Créer un mot de passe efficace ? La solution est dans votre cerveau. 12

Avoir un seul mot de passe pour accéder à tous ses sites est dangereux. Une méthode pour avoir autant de mots de passe que de comptes, et n’en retenir qu’un seul : mettez la clé dans votre cerveau grâce à un mécanisme intellectuel simple : l’algorithme.

La « faille Heartbleed » fait frissonner de terreur toute la toile. Cette faille fragilise les nombreux sites qui utilisent OpenSSL (une sorte de boîte à outil pour chiffrer les données). Potentiellement, comme l’explique FranceTVInfo, « certaines de vos données sensibles, comme vos mots de passe, ont pu être compromises ». Ce nouvel épisode montre de nouveau que même les géants du net ne peuvent nous garantir une sécurité parfaite.

Il nous faut donc changer nos mots de passe. Le changement de votre mot de passe, aussi efficace soit-il, ne vous éloigne pas du risque énorme de ne posséder qu’un seul et unique mot de passe pour accéder aux différents services du web : un de vos comptes piraté et c’est la totalité de votre vie numérique qui ouvre ses portes aux vilains hackers.

Problème : difficile de se souvenir de chaque mot de passe si vous possédez plusieurs dizaines de comptes sur internet. Des services existent, sur le net et sur les smartphones pour stocker vos mots de passe. Je vous déconseille de les utiliser. Ils ne font que reporter le problème, et d’une certaine façon, augmentent le risque dans la mesure où ils rassemblent en un seul lieu la totalité de vos clés numériques.

Une clé pour chaque placard, voilà donc une solution  – qui à défaut d’être idéale – est tout de même beaucoup plus sûre : l’algorithme dans la tête.

Une seule « formule » à retenir et à appliquer à chacun des sites, pour obtenir un seul mot de passe unique et différent à chaque fois.

Exemple 1 (simple, mais c’est pour comprendre ) : prenez les 3 premières lettre du service que vous utilisez et écrivez-les avec la deuxième lettre en majuscule. Faites suivre de votre année de naissance et d’un signe kabbalistique (& »é@#). Admettons que je sois né en 1971 et que je choisisse le signe & (esperluette, quel joli nom) pour rendre mon mot de passe un peu compliqué, cela donnerai :

  • Pour Gmail : gMa1971&
  • Pour Facebook : fAc1971&

Exemple 2 : prendre les 4 premières lettres du site concerné, la première en majuscule, et faire suivre chacune de ces lettres par une série de chiffre que vous pouvez retenir (disons 1,9,6 et 8 si vous êtes né en 1968) et un signe kabbalistique (& »é@#) à la fin

  • Avec Gmail, ça donne : G1m9a6i8#
  • Pour Facebook, ça donne : F1a9c6eb8#

Inutile de retenir le mot de passe, vous n’aurez qu’à retenir le processus (l’algorithme) et votre année de naissance.

Vous pouvez également adjoindre des préfixes ou des suffixes, pour rallonger les mots de passe car beaucoup de sites n’acceptent pas des mots de passe inférieurs à 8 caractères.A vous de faire appel à votre imagination pour trouver la combinaison facile à retenir.

Rappelons qu’un mot de passe est plus « fort », c’est à dire plus difficile à violer par des méthodes informatiques automatisées, s’il contient des caractères spéciaux (&@!ù$€), ainsi que des minuscules et des majuscules. Je renvoie à ce sujet sur cet article du Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques Informatiques, le CERTA.

( Mise à jour d’un article de 2010)

 

Auteur du billet : 

J'accompagne les entreprises dans leur communication sur les médias et réseaux sociaux : stratégies de contenu et d'animation, community management, formation, conférences. Je suis basé à Rennes, en Bretagne.

  • http://www.henrikaufman.typepad.com/ henri kaufman

    Excellent… mais un peu long au niveau de la réflexion…
    Henri

  • http://www.henrikaufman.typepad.com henri kaufman

    Excellent… mais un peu long au niveau de la réflexion…
    Henri

  • Cricriyom from paris

    Ah ben ! Je n’y avais pas pensé, mais c’est effectivement très bien !
    Sauf si la longueur du mot de passe d’un des sites est inférieure à mettons … 8 caractères.

  • Cricriyom from paris

    Ah ben ! Je n’y avais pas pensé, mais c’est effectivement très bien !
    Sauf si la longueur du mot de passe d’un des sites est inférieure à mettons … 8 caractères.

  • robin

    J’utilise cette méthode, mais la galère c’est quand un site n’accepte que 6 caractères par exemple, alors que notre algorithme en prévoit plus…

  • Martin

    C’est une méthode dangereuse, car connaître un seul de ces mots de passes permet de deviner les autres. Mieux vaut utiliser des mots de passes totalement aléatoires, donc totalement déliés de l’individu qui les utilise, et totalement imprévisibles.

    Comment s’en souvenir alors ? Mauvaise approche : il ne faut pas s’en souvenir du tout. Il faut utiliser un gestionnaire de mots de passes (ou gestionnaire d’accès), tel celui d’OS X (Keychain), ou l’un des logiciels ou services multi-plateformes dédiés comme le sont LastPass, 1Password, Dashlane et autres KeePass, pour n’en citer que quelques uns.

    Plus simplement, peut-être, ou pas, on peut utiliser le gestionnaire d’accès intégré au navigateur Internet. Chrome et Firefox (Firefox Sync) proposent un gestionnaire d’accès intégré, partageable sur plusieurs machines et plusieurs plateformes, gratuitement, sans aucune installation de logiciel ou extension supplémentaires.

    • lionelmyszka

      Il me paraît plus dangereux d’avoir un mot de passe qui ouvre un seul coffre (LastPass, 1Password, etc.) dans lequel se trouvent tous les mots de passe. Si celui-ci est découvert… c’est champagne pour le visiteur !

      Il me semble par ailleurs totalement improbable de pouvoir deviner à partir d’un seul mot de passe découvert, l’algorithme utilisé par la personne.

      Par exemple, Martin, si je vous dis que mon mot de passe pour Gmail est : Ré5aG&1971 qu’est-ce que vous allez pouvoir en déduire ?

      En admettant que vous tombiez (avec beaucoup de chance) aussi sur mon mot de passe Facebook, qui avec le même algorithme est : Bl8cF&1971

      et que par un hasard vraiment extraordinaire vous tombiez aussi sur mon mot de passe Evernote qui est : Gr8eE&1971

      … je doute que vous puissiez recomposer l’algorithme. Vous allez en déduire que je suis né en 1971 et vous n’aurez pas tord. Mais c’est à peu près tout.

      Si toutefois vous trouvez l’algorithme derrière ces 3 mots de passe, je ferai amende honorable avant de supprimer l’article :)

      (PS : pour les petits malins qui essayeraient de rentrer sur mes comptes, ce n’est pas l’algorithme que j’utilise actuellement, je viens juste de l’inventer :))

      • Laurent

        Bonjour,

        Sympa comme jeu -)))

        Il me manque les 2 premières:
        1.
        2.
        3. Nombre de lettre de l’application (Facebook(8) – Gmail (5) – Evernote (8))
        4. 3 ème lettre de l’application (Facebook(c) – Gmail (a) – Evernote (e))
        5. 1 ère lettre de l’application (Facebook(F) – Gmail (G) – Evernote (E))
        6. ==> Caractère &
        7. 8. 9. 10. ==> Année de naissance

  • Pingback: Internet (&Fbk, G+, Pearltrees etc) | Pearltrees()

  • Pingback: Informatique | Pearltrees()

  • Tourendelire

    Bonjour. J’utilise RoboForm sur clef USB.
    Il faut entrer un code de base pour accéder à l’ensemble des comptes qui sont eux-même protégés par des mots de passe que l’on peut générer avec le soft intégré.
    Personnellement j’en suis très satisfait/e. C’est lui qui remplit les formulaires d’accès des différents sites sur lesquels je suis inscrit/e.
    Je n’ai encore jamais eu de problème avec RoboForm… Je touche du bois… ;-)
    En revanche la version pour Androïd est très différente et je ne comprends pas l’interface en anglais qui plus est. Je le déplore et du coup j’utilise Dashlane pour Androïd. C’est une sorte de redondance non synchronisable.
    Pas cool, ça complique tout, ça l’est pourtant pas mal déjà si on considère la quantité phénoménale de sites et de forums auxquels il faut s’inscrire pour obtenir trois fois rien. La gratuité se paye avec nos infos perso, ne serait-ce que notre E-mail.
    A part ça, mon choix de RoboForm vous semble-t-il être un bon choix ?

    • lionelmyszka

      Bonjour, je serais bien en peine de vous dire si c’est un bon choix ou pas, je ne suis pas un spécialiste de la question : )
      Merci de votre témoignage.