Bien choisir ses mots de passes
Introduction : Dans ce tutoriel vous apprendrez comment choisir des mots de passes efficaces pour vous prévenir des attaques par force brute et dictionnaires basés sur la faiblesse des mots de passes.
Une célèbre devise dit :
Statistiques :
Sur ce tableau on voit que la difficulté à casser un mot de passe évolue de manière exponentielle en fonction sa taille ainsi que des caractères utilisés :
les chiffres expriment le nombre de mots de passes à tester.
charset |
3 caractères |
6 caractères |
9 caractères |
lettres minuscules |
17 576 |
308 915 776 |
5,4 × 10 exp(12) |
lettres minuscules et chiffres |
46 656 |
2 176 782 336 |
1,0 × 10 exp(14) |
minuscules, majuscules et chiffres |
238 328 |
5,6 × 10 exp(10) |
1,3 × 10 exp(16) |
Pour choisir son mot de passe il faut donc qu'il soit
aussi long que possible et qu'il intègre des
symboles.
Les idées reçues :
"Proscrivez les accents dans vos mots de passe"
Erreur monumentale, les accents régionnaux tels qu'on les connaît ne sont pas utilisés dans tous les pays, par exemple le é français n'est pas utilisé dans la langue Anglaise et comme les principaux acteurs de la cryptanalyse mondiale sont américains ils risquent de l'ignorer et donc on va se retrouver avec par exemple des rainbow tables de crack instantanées de 64 Go avec tous les symboles ("ù^$àç_,...) mais pas avec notre é et le cracker devra utiliser la rainbow table qui contient tous les caractères ASCII qui fera par exemple 1 To.
Donc
OUI utilisez les caractères régionnaux ! sauf si vous utilisez courrament des claviers de plusieurs pays.
"De nombreux services vous demandent, à l'occasion de l'ouverture du compte, de répondre à une question secrète de votre choix. Une question qui vous permettra de vous envoyer votre mot de passe (ou de modifier ce dernier) si vous l'avez perdu ou oublié."
La joie du pirate, Les questions sur les prénoms d'amis, parents, dates de mariage sont très faibles, des dicos sont faits spécialement pour :
voici deux types de dico qui se trouvent assez facilement :
Si le pirate connaît le dico qu'il devra utiliser alors là il y a du souci à se faire pour la sécurité de vos mots de passes.
Par contre la question secrète telle que le
numéro de la carte de bibliothèque, là c'est sûr.
Donc méfiance !
Générer des mots de passes :
tout d'abord téléchargez
password guru :
Télécharger password guru sur cezeo
Télécharger password guru sur brothersoft
Télécharger password guru sur softpicks
Télécharger password guru sur gtdownloads
Lancez le, la fenêtre ci dessous devrait s'afficher.
Les options :
-
a-z : génère des mots de passes avec toutes les lettres minuscules de l'alphabet.
-
A-Z : La même chose mais avec les lettres majuscules
-
0-9 : La même chose mais avec
0123456789
-
! @#%^&*()_-+=":;'</>~., : Les symboles spéciaux
-
Custom : Permet de choisir un charset personnel utile si on veut utiliser
éèà
-
Lenght : Longueur du mot de passe à générer.
- 1 : trop petit ! 1ms de crack
- 2 : encore trop petit ! 10 ms de crack
- 3 encore trop petit ! 1 s de crack maximum.
- 4 petit, 1 min de crack maximum.
- 5 la limite, la plupart des algorithmes de cryptage peuvent assez facilement brute
forcer un mot de passe de 5 caractères contrairement au 6.
-6 : Tout dépends de l'algorithme mais en général, le 6 est moyennement
résistant.
- 7 : Sur certains algorithmes, le 7 devient une longueur incrackable.
- 8 : Il devient très difficile de cracker un mot de passe de plus de 8 caractères.
- 9 : Un mot de passe de longueur 9 est crackable seulement sur les algorithmes
faibles ou avec un supercalculateur.
- 10: même chose.
- 11 : même chose.
- 12 : même chose.
- 13 : La barre symbolique du mot de passe résistant, un mot de passe de 14 est le
minimum de sécurité pour l'algorithme LM des comptes windows xp.
- 20 ou plus : Vous êtes paranos ? tant mieux, vous allez pouvoir vous faire plaisir.
- 255 : Vous devez avoir une bonne mémoire si vous choississez un mot de passe aussi long, c'est la limite de password guru.
Ne pas oublier son mot de passe :
Après avoir choisi un mot de passe incrackable ce serait bête de l'oublier, voici comment procéder pour ne jamais oublier ses mots de passes :
-Le noter quelque part juste après l'avoir choisi, on peut le mettre sur
téléphone portable,
bout de papier, que l'on gardera toujours sur soi.
-
Cacher un double dans un coffre sinon le mettre dans un objet que l'on ne soupçonnerait pas, pr exemple dans un vieux lecteur de cd, dans une disquette.
-Mettre tous ses mots de passes ensemble peut être une solution mais alors il faut
bien les cacher.