Guide OTT pour créer un mot de passe fort
C'est tellement courant maintenant que nous le faisons tous sans même y penser: créez un mot de passe d'au moins x caractères, comportant au moins un chiffre et un symbole et ne constituant ni votre prénom ni votre nom de famille. Que vous soyez au travail ou que vous créez un identifiant Apple, ces exigences de mot de passe pour un mot de passe «fort» sont omniprésentes..
Après avoir créé un nouveau mot de passe sur un site un jour, j'ai commencé à réfléchir à la différence entre toutes les exigences. Certains sites ne veulent que des mots de passe de moins de 3 caractères et certains en imposent un minimum de 8. Certains veulent des symboles, d'autres non. Certains se soucient de votre nom et de vos mots de passe précédents, d'autres non. Alors quel mot de passe est vraiment fort?
J'ai fait des recherches et découvert deux choses lorsque vous parlez de quelqu'un qui «déchiffre» votre mot de passe: premièrement, la force de votre mot de passe et deuxièmement, la force du cryptage qui hache le mot de passe en charabia lorsqu'il est stocké.
J'ai vite compris que le concept de mot de passe fort est très mathématique et de nombreuses études ont été réalisées sur ce sujet. Celui qui a retenu mon attention et que je mentionnerai dans ce billet provient d'une étude réalisée en 2011 par Carnegie-Mellon..
Testez votre mot de passe d'abord
Avant de définir ce qu'est un mot de passe fort, voyons combien de temps il faudrait pour déchiffrer votre mot de passe supposé fort. Pour vérifier cela, nous allons utiliser un outil sur le site PassFault:
https://passfault.appspot.com/password_strength.html
Voici comment ça fonctionne. Vous tapez votre mot de passe et cliquez sur Analyser. Il a deux options qui sont masquées par défaut, mais vous pouvez cliquer sur Afficher les options. Expliquons ce qu'ils veulent dire.
Cracking Hardware utilise par défaut un attaquant de 900 €, ce qui serait possible pour un pirate légitime. Ils ont également la possibilité de choisir un attaquant de mot de passe de 180 000 $, que les Chinois pourraient utiliser si cela leur coûtait cher. La liste déroulante Protection par mot de passe vous donne quelques options pour le type de cryptage utilisé pour stocker le mot de passe. Le système Microsoft Windows est le plus faible, sans surprise. Vous avez alors un point d’accès sans fil WPA, UNIX SHA1, UNIX Blowfish et 100 tours de SHA1..
J'ai essayé mon mot de passe fort que j'utilise sur quelques sites et j'ai été choqué de voir qu'il pourrait être déchiffré en 1 jour.!
Wow, c'est pas mal. Alors, j’ai choisi les options de cryptage plus puissantes (Unix Blowfish et 100 tours de SHA1) et j’étais plus heureux de voir que les résultats prendraient plus longtemps qu’une journée: 1 an et 7 mois pour Unix Blowfish et 2 mois et 2 jours avec 100 tours de SHA1. . Cependant, avec l'attaquant de mot de passe de 180 000 $, il est descendu à 11 jours et 3 jours, respectivement. Pas acceptable je pensais! Je veux que mon mot de passe prenne des années à craquer, même avec un pirate de mots de passe super coûteux. Mais quel est le meilleur moyen d’utiliser un mot de passe de 9 caractères avec des chiffres et un symbole??
Ce qui fait la force d'un mot de passe?
C’est là que l’étude Carnegie-Mellon a mis en lumière l’ensemble du problème. En gros, ils ont constaté que plus le mot de passe utilisé est long, plus il est puissant. Cela ne signifie pas nécessairement que le mot de passe long doit comporter beaucoup de symboles ou de chiffres, il doit simplement être long. À 16 caractères, tout ce que vous devez éviter est d'utiliser des mots du dictionnaire très faciles.
Pas convaincu que c'est possible? Sur le site PassFault, utilisez le mot de passe suivant, composé de 15 caractères et très facile à mémoriser:
ilovemywifealot
Ensuite, pour les options, choisissez l'attaquant avec un mot de passe de 180 000 $ et choisissez le cryptage le plus faible (Microsoft Windows). Voici ce que vous obtenez:
1 mois et 7 jours! C'est bien mieux que mon mot de passe étant fissuré en 1 jour. Alors, quel est le problème avec mon mot de passe? Apparemment, si votre mot de passe est plus court, vous devez utiliser plus de symboles, de lettres aléatoires et de chiffres pour le renforcer. Si c'est plus long, comme plus de 15 à 16 caractères, vous n'avez pas à vous inquiéter d'ajouter toutes sortes de chiffres et de symboles. Avec un mot de passe plus long, vous pouvez même utiliser plus de mots du dictionnaire et le système sera toujours très sécurisé. Évidemment un mot de passe comme Bonjour bonjour bonjour serait encore nul même s'il est composé de 15 personnages:
Ça craint parce que ça va être dans le dictionnaire et c'est le même mot trois fois. Dans mon premier mot de passe où je professe mon amour pour ma femme, la phrase commence rapidement à ressembler à du charabia pour un ordinateur et aucun dictionnaire de cracking n'a cette phrase de 15 caractères comme mot. Les dictionnaires ont des mots de dictionnaires. Aussi longtemps que vous éviterez les mots droits, vous pourrez continuer. Mon mot de passe aurait pu être encore meilleur si j'avais utilisé le nom ou le surnom de ma femme à la place du mot «femme». Avoir l'idée?
De toute évidence, si vous pouvez également insérer un nombre de symboles dans un mot de passe long, le mot de passe devient encore plus fort. Par exemple, supposons que je mette un point d’exclamation devant le mot de passe de ma femme et que j’ajoute un chiffre à la fin. Alors combien de temps faudrait-il pour craquer avec les mêmes options:
Sainte vache! Donc, il est passé de 1 mois et 7 jours à 4 siècles et 1 décennie! Ouais des siècles !! Maintenant, c'est un mot de passe sécurisé et ce n'est pas très difficile à retenir. Alors vérifiez votre mot de passe en utilisant cet outil en ligne gratuit et si votre mot de passe est déchiffré dans quelques jours, il est peut-être temps de penser à quelque chose de nouveau, en particulier pour vos informations sensibles comme les mots de passe bancaires, etc..
N'oubliez pas que beaucoup de ces sites en ligne sont piratés à tout moment, votre mot de passe n'est donc jamais protégé. Cependant, si vous utilisez un mot de passe vraiment puissant, même si le cryptage est très faible, il faudra une éternité à un super-ordinateur pour le déchiffrer! Si vous avez essayé votre mot de passe sur le site en lisant cet article, faites-nous savoir dans les commentaires combien de temps il faudrait pour le déchiffrer. Prendre plaisir!