Normalement, il y a une problématique commune à tous les administrateurs-systèmes qui me lisent. La sécurité du système d’information qu’ils ont à leur charge et donc la qualité des mots de passe des utilisateurs.
Bien que les personnes qui me lisent habituellement aient toutes l’habitude de retenir (dans une certaine mesure) de vrai mot de passe aléatoire, ce n’est pas forcément le cas des utilisateurs que nous avons à charge. Aussi il faut arriver à rendre compatible mot de passe sécurisé et qui puisse être retenu par le commun des mortels.
Une technique plus ou moins acceptée aujourd’hui est de prendre deux ou trois mots, changer des lettres, les coller ensemble et considérer ça comme un bon compromis. Par exemple, à partir des mots souris et savant on peut faire un mot de passe comme cela : s@v1nt&$0urIs.
Bien que suffisamment sécurisé pour résister convenablement aux attaques dites de «force brute», ça n’en reste pas moins des mots du dictionnaire avec des remplacements de caractère qui ont un sens logique. Donc quelque chose de trouvable (toujours dans une certaine mesure) par un ordinateur.
Voici donc une autre méthode concernant la « génération » de mot de passe, elle n’a rien de personnel et est certainement connue par bon nombre d’entre vous, mais il n’est jamais mauvais de rappeler les bases.
L’idée est de partir non plus de simple mot, mais d’une phrase, mémorisable par l’utilisateur, et d’en dériver un mot de passe. Prenons par exemple le poème Spleen de Baudelaire (issu des Fleurs du Mal) et son premier vers :
Quand le ciel bas et lourd pèse comme un couvercle
Nous pouvons en tirer différents mots de passe :
- QlCb&LPk1@
- K1S_&@pCUC
- Qlc_&lpc1c
Plus ou moins complexe en lecture, mais résistant aux attaques de dictionnaire.
My 2 cents comme on dit :-)
Si vous avez d’autres techniques intéressantes, n’hésitez pas à en faire part dans les commentaires !
Note : Il s’avère que mon estimé collègue Guillaume Gete avait prévu de sortir un article du même type en même temps ! Je vous invite à le lire, la méthode de base est la même, il y rajoute cependant la notion de facilité de frappe du mot de passe.
Moi je prend un mot du dictionnaire que je peux retenir facilement genre Apple je remplace comme tu l’as dit en première partie : 4ppl3 et après je décale le tout sur mon clavier (ici vers la gauche car plus simple) ça devient donc 3ook2 et j’encadre de caractères spéciaux : *3ook2#
Pas mal non ? (inconvénient si on créé un mot de passe sur un clavier azerty on peut se retrouver comme un con devant un qwerty ^^ mais avec l’habitude ou se souvient du mot de passe final)
Bonjour, Jaime beaucoup vos méthodes à tous les deux. Well done, j’avais pas pensé à ça, JegnuX …
Cependant, en tant qu'(ex)administrateur réseau, je me posais une question:
Si on donne nos techniques en ligne, et donc accesible à tous … n’est il pas dès lors possible pour une personnes mal intentionnée de coder une application qui avec les details de création des mots de passe pourrait donc arrivé à « craquer » les notres ??
Mystère et boule de gomme …
Effectivement la méthode de JegnuX à le désavantage d’être « logique », il n’y a pas de sens donné aux éléments, donc éventuellement trouvable par une attaque par dictionnaire un peu évolué.
L’idée de partir d’une phrase et de la faire symboliser par l’utilisateur à le gros avantage de perdre toute logique mathématique.
Par exemple, regardez ce que donne la même méthode mais utilisé par Guillaume Gete http://blog.gete.net/2010/12/22/choisir-un-bon-mot-de-passe/
Créer un mot de passe fort est important, nous en convenons tous, mais il faut également le changer régulièrement. D’où l’intérêt d’avoir une méthode de création de mots de passe afin de ne pas se prendre la tête à chaque changement et finir avec quelque chose comme *toto!
Un mot de passe fort est un mot de passe long : http://xkcd.com/936/