Qu'est-ce qu'un bon mot de passe ?

Un "bon" mot de passe est à la fois fort (efficace) et - si nécessaire - facile à mémoriser. De plus si c'est un mot de passe que vous êtes amené à utiliser quotidiennement, la rapidité de frappe (liée à l'agencement des touches du clavier) est un facteur non négligeable.

Règle n°1 : le mot de passe ne doit pas pouvoir être deviné par une personne qui vous connaît.

Donc évitez les dates de naissance, les noms et prénoms, code postaux, n° de téléphone, n° d'immatriculation de vos véhicules, surnom de vos animaux domestiques, vos expressions, personnages et acteurs favoris, etc.

Règle n°2 : le mot de passe doit pouvoir résister à l'attaque d'organisations criminelles équipées de logiciels spécialisés.

Ces logiciels de récupération des mots de passe combinent deux types de méthodes :

  • la "force brute", qui consiste à essayer toutes les combinaisons possibles (des machines puissantes peuvent essayer des milliards de mots de passe à la seconde) ;
  • les heuristiques, qui consistent à essayer d'abord les types de mots de passe les plus courants, c'est à dire les séquences liées à la disposition des touches sur le clavier (ex : "azerty", "aqwzsx", "123465", "789456"), "motdepasse" (sic), les noms et prénoms, les mots du dictionnaire et les combinaisons courantes appliquées à ces mots (ajout de quelques chiffres ou caractères de ponctuation avant ou après, transformation de lettres en chiffres (ex : E remplacé par 3, A remplacé par 4, etc.)).
    Donc tout cela doit être évité.

La "force" d'un mot de passe

Un mot de passe est une suite de caractères (ou de mots). Sa "force" est sa capacité à résister à des milliards de tentatives à la seconde pour le retrouver.

Elle dépend à la fois de sa longueur et de l'étendue du jeu (ensemble) de caractères (ou de mots) qui sont utilisés.

Ce qui suit détaille la relation entre la force et ces deux caractéristiques.

Par exemple, si l'on n'utilise que des chiffres, il n' y a que 10 caractères dans lesquels puiser. Si on utilise des lettres en minuscules on dispose de 26 caractères (pour l'alphabet latin). Si on utilise à la fois des minuscules et des majuscules on en dispose de 52.

Ce qui compte est le nombre de combinaisons possibles à partir de cette longueur L et de cette étendue N.
Le nombre de combinaison est égal à N puissance L.

Par exemple un code de carte bancaire est de longueur 4 et composé uniquement de chiffres. Dans ce cas il y a 10 puissance 4 combinaisons possibles, soit 10 000.
Ce nombre est dérisoire par rapport à la puissance de calcul d'un ordinateur. Ce qui protège le code d'une carte bancaire est le fait qu'elle est désactivée après 3 erreurs de code consécutives.

Mais les mots de passe utilisés pour les comptes de votre ordinateur ou sur Internet ne sont pas protégés par ce type de désactivation. Un attaquant peut essayer un nombre illimité de combinaison. Donc la seule protection est d'utiliser des mots de passe dont le nombre de combinaisons possibles est suffisamment élevé pour que le temps de calcul nécessaire rende l'attaque non rentable.

On utilise le terme d'entropie pour mesurer cette force. Si H est l'entropie, 2 puissance H est le nombre de combinaisons possibles.

Compte tenu de la puissance des ordinateurs actuel, une entropie supérieure à 80 est recommandée pour un usage personnel (64 peut suffire si ce qui est protégé n'est pas vraiment important). Pour protéger des secrets professionnels de grande valeur une entropie supérieure à 100 est recommandée.

Une entropie de 80 correspond à un nombre de combinaisons de 1,2 10 puissance 24 (un nombre composé de 25 chiffres) : environ un million de milliards de milliards.

Méthode 1 : la génération aléatoire d'une suite de caractères

Cette méthode peut être utile pour les mots de passe utilisés sur l'Internet.

Elle nécessite l'emploi d'un logiciel spécialisé. Le mot de passe devra également être enregistré, car non mémorisable.

Très important : en matière de sécurité, plus encore que dans tout autre domaine, seuls les logiciels libres (c'est à dire dont le fonctionnement est transparent) peuvent être dignes de confiance.
N'utilisez surtout pas de générateur de mots de passe en ligne (il pourrait les enregistrer et les revendre !)

Nous recommandons le logiciel libre KeePass version 2. Son ergonomie étant quelque peu dépassée, vous pouvez utiliser ses dérivés KeePassXC et - pour Android® - KeePassDroid (disponible dans F-Droid).

Vous spécifiez l'ensemble des caractères à utiliser et la longueur du mot de passe souhaité. Le logiciel génère un mot de passe aléatoire et vous indique sa force (entropie).

Pour augmenter la force d'un mot de passe il est plus efficace de l'allonger d'un caractère plutôt que d'étendre le jeu de caractères.

Choisissez au minimum d'utiliser minuscules et majuscules (jeu de 52 caractères).

Avec ce jeu de caractères, pour obtenir un mot de passe d'une entropie d'au moins 64 (minimum recommandable), il vous faudra spécifier une longueur de 12 caractères. Pour un mot de passe fort, il faut au moins 15 caractères (entropie supérieure à 80). Pour protéger des secrets de grande valeur, passez à 23 caractères ou plus (entropie d'au moins 128).

À noter : si vous êtes potentiellement amené à saisir votre mot de passe sur un clavier d'une autre langue, il vaut mieux éviter la plupart des caractères spéciaux (caractères accentués, signes de ponctuation, etc.). En effet ceux-ci ne seront pas situés au même endroit du clavier et certains pourront en être complètement absent.

Voici un exemple de mot de passe de longueur 15 généré ainsi :

TKHAwWFONniJdzc

Inutile de dire que vous ne le mémorisez pas. Vous l'enregistrerez, comme indiqué dans notre tutoriel consacré à l'usage des mots de passe.

Méthode 2 : à partir d'une phrase

Cette méthode peut être utile pour les mots de passe locaux et d'une manière générale pour tous ceux qui doivent être mémorisés.

Elle ne nécessite pas d'ordinateur.

Procédure

Choisir une phrase, que vous pourrez mémoriser et :

  • ne conserver que la première lettre de chaque mot
  • la mettre en majuscules si le mot est un nom
  • garder les signes de ponctuations
  • exprimer les nombres avec des chiffres

Cette phrase peut par exemple être un vers d'un poème, une strophe d'une chanson peu connue, une formule chimique ou mathématique...

Voici un exemple de mot de passe de longueur 16 généré ainsi :

"Qui a mangé le Petit Chaperon Rouge ? C'est le Grand Méchant Loup." se transforme en

QamlPCR?C'elGML.

Attention un mot de passe ainsi généré est moins fort, à longueur égale, que s'il a été généré aléatoirement. En effet dans la langue certains mots sont plus fréquents que d'autres (notamment les articles) et donc certaines lettres (L, D, U) apparaîtront plus souvent. Il doit donc être plus long (vous pouvez aussi ne pas tenir compte des articles dans votre méthode, mais alors la phrase va devoir être encore plus longue !).

Variante : en traduisant la phrase phonétiquement

KiamanGlepetichaperonrouge?

Attention, ce mot de passe a beau faire 27 caractères il n'est pas si fort car il contient deux mots du dictionnaire qui n'ont pu être transformés.

Méthode 3 : la génération aléatoire d'une suite de mots (phrase de passe)

Cette méthode peut être utile pour les mots de passe locaux et d'une manière générale pour tous ceux qui doivent être mémorisés.

Cette méthode est appelée "Diceware" car elle utilise des dés (dice en anglais) et un dictionnaire.

Elle ne nécessite pas d'ordinateur.

La méthode standard utilise un dictionnaire comprenant des mots usuels d'une longueur inférieure ou égale à 6 caractères (un jeu de 7776 mots indexés de 11111 à 66666).

Procédure

  • Prendre un dé à 6 faces
  • le jeter 5 fois et noter le résultat
  • se reporter à l'index du dictionnaire pour trouver le mot qui correspond à ce résultat
  • recommencer l'opération autant de fois que l'on souhaite avoir de mots

On obtient une suite de mots (une "phrase de passe"), à partir desquels on brode une histoire mnémotechnique.

Site officiel de la méthode (en anglais).

Explication de la méthode en français avec une liste de mots (dictionnaire) en français dans ce document à télécharger. (Les années ayant passées la longueur requise aujourd'hui est supérieure à celle indiquée dans le document.)

Avec ce dictionnaire, pour obtenir un mot de passe d'une entropie d'au moins 64 (minimum recommandable), il vous faudra spécifier une longueur de 5 mots. Pour un mot de passe fort, il faut au moins 7 mots (entropie supérieure à 80). Pour protéger des secrets de grande valeur, passez à 10 mots ou plus (entropie d'au moins 128).

Voici un exemple de phrase de passe de longueur 7 générée ainsi :

semoir vers suaves jupon veuve limoge lacets

À vous d'imaginer une histoire pour retenir cette suite de mots, dans l'ordre...

Variante

Pour augmenter (un peu) la sécurité vous pouvez décider de mettre en majuscules certaines lettres (selon une règle facilement mémorisable) et de séparer les mots par un caractère spécial (tiré au hasard). Inconvénient : la phrase de passe sera plus longue à taper.

Exemple :

sEmoir:vErs:sUaves:jUpon:vEuve:lImoge:lAcets

En savoir plus

Cette page du site NextInpact et ses liens.

Le générateur de phrases de passe de la CNIL.

mise à jour : 24 mars 2020