Choisir les bons mots de passe

Que faire ?

Commençons plutôt par ce qu’il ne faut pas faire : utiliser un mot du dictionnaire, un nom propre de son entourage, des dates d’anniversaire (trop faciles à deviner), utiliser le même mot de passe sur différents services (si l’un d’entre eux était compromis, les autres tomberaient dans la foulée), écrire ses mots de passe sur un post-it, ou, pire encore, dans un fichier texte sur son ordinateur, donner son mot de passe à quelqu’un. D’abord, choisir des mots de passe compliqués : au moins huit caractères, en mélangeant majuscules, minuscules, chiffres et caractères spéciaux (&, : , ! , # …). Les services en ligne vous indiquent souvent la solidité du mot de passe choisi. Privilégier un mot de passe très robuste. Problème de mémoire ? De nombreuses astuces existent. Exemple avec celle fournie par Mozilla, l’éditeur du navigateur Firefox :

• Choisir une phrase mémorisable. Par exemple, convoquer son poète préféré : « Souvent pour s’amuser les hommes d’équipage/Prennent des albatros, vastes oiseaux des mers »  ;

• Prendre la première lettre de chaque mot et alterner majuscules et minuscules pour obtenir : SpAhÉ/pAvOm ;

• Ajouter des chiffres et des caractères spéciaux. Exemple : changer un « é » en « & », un « à » en « @ »… : SpAh&/p@vOm:1867 ;

• Utiliser un système de préfixes ou de suffixes pour décliner le mot de passe sur différents sites. Exemple : FB#SpAh&/p@vOm:1867  pour Facebook, et ainsi de suite. YT# pour Youtube, GM# pour Gmail, IG# pour Instagram, TW# pour Twitter…

Dernier point : ne pas autoriser son navigateur à enregistrer ses mots de passe. Si on choisit néanmoins de le faire, protéger son trousseau par un mot de passe différent qui déverrouillera tous les autres. Sur Firefox, c’est dans « Paramètres », « Sécurité » et cocher « Utiliser un mot de passe principal ».

Pourquoi ?

Les cas d’usurpation de compte ou d’identité sont légion, souvent en raison de l’imprudence des utilisateurs. Passons sur les mots de passe trop évidents. Barack Obama n’a-t-il pas été piraté avec les prénoms de ses filles ? Quant aux autres, les pirates utilisent des logiciels dits de « bruteforce », qui testent toutes les combinaisons possibles. Un mot trop simple ne tient pas trente secondes face à ce genre d’attaques. Multiplier le nombre et la variété des caractères permet de compliquer le travail de la machine. Le logiciel doit alors déployer une plus grosse puissance et surtout mouliner longtemps pour avoir une chance de casser le code, ce qui est souvent rédhibitoire pour les pirates, lesquels préféreront attaquer des maillons plus faibles.

Comment ?

• support.mozilla.org/fr/kb/creer-mots-passe-surs-proteger-identite, www.securite-informatique.gouv.fr/autoformations/motdepasse/co/MotsdePasse.html
• Après la découverte récente de la faille « Heartbleed », il est conseillé de changer tous ses mots de passe, et de le faire tous les six mois environ.