nouveau mot de passe, vous pouvez utiliser le testeur de mot de passe du site howsecureismypassword.net. Le site indique le temps que cela prendrait à un ordinateur pour trouver votre mot de passe.

Par exemple, voici la force de mon ancien mot de passe que je considérais comme sûr (c’était un mot de passe du type : crabDU#8+) :

Et voici la force de mon nouveau mot de passe grâce à la méthode Diceware :

C’est beaucoup mieux, vous ne trouvez pas ? 😉

Conseils sur les mots de passe

Avant de partir, suivez ces derniers conseils :

  • Si vous utilisez une phrase secrète pour le chiffrement de disques ou de fichiers, il est recommandé d’en garder une copie écrite dans un endroit sûr. Si vous ne le faites pas et que vous oubliez votre mot de passe, vos fichiers seraient perdus pour toujours.
  • Il est recommandé d’utiliser les phrases secrètes exactement telles qu’elles ont été générées. Ne remplacez pas un mot par un autre qui vous semble plus facile à mémoriser, recommencez depuis le début si c’est le cas.
  • Comme certains mots de la liste Diceware ont une longueur de seulement deux caractères, vous pouvez obtenir une phrase secrète très courte. Si votre phrase secrète, y compris les espaces entre les mots, comporte moins de 17 caractères, il est recommandé de recommencer et de créer une nouvelle phrase secrète.
  • Utilisez une phrase de passe distincte pour chacun de vos comptes.
  • N’utilisez pas de générateur de mot de passe qui vous fournira un mot de passe que vous n’allez jamais retenir.
  • Ne regroupez pas tous vos mots de passe sur le même morceau de papier. Utilisez plutôt un gestionnaire de mots de passe comme LastPass ou KeePass. Ce type de logiciel permet de stocker et de récupérer vos mots de passe de manière efficace et sécurisée.
  • Ne divulguez pas vos mots de passe, à qui que ce soit.
  • Au moment d’utiliser la méthode Diceware et pour une sécurité maximale, assurez-vous d’être seul et fermez les rideaux. Écrivez sur une surface dure – pas sur un bloc de papier. Après avoir mémorisé votre mot de passe, brûlez vos notes, pulvérisez les cendres et jetez-les dans les toilettes 🔥 💨 🚽

Si vous suivez toutes ces recommandations, je vous garantis que vos comptes seront plus sécurisés que 99% des utilisateurs et quasi-impossibles à pirater. 🙂

Liens utiles

75 utilisateurs actifs
Chargement en cours