Nous possédons tous de très nombreux mots de passe. En ces temps d’Hadopi et autres flicages,nous mettons de plus en plus de données en ligne, sans être alarmiste, il semble encore plus urgent d’adopter les bonnes pratiques en matière de mots de passe.

Un institut de sécurité a récemment analysé la liste des 32 millions de mots de passe qui a été dérobée lors d’un piratage d’un grand site américain (rockyou.com). Le constat fait froid dans le dos et laisse un joli avenir aux pirates.

Êtes-vous certains d’avoir pris le minimum de précaution ?

Les chiffres montrent qu’environ la moitié des personnes utilisent les mêmes (ou très proches) mots de passe pour tous sites web.

Il y a quelques années, un piratage semblable de Hotmail avait déjà démontré ces problèmes.

Avec une puissance de calcul croissante grâce aux nouveaux processeurs, les pirates utilisent de plus en plus la méthode « BRUT FORCE » qui consiste à essayer automatiquement un par un les mots de passe suivant un algorithme ou plus simplement un annuaire des mots de passe les plus utilisés.

Il est démontré qu’il ne faut que seulement 110 tentatives pour un pirate pour accéder à un nouveau compte ou seulement 17 minutes pour atteindre 1000 comptes avec les bons identifiants !

Environ 30 % des internautes ont choisi des mots de passe dont la longueur est égale ou inférieure à six caractères.

En outre, près de 60 % des utilisateurs ont choisi leurs mots de passe à partir d’un ensemble limité de caractères. (chiffres ou nombres)

Près de 50 % des utilisateurs d’utiliser des noms, des prénoms, des mots du dictionnaire ou des mots de passe triviaux (chiffres consécutifs, touches du clavier à côté et ainsi de suite).

 Un mot de passe doit contenir au moins huit caractères.

L’analyse a révélé que seulement la moitié des mots de passe contenait sept caractères ou moins. Pas moins de 30 % des utilisateurs ont choisi des mots de passe dont la longueur était égal ou inférieur à six caractères.

 S’il n’y a qu’une seule lettre ou un caractère spécial, il ne devrait pas être soit le premier ou dernier caractère dans le mot de passe.

Environ 40 % des personnes interrogées utilisent uniquement des caractères minuscules pour leurs mots de passe. 16 % utilisent des chiffres seulement. Moins de 4 % des utilisateurs d’utiliser des caractères spéciaux.

 Il devrait contenir un mélange de quatre différents types de caractères - lettres majuscules, minuscules, chiffres et caractères spéciaux tels que !@#$%^&*, ;"

Pensez à panacher majuscules et minuscules : A titre d’exemple « FrEeNeWs » est différent de « freenews » mais pour être mieux sécurisé : « Free@New$ » est largement conseillé.

 Il ne doit pas être un nom, un mot d’argot, ou n’importe quel mot dans le dictionnaire. Il ne devrait pas inclure n’importe quelle partie de votre nom ou votre adresse e-mail.

La quasi-totalité des 5000 mots de passe les plus populaires, qui sont utilisés par 20 % des utilisateurs, ont été justement des noms, des mots d’argot, des mots du dictionnaire ou des mots de passe triviaux (chiffres consécutifs, touches du clavier à côté, etc).

Le mot de passe le plus courant parmi les propriétaires de compte Rockyou.com était "123456". Le tableau suivant illustre les 20 premiers mots de passe commun dans la base de données :

 Choisissez un mot de passe différent pour les sites qui contiennent des données confidentielles. (Banque, Opérateur internet ou mobile, Facebook et autres)

Pour aider à se souvenir des mots de passe, une astuce simple : écrivez-les et mettez le papier dans votre portefeuille. Mais il suffit d’écrire la phrase - ou mieux encore - une allusion qui vous aidera à vous souvenir.

 Ne jamais transmettre vos mots de passe à quiconque. Votre banque, Free ou autres n’ont pas besoin de cela pour gérer votre compte !

 Restez vigilant face aux tentatives de phishing (si vous suivez Freenews vous connaissez forcement) et ne cliquez pas sur des liens contenus dans les mails. Retapez l’adresse de l’organisme directement dans votre navigateur, ils vous proposent des URL intelligentes simplifiant la saisie.

Les sites ont également leur rôle à jouer et des règles simples sont souvent ignorées : Forcer l’utilisation d’un mot de passe complexe, éviter de faire circuler les identifiants en clair en utilisant une session protégée HTTPS (Free n’est pas irréprochable de ce côté). Ne jamais stocker les mots de passe en clair dans les bases de données (si cela existe encore !)

Activer si nécessaire des systèmes Captcha et autres mécanismes bloquant ou freinant les attaques directes.

Pour beaucoup d’entre vous ces conseils sont connus mais rarement appliqués, alors c’est le moment de vous poser la question de votre mot de passe avant qu’il soit trop tard. Non ?

 La méthode Brut Force c’est quoi ?