CYBER-SÉCURITÉ – TU PEUX VOIR ICI SI LES HACKER CONNAISSENT TON MOT DE PASSE (Die Welt 12/08/2017 https://www.welt.de/kmpkt/article167596021/Hier-kannst-du-sehen-ob-Hacker-dein-Passwort-kennen.html?wtrid=socialmedia.socialflow….socialflow_twitter)

Certains le savent, d’autres l’ignorent : Il faut changer ses mots de passe régulièrement.

Un outil online répertoriant dans une base de données 300 millions de mots de passe ayant fuité met en évidence à quel point il est important de le faire.

Il est très vrai qu’il y a mieux pour briser la glace que de parler de cybersécurité lors d’un cocktail, et encore, c’est un doux euphémisme. C’est comme avoir à se laver les dents quand on est vraiment fatigué et qu’on veut aller se coucher. Très ennuyeux, et pourtant très important.

Nous ne répéterons donc pas la litanie consistant à dire que tu ne dois vraiment, mais vraiment pas utiliser de mots de passe qui soient ta date de naissance et ton nom. Ou que tu dois les changer vraiment, mais vraiment régulièrement. Nous savons tout cela. Au lieu de ça, nous voulons en passant attirer ton attention sur un intéressant outil de l’expert en sécurité Australien Troy Hunt.

Il offre la possibilité sur le site « Have I been pwned » de vérifier si nous sommes concernés par l’une des grandes fuites de données d’utilisateurs de ces dernières années (entre autres Myspace, LinkedIn, Adobe et Dropbox), en entrant son adresse électronique ou son nom d’utilisateur. L’outil compare simplement les données de connexion entrées avec celles contenues dans une base de données dans laquelle Hunt a rassemblé plus de 300 millions de données hackées.

Depuis peu, l’outil offre le même service pour les mots de passe. Tu peux entrer ton mot de passe, et lancer la vérification, voir s’il est dans la liste.

Avant même de vous donner le lien vers cet outil, un conseil important : Hunt lui-même avertit que cela peut être dangereux d’entrer son mot de passe dans des sites tiers où que ce soit sur internet, même sur le sien. Et cela, quand bien même l’expert qu’il est a naturellement pris des mesures de sécurité pour son site. Donc : la sécurité avant tout !

Cet outil est plus pensé comme la possibilité donnée à des gens qui ne se sont jamais préoccupés avant de modifier régulièrement leurs mots de passe, d’avoir la confirmation de manière indépendante qu’ils ne peuvent plus continuer à utiliser un ancien mot de passe.

Autrement dit : il ne faudrait pas que tu entres sur le site de Hunt un mot de passe tout nouveau, que tu utilises actuellement, et que tu penses être assez fort. Mais si ce mot de passe est déjà vieux, sur le point de devoir être changé ou quand tu as une idée pour un nouveau mot de passe et que tu veux la tester, alors là tu peux utiliser CE LIEN.

Tu as également la possibilité de télécharger depuis le site la liste de mots de passe hackés et de vérifier par toi-même si le tien en fait partie. Le fichier fait quand même 5Go et les mots de passe sont codés avec des clés que l’on appelle SHA-1[i]. Pour la vérification, il te faudra donc au préalable générer la clé SHA-1 pour ton mot de passe. Tu trouveras facilement de tels générateurs sur Google.

Quelle que soit la façon dont tu vérifies ton mot de passe, il faut te dire que si ton mot de passe ne fait pas partie des plus de 300 millions de mots de passe, cela ne veut pas dire qu’il ne peut pas l’être. A l’inverse, s’il y est, alors à changer immédiatement !

Maintenant, le message devrait d’une manière ou d’une autre être clair.

La sécurité du mot de passe n’est vraiment pas un sujet sexy, mais vraiment important.

Règle de base : Plus la construction de ton mot de passe est aléatoire et complexe, mieux c’est. Tu peux évaluer sur des sites comme CELUI-LA la facilité avec laquelle un ordinateur moderne pourra craquer ton mot de passe. Il est recommandé d’utiliser un gestionnaire de mots de passe, qui générera et administrera des suites aléatoires de chiffres pour les mots de passe. Et surtout, ne JAMAIS utiliser le même mot de passe pour de différents sites.

Bon, on arrête de vous énerver maintenant. Si tu as tenu jusqu’ici, alors merci beaucoup, entre-temps la glace n’a pas seulement été brisée, mais elle a complètement fondu de chez fondu. On peut maintenant boire un autre verre !

[i] https://fr.wikipedia.org/wiki/SHA-1


Maintenant, quelques conseils « maison » pour la construction de mots de passe.

Un peu pompeux, je ne suis pas expert en cybersécurité, mais je bosse dans l’informatique depuis bientôt 20 ans, la cybersécurité dans les grosses boîtes fait que j’ai des formations régulières dans ce domaine.

Alors, pour faire court :

  • Au moins 12 caractères.
  • Combinaison de lettres majuscules, minuscules, chiffres et caractères spéciaux (point, point d’exclamation, arobe @, etc).
  • Pas de données perso dedans (nom, prénom, date de naissance, prénoms des enfants, des animaux domestiques – en « pur », pas « codées » comme expliqué dessous -).

12 caractères, ça fait beaucoup ? on peut utiliser des « passphrases », exemple :

J’aime la binouse.

On sépare tous les mots par des points :

j.aime.la.binouse

Histoire de rendre ça plus complexe, on change les a par des @, les i par des 1, les o par des 0, les s par des 5 et les e par des 3 (sorte de E maj à l’envers) :

j.@1m3.la.b1n0u53.

Manque plus que les majuscules, où vous voulez, pas au début des mots puisque c’est la règle commune 😉 :

j.@1M3.LA.b1N0u53

Vérif de « cracabilité » sur how secure is my password :

Crac« Assez safe je dirais » 😏.

Oui, mais comment en retenir plusieurs aussi compliqués ?

Plusieurs solutions, l’une d’elle est d’utiliser la même « racine » (j.@1M3.LA.b1N0u53 ici) et ajouter une terminaison alternative, exemple avec des couleurs (bleu, rouge, vert) :

j.@1M3.LA.b1N0u53-bl3U

j.@1M3.LA.b1N0u53-r0uG3

j.@1M3.LA.b1N0u53-v3R7

La terminaison peut aussi être des noms d’animaux (« codés »), les noms des sites (« codés »), etc.

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s