Robustesse des mots de passe

La SCSP Community (Seasoned Cyber Security Professionnals), une organisation d’entraide sur la cybersécurité a publié en Janvier 2020 une étude sur la robustesse des mots de passe en fonction de leur complexité et le temps qu’il faut pour les casser. Voici un récapitulatif de cette étude sous forme d’image. Ces données sont calculées pour un attaquant lambda cherchant à compromettre votre compte avec une attaque de type brute-force.

Il est assez intéressant de voir que plus le mot de passer sera complexe et long et plus il sera difficile d’en venir à bout. Attention toutefois cette étude ne couvre pas les attaques par dictionnaires qui visent a tester une liste de mots de passe populaires, ni les attaques qui tenteraient de recouvrer votre mot de passe à partir d’informations personnelles vous concernant.

Quoi qu’il en soit suivez les recommandations de l’ANSSI en termes de mots de passe :

  • Utilisez un mot de passe unique pour chaque service ;
  • Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, …) ;
  • Ne demandez jamais à un tiers de générer pour vous un mot de passe ;
  • Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent ;
  • Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ;
  • Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur Internet), encore moins sur un papier facilement accessible ;
  • Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;
  • Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.

La robustesse d’un mot de passe dépend en général d’abord de sa complexité, mais également de divers autres paramètres, expliqués en détail dans le document Recommandations de sécurité relatives aux mots de passe.

Si vous souhaitez une règle simple : choisissez des mots de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).

Deux méthodes pour choisir vos mots de passe :

  • La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ;
  • La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.

Vous pouvez également calculer la force de vos mots de passe via cet outil de l’ANSSI qui calculera sa force en fonction de sa complexité et vous indiquera a quel moment utiliser ce type de mot de passe.


Sources :

ANSSI : Mots de passe

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *