Fiche réflexion : La gestion des mots de passe
Utiliser des mots de passe de qualité.
Le dictionnaire définit un mot de passe "comme une formule convenue destinée à se faire reconnaître comme ami, à se faire ouvrir un passage gardé". Le mot de passe informatique permet d’accéder à l’ordinateur et aux données qu’il contient. Il est donc essentiel de savoir choisir des mots de passe de qualité, c’est-à-dire difficiles à retrouver à l’aide d’outils automatisés, et difficiles à deviner par une tierce personne.
Les principaux risques liés au mot de passe sont sa divulgation et sa faiblesse.
La faiblesse d'un mot de passe constitue une faille sérieuse. Les techniques utilisées pour "découvrir" les mots de passe (craquage, ingénierie sociale) sont toujours efficaces lorsque ces derniers sont trop simplistes ou lorsqu'ils se rapportent à des éléments de la vie privée ou publique de la personne (prénom d'un enfant, marque de sa voiture, etc.).
Les mots de passe les plus utilisés sont :
- Les prénoms de vos proches
- Vos numéros de sécurité sociale, le numéro d’immatriculation de votre véhicule
- Votre numéro de département, de téléphone
- Votre date de naissance ou celle de vos proches
- Nom de votre animal de compagnie
Dans un système d’information, un mot de passe est souvent l’élément dont l’efficacité repose le plus sur l’utilisateur. Il est donc très important de savoir choisir plusieurs mots de passe dits forts, c’est-à-dire difficile à retrouver à l’aide d’outils automatisés, et difficile à deviner par une tierce personne.
Un bon mot de passe est avant tout un mot de passe fort
C’est-à-dire difficile à retrouver même à l’aide d’outils automatisés. La force d’un mot de passe dépend de sa longueur et du nombre de possibilités existantes pour chaque caractère le composant.
La politique académique des mots de passe
- Majuscules : ABCDEFGHIJKLMNOPQRSTUVWXYZ
- Minuscules : abcdefghijklmnopqrstuvwxyz
- Chiffres : 0123456789
- Spéciaux : ;:-_=\|//?^&!.@$£#*()%~<>{}[]
Pour être valable, votre mot de passe doit répondre aux critères suivants :
- minuscules : 1 au moins
- majuscules : 1 au moins
- chiffres : 1 au moins
- caracteres speciaux AUTORISES : 1 au moins
- longueur (en caracteres) : 12 au moins
Néanmoins, un bon mot de passe doit être facile à retenir pour rester fort. En effet, si un mot de passe est trop compliqué à retenir, l’utilisateur trouvera différentes astuces comme, par exemple, l’inscription du mot de passe sur un papier collé sur l’écran ou sous le clavier lui permettant de s’authentifier. Pour ne pas mettre en danger la sécurité du SI, il existe différents moyens mnémotechniques pour fabriquer et retenir des mots de passe forts.
Un mot de passe doit répondre à la politique académique des mots de passe. Il faut éviter les mots du dictionnaire, des noms propres (prénom, nom de famille, etc.).
- Utilisez un mot de passe unique pour chaque service. En particulier, l’utilisation d’un même mot de passe entre sa messagerie professionnelle et sa messagerie personnelle est impérativement à proscrire ;
- Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.) ;
- Ne demandez jamais à un tiers de générer pour vous un mot de passe ;
- Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent ;
- Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ;
- Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur internet), encore moins sur un papier facilement accessible ;
- Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;
- Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se "souviennent" pas des mots de passe choisis.
voir également nos recommandations pour l'identification et l'authentification
Les recommandations de la CNIL en matière de gestion des mots de passe et de l'utilisation de Keepass
