Safe Web

L'utilisation de mots de passe forts est une étape cruciale dans la protection des données confidentielles. Malheureusement cet aspect est souvent négligé dans les mesures de sécurité adoptées par les utilisateurs.

En 2000, une étude de l'université de Cambridge mettait en évidence les mauvaises habitudes des usagers dans la création et la gestion de leurs mots de passe.

• Les mots de passe sont composés de noms communs faciles à mémoriser.
• Les mots de passe ont généralement moins de 8 caractères.
• Les mots de passe ne comprennent pas de caractères spéciaux.
• Les mots de passe ne sont pas changés régulièrement.
• Les mots de passe sont réutilisés autant que possible.

Depuis lors, la situation n'a guère évolué.
Mais comme le souligne la direction centrale de la sécurité des systèmes d'information française, la sécurité des mots de passe ne concerne pas seulement les utilisateurs.

01Lors de l'ouverture d'un compte sur Internet, les sites ne fournissent pas toujours des recommandations précises sur les règles à appliquer pour la création du mot de passe.

02Les administrateurs et les centres de support ne mettent pas toujours en place un contrôle de la qualité des mots de passe et un système fiable de récupération des mots de passe oubliés.

03Les concepteurs d'application n'intègrent pas forcément dans leurs programmes des systèmes de protection de données performants.

Il convient également de préciser que les déficiences observées dans la sécurité des mots de passe sont en partie imputables aux limitations de la mémoire humaine.

En théorie un bon mot de passe devrait être facile à mémoriser et difficile à découvrir.

Tout le monde s'accorde à dire qu'un mot de passe d'une longueur de huit caractères ou plus, constitué de minuscules, majuscules, caractères spéciaux et chiffres, sera bien plus difficile à trouver lors d'une attaque par force brute (attaque qui consiste à tester toutes les combinaisons possibles d'un mot de passe) qu'un mot de passe court.

La mémorisation du mot de passe a longtemps été considérée comme indispensable afin de ne pas laisser un témoignage écrit compromettant, sur une feuille de papier ou dans un fichier informatique.

Diverses techniques mnémotechniques ont été proposées pour composer et retenir des mots de passe.

Ces méthodes deviennent difficilement applicables quand il y a plusieurs mots de passe à mémoriser.
Or la tendance actuelle est à la multiplication des comptes sur Internet nécessitant chaque fois la création d'un nouveau mot de passe. Vouloir conserver un seul mot de passe pour la gestion de ces différents comptes est fortement déconseillé.

Inscrire tous les mots de passes sur une feuille de papier et la mettre dans un coffre n'est pas très pratique non plus.

De quelle manière faut-il alors procéder pour sauvegarder ces précieuses informations ?

Plusieurs solutions existent :

Les logiciels de gestion de mots de passe, installés de préférence sur un disque amovible, qui conservent toutes les informations confidentielles sous une forme cryptée.

La sauvegarde des mots de passe sur un disque dur mobile comportant un système de chiffrement (cryptographie).
En complément de l'accès traditionnel par mot de passe (le seul mot de passe à mémoriser!) ce disque comprend également une procédure d'authentification biométrique digitale (par empreinte digitale) .

Quoique plus onéreuses ces méthodes de protection apportent une sécurité supplémentaire, indispensable pour tous ceux qui ont des secrets d'état à protéger !

Références :

The memorability and security of passwords - some empirical results (2000)
Jianxin Yan, Alan Blackwell, Ross Anderson, Alasdair Grant
University of Cambridge Computer Laboratory

Encyclopedia of Cryptography and Security (2005)
Henk C.A. van Tilborg
Eindhoven University of Technology

Les mots de passe (2007)
Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques
S . G . D . N
Direction centrale de la sécurité des systèmes d'information

La sécurité de votre système informatique et la protection de vos enfants sur Internet vous concernent ? Nous vous invitons à nous contacter pour un diagnostic gratuit sans engagement.