Les recommandations ont été publiées en 2003 dans un document du National Institute of Standards and Technology, du département du Commerce américain. Maintes fois mis à jour, le guide stipule qu’un bon mot de passe devrait contenir au moins une lettre majuscule, une minuscule, un chiffre et un caractère spécial pour être sécuritaire. Il sert de référence à bon nombre d’experts dans le domaine de la sécurité informatique.
Or, M. Burr lui-même admet que ses recommandations étaient basées sur des connaissances sommaires et incomplètes et qu’il n’était pas un expert en sécurité lorsqu’il les a rédigées.
Comment créer un vrai bon mot de passe ?
Les journalistes spécialisés en cybersécurité du magazine web The Intercept recommandent l’utilisation d’une « phrase de passe » au lieu d’un mot de passe. Les phrases de passe sont constituées de plusieurs mots du dictionnaire placés les uns après les autres, sans nécessairement inclure de caractère spécial, de chiffre ou de lettre majuscule.
Par exemple, « arides comtes ses flou gardes » est une phrase de passe virtuellement impossible à deviner pour un pirate, malgré son allure simpliste. Plus la phrase contient de mots, moins elle sera faillible. On recommande d’utiliser au moins cinq mots, mais libre à vous d’en utiliser davantage.
Selon le sonneur d’alerte spécialisé dans la sécurité informatique Edward Snowden, une phrase de passe de 7 mots prendrait 27 millions d’années à découvrir à un pirate qui serait capable de tester 1000 milliards de combinaisons par seconde.
L’avantage des phrases de passe, c’est qu’elles sont faciles à retenir tout en étant extrêmement difficiles à découvrir. Toutefois, il ne suffit pas de choisir les premiers mots vous viennent à l’esprit pour que cette méthode fonctionne. Le secret de la sécurité des phrases de passe est l’entropie.
Le hasard au service de votre sécurité
Si vous n’êtes pas un expert en informatique, retenez seulement que l’entropie est une mesure du hasard et qu’un mot de passe est plus sécuritaire s’il est généré de façon aléatoire.
En effet, les pirates informatiques se servent habituellement de logiciels qui permettent de tester plusieurs milliers de mots de passe uniques par seconde, lorsqu’ils tentent de pénétrer de force dans un système sécurisé. Pour ce faire, ils se basent sur certains des mots les plus fréquents (des listes de mots du dictionnaire) et leurs permutations. Parmi les permutations les plus répandues, on trouve l’usage d’un point d’exclamation à la fin d’un mot commun ou le remplacement de certaines lettres par des chiffres similaires (les « O » par des zéros, par exemple).
Ces permutations, bien qu’elles augmentent légèrement le temps requis par un pirate pour les découvrir, n’améliorent pas la sécurité de façon significative puisqu’elles sont basées sur des comportements humains prévisibles.
La méthode des dés
Il en va de même du choix des mots pour une phrase de passe. Rien ne sert de choisir cinq mots si ceux-ci se retrouvent dans une citation célèbre ou une chanson d’un artiste populaire. Il est tout aussi inutile de choisir des mots qui s’enchaînent logiquement. Malheureusement, l’être humain n’est pas très doué pour générer du hasard. C’est pourquoi on recommande d’utiliser la méthode Diceware pour créer une phrase de passe.
La méthode Diceware consiste à utiliser un dé à six faces pour générer un code numérique associé à un mot dans la liste Diceware. Chaque mot de cette liste est associé à un code de 5 chiffres. En lançant un dé cinq fois pour chaque mot et en notant les chiffres obtenus, on peut créer un mot de passe à forte entropie qui sera pratiquement impossible à découvrir pour un pirate, mais qui restera facile à retenir.
La prochaine fois qu’un site web vous obligera à choisir un mot de passe contenant une majuscule, une minuscule, un chiffre et un caractère spécial, vous pourrez donc dire que vous en savez plus sur le sujet que celui qui a déterminé ces règles.
