Les mots de passe
Comment avoir des mots de passe fiables.
Un bon mot de passe doit être :
- Difficile à trouver
- Facile à se rappeler
Il faut éviter que le mot de passe soit facilement accessible à quelqu’un d’extérieur même vous connaissant un peu. Par accessible on entend :
- Physiquement (post-It sur l’écran, fichier simple, etc.) : l’endroit de stockage, s’il existe, n’est pas à la portée d’autres que vous (l’idéal étant votre mémoire)
- Sa construction n’est pas triviale (comme "AZERTY", "01234", un prénom proche, etc.)
- Et, bien sur, il ne doit pas être divulgué.
Un bon mot de passe doit pouvoir être conservé en mémoire sans avoir à être écrit et sans risquer d’être oublié au moment où il doit être utilisé. Le mot de passe doit être le résultat d’un exercice mnémotechnique car les humains mémorisent plus facilement les informations complexes lorsqu’elles suivent une construction logique.
En 2003, Bill Burr conseillait dans une annexe d’un document publié par le National Institute of Standards and Technology (agence américaine notamment chargée de développer des normes technologiques) de créer un mot de passe contenant majuscules, minuscules, chiffres et signes de ponctuation et d’en changer régulièrement (tous les 90 jours).
« Je regrette une grande partie de ce que j’ai écrit », a déclaré, en 2017, Bill Burr à la retraite.
En juin 2017, le document a donc été entièrement réécrit par Paul Grassi, expert en sécurité pour le NIST, qui tempère les reproches que se fait le retraité. « Il a tout de même rédigé un document qui a duré 10 à 15 ans. J’espère pouvoir en faire autant. »
Désormais, le NIST conseille d’utiliser une longue phrase facile à retenir. Il préconise de ne changer de mot de passe que s’il y a un signe qu’il a pu être corrompu, et non plus tous les 90 jours.
Le mot de passe doit avoir une utilisation unique (un par utilisation). Les plus sensibles doivent être renouvelés de temps en temps.
Tout ça est très compliqué à gérer. C’est même infaisable sans assistance si on veut tout respecter. Heureusement il est possible de se faire aider par un gestionnaire de mot de passe (voir l’article ci-après).
En savoir plus :
----- ----- ----- ----- ----- -----
Auteur(s) : Christian -
Date de dernière modification : 13 avril 2022