Servant de clés d'accès à des systèmes, site web, réseaux et applications, les mots de passe garantissent la sécurité et permettent l'authentification des utilisateurs. Un bon mot de passe est un code unique qui protège, du mieux possible des tentatives de piratage. C'est pour cela qu'avec la recrudescence du hacking s'accroissant de nos jours, le choix d'un bon mot de passe devient une chose d'une importance capitale. Mais pourtant, trouver "le bon" reste chose à désirer, car il faut avant tout comprendre comment ça marche.
Le piratage des mots de passe se fait par deux types de techniques principalement: en dévinant mentalement (méthode souvent utilisée par nos proches principalement) et par les attaques par force brute (en anglais: Brute force) et par dictionnaire (des méthodes de cryptanalyse utilisées par les informaticiens "hackeurs") que nous présenterons dans la suite de cet article.
Veuillez noter que les informations partagées dans cet article, y sont à titre informationnel, pour vous tenir au courant des danger et vous aider à vous en prévenir, et non pour vous emmener à les utiliser illégalement. Je ne me porte pas responsable de toute utilisation illégale de ces informations.
Merci d'avance de me suivre attentivement et de supporter la longueur de l'article afin que vous compreniez, du mieux, de quoi il s'agit.
I- Un bon mot de passe non devinable:
Deviner un mot de passe est une idée qui nous est sûrement tous déjà passée à l'esprit. Et, une (1) personne sur trois (3) peut témoigner avoir déjà trouvé au moins un mot de passe par devinade. Ainsi, pour contrer cette technique de piratage de mot de passe, il nous faut savoir comment cela fonctionne.
Ayant moi-même été un grand devineur (je l'avoue 😅), je peux vous assurer que pour deviner un mot de passe, les éléments mis en analyse par un devineur sont la plupart du temps: le(s) noms(s) et/ou prénom(s), l'année de naissance, le numéro de téléphone, le pseudonyme de la victime, les noms et/ou prénoms les années de naissance, les numéros de téléphone, les pseudonymes des proches de la victime (conjoint, père, mère, ...). Ou, selon la personnalité de ce dernier, plusieurs éléments peuvent servir d'indices en faveur du devineur qui vit avec.
De ce fait, un bon mot de passe non devinable doit être un code qui se délie entièrement de notre personnalité connue par nos proches mais qui se lie intimement à nous, afin de ne pas l'oublier.
C'est une réponse abstraite, vous dites? Concrétisons cela par un exemple.
Supposons que celles-ci soient mes informations personnelles:
Supposons que celles-ci soient mes informations personnelles:
Nom et prénoms: John Rock MATONDO
Date de naissance: 03 Février 2017
Pseudonyme connu: MatosPI
Teléphone: 060000001
Conjointe: Fels REHCOR (que j'aime vous aimez tellement 💓)
Mon entreprise: JohnClub242
L'utilisation des mots de passe à l'image de celles qui suivent ne sera pas sécurisante: matondo, matospi, 060000001, matondo0600000001, matondo17, matondo2017, johnrock, johnrock17, john2017, jrm2017, 03022017, matospi2017, jrmatospi, johnclub242, matospijohnclub242, matondojr2017, matondojr03022017, johnr17, matondo2017, felsetmoi, johnetfels, myrehcor, felsmoncoeur, jrm060000001, matospi060000001, matospi060000001, johnclub242matondo, johnclub242jrm, jrmmatospi, ...
Y avez-vous retrouvé votre format de mot de passe?
Si oui, cela signifie que si j'étais un de ces devineurs dont vous pouvez être une victime, je vous aurais eu à la seconde même. Merci de le signifier dans les commentaires!
Voyez-vous maintenant pourquoi ai-je dit qu'un bon mot de passe non piratable par cette technique est celle qui se délie de votre personnalité connue par vos proches?
Et, quelqu'un qui a pour but de vous pirater, peut passer plus de temps que moi à tenter de deviner votre mot de passe en essayant autant de combinaisons que possibles se liant à ce qu'il connait de vous.
Dès maintenant, connaissant comment fonctionne cette méthode, nous pouvons déjà juger si nous en sommes à l'abri, et nous protéger de plus bel contre ces pirates devineurs.
Vous voulez d'un exemple de mot de passe sécurisant dans ce cas là? Allons, allons, soyez patient et vous verrez pourquoi ne l'ai-je pas fait.
Comment fonctionne t-elle?
Si le mot de passe contient N caractères, indépendants (la présence d'un caractère ne va pas influencer un autre) et uniformément distribués (aucun caractère n'est privilégié), le nombre maximum d'essais ou de combinaisons nécessaires se monte alors à :
Notez qu'un ordinateur personnel (PC) est capable de tester plusieurs centaines de milliers voire quelques millions de mots de passe simples par seconde. Cela dépend de l'algorithme utilisé pour la protection mais on voit qu'un mot de passe de seulement 6 caractères, eux-mêmes provenant d'un ensemble de 62 symboles (minuscules et majuscules accompagnés de chiffres), ne tiendrait pas très longtemps face à une telle attaque.
Avez-vous peur maintenant?? Mais non, vous n'avez pas besoin d'avoir peur! N'avez-vous pas remarqué que depuis le début au sujet de cette attaque, je parle de minuscules, majuscules et chiffres, sans parler de caractères spéciaux (é,è,%,!,*,=,à,_,ê,",&, ...) ? Voilà! Ne me dites pas que vous aviez oublié les caractères spéciaux!
C'est bien là, la faille de cette puissante technique. Elle ne prend pas en compte les caractères spéciaux. Veuillez aussi le noter.
Qu'en est-il de la seconde?
Celle-ci est une méthode souvent utilisée en complément de l'attaque par force brute qui teste exhaustivement les différentes possibilités de mots de passe. Cette dernière est particulièrement efficace pour des mots de passe n'excédant pas 5 ou 6 caractères.
Ici, nous comprenons que pour contrer cette technique, notre mot de passe doit éviter de ne faire usage que des mots du dictionnaire.
L'utilisation de ces deux attaques ensemble a pour effet de renforcer la faille de la première, car au niveau du dictionnaire, il existe des mots utilisant des caractères spéciaux. Et ce, partiellement.
Pourquoi partiellement? Parce que tous les caractères spéciaux ne sont pas inclus dans le dictionnaire. Des caractères spéciaux tels que: @,#, ²,\,+,*, ...
Voyez-vous maintenant pourquoi je n'avais pas voulu proposer de mot de passe plus haut? Eh oui! Pour votre bien, je ne pouvais aucunement prendre ce risque.
Connaissant le principe de ces attaques, nous comprenons qu' un bon mot de passe qui met en difficulté ces attaques (du point de vue du temps de calcul) ou qui ne peut être piraté par elles est celui qui est composé d'assez de caractères (au moins 10) de types différents incluant des caractères spéciaux.
Enfin, à titre d'exemple, pour concrétiser les théories précédentes, en prenant compte des deux techniques, nous aurons comme mots de passe fiables, dignes du qualificatif "bon", ceux des formats: JC242_succèsEtj'aimeFels, 03022017_MatOspi_Et_FeLs_060000001, Jr_M@toSpi-2017, JoHn^Rock_m@tOspi, 2017_jrm-Et-fEls_amour^-^, ...
Ou tout simplement: mOn_mOt-dE~P@sseCompliqué, 20johN;rocK;Matondo17, JOHN,rock,m@tondo ,...
Comme exemple plus concret, voici à quoi ressemble mon mot de passe Facebook: jrmd’$ion’dJCpceTfDjmm$&EzAfA (J'y raconte toute une histoire 😅)
Quoi, ça vous fait peur? Mais non! Vous devez plutôt vous en réjouir! Puisque avec des mots de passe aussi complexes, vous êtes, du point de vue sécurité, coriace. Car ils ne peuvent ni être devinés mentalement, ni être devinés par une machine.
Comme plus d'astuce, vous pouvez aussi former ce que les experts appellent par phrase de passe, plutôt qu'un mot de passe. (très ironique! 😅 ). Elles sont complexes, mais plus faciles à retenir. Telles que: J'aimeMaConjointeFelsDeToutMonCoeur!17 , MonMotDePasseEstAussiLongPourEmmerderLesCons!17 . Intéressant, n'est-ce pas?
En somme, nous comprenons que face à n'importe quelle technique de piratage, les mots de passe comportant des minuscules, majuscules, chiffres et caractères spéciaux , avec aux moins 10 caractères, restent les plus sûres. Il faudrait au moins 66 ans à une machine spécialisée pour casser un mot de passe de cette longueur et de ce type. J'ai même été gentil sur le nombre d'années 😏.
Si vous avez des questions, des avis, besoin de précision ou vous voulez que je vous propose un mot de passe efficace, merci de me le signifier dans les commentaires!
Aussi, à votre demande, je partagerai des outils permettant le teste des mots de passe.
Prochainement, je vous parlerai de combien de mots de passe avoir pour sa sécurité?
Article désormais disponible: Combien de mots de passe avoir pour sa sécurité?
Vous pouvez aussi lire: Supprimer un message whatsapp envoyé par erreur
Y avez-vous retrouvé votre format de mot de passe?
Si oui, cela signifie que si j'étais un de ces devineurs dont vous pouvez être une victime, je vous aurais eu à la seconde même. Merci de le signifier dans les commentaires!
Voyez-vous maintenant pourquoi ai-je dit qu'un bon mot de passe non piratable par cette technique est celle qui se délie de votre personnalité connue par vos proches?
Et, quelqu'un qui a pour but de vous pirater, peut passer plus de temps que moi à tenter de deviner votre mot de passe en essayant autant de combinaisons que possibles se liant à ce qu'il connait de vous.
Dès maintenant, connaissant comment fonctionne cette méthode, nous pouvons déjà juger si nous en sommes à l'abri, et nous protéger de plus bel contre ces pirates devineurs.
Vous voulez d'un exemple de mot de passe sécurisant dans ce cas là? Allons, allons, soyez patient et vous verrez pourquoi ne l'ai-je pas fait.
II- Un mot de passe qui défie les attaques par force brute et par dictionnaire:
Vous vous demandez ce que sont ces attaques, n'est-ce pas? C'est pour cela que j'ai commencé par la méthode de la devinade, pour que vous compreniez que le principe est le même. Commençons donc par les présenter, une à une!1- L'attaque par force brute:
L'attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé, en testant, une à une, toutes les combinaisons possibles. C'est à mon avis la méthode la plus simple et la plus efficace concevable. Car elle peut en réalité casser tout mot de passe. Mais son temps de procédé et sa difficulté augmentent avec la longueur et la complexité du mot de passe.Comment fonctionne t-elle?
Si le mot de passe contient N caractères, indépendants (la présence d'un caractère ne va pas influencer un autre) et uniformément distribués (aucun caractère n'est privilégié), le nombre maximum d'essais ou de combinaisons nécessaires se monte alors à :
- 26N si le mot de passe ne contient que des lettres de l'alphabet totalement en minuscules ou en majuscules ;
Exemple: le mot de passe jrmmatospi (un des mots de passe pré-supposés), le nombre d'essais est 2610
- 52N si le mot de passe ne contient que des lettres de l'alphabet, avec un mélange de minuscules et de majuscules ;
Exemple: le mot de passe jrMMatospi , le nombre d'essais est 5210
- 62N si le mot de passe mélange les majuscules et les minuscules ainsi que les chiffres.
Exemple: le mot de passe jrmmatospi (, le nombre d'essais est 6210
- 10N si le mot de passe ne contient que des chiffres.
Notez qu'un ordinateur personnel (PC) est capable de tester plusieurs centaines de milliers voire quelques millions de mots de passe simples par seconde. Cela dépend de l'algorithme utilisé pour la protection mais on voit qu'un mot de passe de seulement 6 caractères, eux-mêmes provenant d'un ensemble de 62 symboles (minuscules et majuscules accompagnés de chiffres), ne tiendrait pas très longtemps face à une telle attaque.
Avez-vous peur maintenant?? Mais non, vous n'avez pas besoin d'avoir peur! N'avez-vous pas remarqué que depuis le début au sujet de cette attaque, je parle de minuscules, majuscules et chiffres, sans parler de caractères spéciaux (é,è,%,!,*,=,à,_,ê,",&, ...) ? Voilà! Ne me dites pas que vous aviez oublié les caractères spéciaux!
C'est bien là, la faille de cette puissante technique. Elle ne prend pas en compte les caractères spéciaux. Veuillez aussi le noter.
Qu'en est-il de la seconde?
2- L'attaque par dictionnaire:
L'attaque par dictionnaire est aussi une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Elle consiste à tester une série de mots de passe potentiels, les uns après les autres, en espérant que le mot de passe utilisé pour le chiffrement soit contenu dans le dictionnaire. Si ce n'est pas le cas, l'attaque échouera.Celle-ci est une méthode souvent utilisée en complément de l'attaque par force brute qui teste exhaustivement les différentes possibilités de mots de passe. Cette dernière est particulièrement efficace pour des mots de passe n'excédant pas 5 ou 6 caractères.
Ici, nous comprenons que pour contrer cette technique, notre mot de passe doit éviter de ne faire usage que des mots du dictionnaire.
L'utilisation de ces deux attaques ensemble a pour effet de renforcer la faille de la première, car au niveau du dictionnaire, il existe des mots utilisant des caractères spéciaux. Et ce, partiellement.
Pourquoi partiellement? Parce que tous les caractères spéciaux ne sont pas inclus dans le dictionnaire. Des caractères spéciaux tels que: @,#, ²,\,+,*, ...
Voyez-vous maintenant pourquoi je n'avais pas voulu proposer de mot de passe plus haut? Eh oui! Pour votre bien, je ne pouvais aucunement prendre ce risque.
Connaissant le principe de ces attaques, nous comprenons qu' un bon mot de passe qui met en difficulté ces attaques (du point de vue du temps de calcul) ou qui ne peut être piraté par elles est celui qui est composé d'assez de caractères (au moins 10) de types différents incluant des caractères spéciaux.
Enfin, à titre d'exemple, pour concrétiser les théories précédentes, en prenant compte des deux techniques, nous aurons comme mots de passe fiables, dignes du qualificatif "bon", ceux des formats: JC242_succèsEtj'aimeFels, 03022017_MatOspi_Et_FeLs_060000001, Jr_M@toSpi-2017, JoHn^Rock_m@tOspi, 2017_jrm-Et-fEls_amour^-^, ...
Ou tout simplement: mOn_mOt-dE~P@sseCompliqué, 20johN;rocK;Matondo17, JOHN,rock,m@tondo ,...
Comme exemple plus concret, voici à quoi ressemble mon mot de passe Facebook: jrmd’$ion’dJCpceTfDjmm$&EzAfA (J'y raconte toute une histoire 😅)
Quoi, ça vous fait peur? Mais non! Vous devez plutôt vous en réjouir! Puisque avec des mots de passe aussi complexes, vous êtes, du point de vue sécurité, coriace. Car ils ne peuvent ni être devinés mentalement, ni être devinés par une machine.
Comme plus d'astuce, vous pouvez aussi former ce que les experts appellent par phrase de passe, plutôt qu'un mot de passe. (très ironique! 😅 ). Elles sont complexes, mais plus faciles à retenir. Telles que: J'aimeMaConjointeFelsDeToutMonCoeur!17 , MonMotDePasseEstAussiLongPourEmmerderLesCons!17 . Intéressant, n'est-ce pas?
En somme, nous comprenons que face à n'importe quelle technique de piratage, les mots de passe comportant des minuscules, majuscules, chiffres et caractères spéciaux , avec aux moins 10 caractères, restent les plus sûres. Il faudrait au moins 66 ans à une machine spécialisée pour casser un mot de passe de cette longueur et de ce type. J'ai même été gentil sur le nombre d'années 😏.
Si vous avez des questions, des avis, besoin de précision ou vous voulez que je vous propose un mot de passe efficace, merci de me le signifier dans les commentaires!
Aussi, à votre demande, je partagerai des outils permettant le teste des mots de passe.
Prochainement, je vous parlerai de combien de mots de passe avoir pour sa sécurité?
Article désormais disponible: Combien de mots de passe avoir pour sa sécurité?
Vous pouvez aussi lire: Supprimer un message whatsapp envoyé par erreur
3 Commentaires
Merci pour cet article pertinent, je me rends compte des risques auxquels je m'exposais avec mes mots de passe "simples à retenir", mais un peu trop simples à pirater aussi.. Merci!
RépondreSupprimerJe vous remercie aussi pour votre commentaire! C'est fort encourageant!
Supprimer«Combien de mots de passe avoir pour sa sécurité?», en attente
RépondreSupprimer