Mots de passe – Les bonnes pratiques

1 – LES MOTS DE PASSE – ENCORE UNE ÉVENTUELLE PORTE DES ENFERS

Une autre porte par laquelle les pirates auront vite fait de s’engouffrer dans vos affaires, est celle des mots de passe faibles.

Croyez-moi, les pirates disposent d’outils redoutables afin de décoder, déchiffrer vos mots de passe faibles.
Ils sont même capables d’injecter des malware (et autres virus) qui enregistrent vos actions sur le clavier de votre ordinateur.

De plus, il serait prétentieux de penser que vos mots de passe stockés sur de grandes plateformes, de grands sites internet, soient à l’abri d’être découverts…

Prenez Facebook par exemple, croyez-vous que parce qu’il s’agit d’un géant du Net, ils soient à l’abri de tentatives d’intrusions, de fuites et autres joyeusetés ? 
Que nenni. En 2019, une fuite aurait permis de rendre accessible une base de données qui contenait plusieurs centaines de millions (419) de données utilisateurs, dont des numéros de téléphone… champions du monde Facebook sur ce coup-là !
Voir cet article : https://www.iphon.fr/post/fuite-facebook-419-millions-numeros-telephone

Il en va de même pour plein d’autres organismes…

2 – UN SEUL MOT DE PASSE POUR PLUSIEURS COMPTES – UNE HÉRÉSIE !

En matière de mots de passe, la toute première hérésie, est d’attribuer le même mot de passe pour plusieurs comptes.

Imaginez un instant. Si un de vos mots de passe tombe, il y a fort à parier que d’autres suivront.

Il faut attribuer un mot de passe par compte… oui, je sais c’est du boulot, mais vous verrez plus tard comment remédier à cela.

3 – INVENTER DES MOTS DE PASSE « FORTS »

En préambule de ce chapitre, je vous invite à regarder la vidéo : https://www.youtube.com/watch?v=VCltQ_G-KA0
qui explique de façon très éducative, comment les mots de passe sont faciles ou difficiles à cracker.
Certains passages de cette vidéo seront réservés à des personnes maitrisant un peu l’outil informatique.
Mais dans l’ensemble, les graphiques et les chiffres donnés sont aisés à assimiler.
Avec cette vidéo, vous comprendrez aisément l’intérêt de créer des mots de passe Forts.

Une mauvaise habitude, est celle qui consiste à créer des mots de passe faibles, pour que l’on puisse les retenir facilement.

Par exemple : la date anniversaire du petit dernier, le nom de votre brave chien youcki, etc.
Et ne vous moquez pas, certains entrent encore des mots du genre : 123456789

STOP : Pratique à bannir !

Il faut inventer des mots de passe « forts ».

A – Qu’est-ce qu’un mot de passe fort ?

Selon les règles du RGPD (25/05/2018), il faudrait qu’un mot de passe contienne au moins 12 caractères (cas commun).
Voir cet article : https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires

Perso, je ne vois pas pourquoi on se priverait d’en mettre plus, 15 par exemple, me semble une sécurisation suffisante, d’autant plus que la CNIL et les autres organismes de recommandation seront peut-être amenés à changer leur fusil d’épaule dans le futur, donc autant de suite prendre de l’avance.

En tous les cas, un mot de passe ne doit JAMAIS être composé de mots du dictionnaire.
Ainsi, les mot de passe suivants : motdepasseamoiquejai, ou dateannivdupetitdernier, ou encore codepouraccederamoncompte, etc., sont composés de mots du dictionnaire… un Bot de crack (logiciel) de mots de passe arrivera facilement à les recomposer.

B – Oui, mais kommenkonfait ?

Comme dit plus haut, il faut éviter les mots de passe qui se retiennent facilement, et écrire des mots de passe totalement incompréhensibles.

Pour ce faire, on pourra utiliser TOUS les caractères de la table ASCII (voir la table via cet article Wikipedia).

Nb : Ce qui écarte les lettres accentuées (les lettres « mortes ») de notre alphabet issu du Latin (à, é, è, ù)

a – Une de mes méthodes préférées, et de mettre les coudes sur mon clavier, de voir ce qu’il se passe, et de rajouter des majuscules, des caractères de ponctuation…
Ce qui pourra par exemple donner ceci : So8Kg#gkl&m§b3@B

b – Une autre méthode consiste à utiliser les mots de passe forts proposés par certains sites, lors d’une inscription.
Il faut noter que ces mots sont donnés de façon aléatoire, et que le site en question n’a aucun moyen de se souvenir d’un mot de passe donné.

Là, il serait étonnant qu’un Bot de reconnaissance de mots de passe le retrouve en peu de temps…

4 – LA DOUBLE AUTHENTIFICATION

Kézaco ?

Authentification à deux facteurs (AF2).
En gros, lorsque vous vous identifiez sur un compte, un site, il vous est demandé de confirmer selon un moyen que vous aurez préalablement choisi. 
Ce peut être par un envoi de code de confirmation, un SMS, etc.
Voir cet article : https://fr.wikipedia.org/wiki/Double_authentification

Alors qu’elle aurait dû s’appliquer en septembre 2019, la directive européenne DSP2 obligeant à sécuriser les paiements en ligne par une authentification renforcée (double authentification), ne sera pas rendue obligatoire avant 2022 en France. 
Il ne reste donc que peu de temps aux banques et aux sites d’e-commerce afin d’adapter leurs dispositifs techniques.

Donc, autant s’y habituer de suite.

5 – SE SOUVENIR DE TOUS SES MOTS DE PASSE

J’entends déjà certains dire : « Oui, mais comment va t-on se souvenir de tous ces mots de passe ? »
Pas de panique, voici quelques méthodes.

Nb : Une méthode à bannir, serait de les noter sur un petit carnet… ça se perd les petits carnets…

Méthode 1 – Une feuille Excel ou Numbers
Si vous possédez un tableur, comme Excel sur PC ou Mac, ou Numbers (gratuit) sur Mac, il vous suffira de créer un tableau avec des colonnes du style :

Il ne s’agit ici que d’un exemple, et l’agencement final de cette feuille est à faire selon vos goûts et vos besoins.
Vous pourrez même ajouter une colonne reprenant le lien Url de l’accès au compte souhaité. Ex : https://www.monespaceclient.com/client 

L’astuce consistera ensuite à enregistrer ce classeur en lui attribuant un mot de passe.
Là, le mot de passe pourra être un peu plus facile à retenir, et il sera le seul qu’il vous faudra retenir afin d’arriver à TOUS vos mots de passe… pas bête non ?

Avec Excel, il suffit de demander à « Enregistrer sous », et de cliquer sur le bouton « Options », afin de définir un mot de passe.

Avec Numbers (gratuit chez Apple), il suffit de cliquer sur « Définir un mot de passe » dans le menu « Fichier », et de définir votre mot de passe.

Méthode 2 – Un coffre fort digital de mots de passe 

Il s’agit de logiciels, qui retiennent pour vous tous vos mots de passe.
Là encore, un seul mot de passe sera à retenir afin d’accéder aux autres.

Il est à noter qu’il s’agit souvent de logiciels payants, et cela est préférable, afin de vous garantir une sécurisation maximum.

Une solution que je recommande est 1Password (voir ici : https://1password.com/fr/)
Solution familiale et/ou professionnelle (Mac, PC, IOS, etc.)

Quelques infos concernant 1Password

• 1Password est en abonnement payant mensuel/annuel
• 1Password peut inventer pour vos vos mots de passe forts. 
• 1Password peut se connecter ou non au Cloud, afin de synchroniser vos mots de passe entre vos différents appareils.
• Permet d’enregistrer des pièces justificatives (permis de conduire, carte d’identité, etc.)
• On peut adjoindre des extensions aux navigateurs web (Chrome, Opéra Firefox, etc.) afin de mieux gérer les identifiants et mots de passe d’accès à certains de vos comptes de sites internet.
• Plusieurs formules tarifaires proposées
• Possibilité de tester gratuitement le logiciel durant 14 jours.
• Etc.

Voici ci-dessous, une vidéo Tuto sur youtube qui traite de 1Password.
Il y est dit que le suivi n’est plus assuré.. Si si, pas d’inquiétude sur ce sujet…
Par contre oui, le modèle économique est désormais celui d’un abonnement « type 365 » (mensuel/annuel) payant. 

Bien m’en a pris de demander l’autorisation (en vertu du code de la Propriété Intellectuelle) à l’auteur de cette capsule « Atatal 333 », afin de pouvoir l’utiliser pour cet article, car il m’a parlé d’un autre logiciel qu’il utilisait désormais, et qui avait l’avantage d’être gratuit (avec options payantes). 
Il s’agit du logiciel EnPass : https://www.enpass.io/
L’auteur de ce Screencast vidéo sur Youtube, m’a signalé qu’il ferait prochainement un Tuto sur ce logiciel EnPass.

J’attends avec impatience ce tuto…

6 – MES CONSEILS IMMÉDIATS

• Attribuez un mot de passe par compte (et ce, surtout pour les réseaux sociaux)
• Changez de suite vos mots de passe (et ce, surtout pour les réseaux sociaux). Oui, c’est du boulot, mais il sera payant. Sinon, il ne faudra pas vous plaindre lors d’une attaque éventuelle.
• Changez de temps en temps vos mots de passe (et ce, surtout pour les réseaux sociaux, serveurs de mails, etc.)
• Enregistrez vos mots de passe à l’aide d’une des méthodes décrites plus haut
• Tenez-vous au courant des incidents qui affectent le monde de l’internet (et ce, surtout pour les réseaux sociaux)
  
   

CONCLUSION

Avec les conseils concernant les bonnes pratiques des emails, et ceux concernant les mots de passe, vous devriez pouvoir surfer l’esprit plus tranquille…

Cordialement, à la prochaine… nous parlerons de : HTTP ou HTTPS – Surfez en sécurité
Si vous souhaitez voir développer un sujet, faites le moi savoir…

Ces informations et bien d’autres, développées plus avant ou différemment, en lisant cet article :
https://www.pictopagina.com/mots-de-passe-les-bonnes-pratiques/