La gestion de l’accès et les mots de passe

No 73 - février / mars 2018

Sécurité numérique

La gestion de l’accès et les mots de passe

Les méthodes d’authentification sont la porte d’entrée de la majorité des activités en ligne. De ce fait, elles sont le fer de lance de toutes bonnes pratiques et habitudes à adopter en sécurité numérique ; elles protègent autant vos intérêts personnels qu’elles sont garantes de l’intégrité de vos activités professionnelles. Sans elles, les outils de chiffrement les plus sophistiqués seront inefficaces.

Une gestion efficace de l’accès compte deux composantes essentielles : la diversité et la qualité des mots de passe. Idéalement, chaque compte devrait avoir un mot de passe différent. Effectivement, si un mot de passe est compromis et que ce dernier est utilisé dans la majorité de vos comptes, une personne malintentionnée peut facilement avoir accès à votre vie numérique. C’est pourquoi diversifier au maximum ses mots de passe permet de ne pas mettre en péril l’ensemble de votre écosystème de mots de passe en cas de compromission.

Trois critères

L’objectif est ensuite de créer de « bons » mots de passe difficiles à deviner et à compromettre. Ceux-ci doivent correspondre à trois critères de base : être longs, aléatoires et faciles à mémoriser. La méthode diceware est sans doute la meilleure méthode à considérer pour gérer ses accès de manière efficace [1]. En bref, il s’agit de substituer le mot de passe pour une phrase de passe.

Créer une phrase de passe consiste à assembler trois à six mots (tout dépendant de votre motivation) qui n’ont aucun lien entre eux et qui sont entrecoupés de quelques chiffres et caractères spéciaux. L’utilisation de mots les uns à la suite des autres permet de répondre au critère de la longueur. La logique est simple : plus il comporte de caractère, plus il est difficile à deviner.

L’insertion de caractères spéciaux et de chiffres doublée de l’utilisation de mots sans lien apparent entre eux permet d’ajouter des éléments d’entropie–le second critère. Puisque les algorithmes sont de plus en plus performants et que certains peuvent tenter des millions de combinaisons à la seconde, il est important qu’une phrase de passe soit composée d’une suite de lettres, de chiffres ou de mots improbables afin de brouiller les pistes.

Le dernier critère – la facilité de rétention – relève du sens commun : si on ne se souvient pas d’un mot de passe, il est inutile et contre-productif puisqu’il risque de vous bloquer l’accès à vos comptes. L’utilisation de mots aléatoires, plutôt qu’une longue suite de lettres, de chiffres et de caractères spéciaux sans signification, favorise la mémorisation et permet ainsi de faire un compromis efficace entre ce critère et les deux précédents.

Le gestionnaire de mots de passe

Toutefois, le défi est tout autre lorsqu’on veut créer des mots de passe différents pour tous ses comptes. C’est pourquoi il est fortement conseillé de faire appel à un gestionnaire de mots de passe. En utilisant un gestionnaire, il vous sera uniquement nécessaire de vous souvenir d’une seule – excellente ! – phrase de passe. Le gestionnaire se souviendra du reste. Pour connaître nos recommandations en matière de gestionnaires, consultez notre capsule sur le sujet (www.esn514.net/gestionnaire).

Attention : il est important de se souvenir que la sauvegarde automatique de mots de passe proposée par votre fureteur (Firefox, Safari, Chrome, etc.) n’est pas une gestion sécuritaire de l’accès. Si la méthode vous plaît en raison du fait qu’elle vous évite de taper systématiquement les mots de passe à chaque connexion, considérez plutôt la sélection d’un gestionnaire de mot de passe comportant cette fonctionnalité. Ce seront dix minutes très bien investies !

Aller plus loin : le 2FA

Finalement, il est impossible d’aborder la gestion de l’accès sans parler du double facteur d’authentification (2FA). Il s’agit d’une couche de sécurité supplémentaire qui repose sur un principe simple : l’accès au compte dépend de quelque chose que vous connaissez (un mot de passe) et de quelque chose que vous avez sur vous (téléphone cellulaire, yubikey, etc.). Cela signifie que, même avec votre mot de passe principal, un adversaire ne pourrait pas accéder à votre compte à moins de posséder votre téléphone portable (ou un autre moyen d’identification secondaire). La majorité des services numériques permettent maintenant l’authentification à double facteurs (Facebook, Google, Twitter, etc.). En complémentarité avec l’utilisation de phrases de passe et d’un gestionnaire, le 2FA saura significativement mieux protéger l’accès à vos comptes en ligne et à tous les services qui leur sont associés.


[1Pour plus d’informations sur la méthode diceware visitez www.esn514.net/motsdepasse.

Vous avez aimé cet article?
À bâbord! vit grâce au soutien de ses lectrices et lecteurs.
Partager sur        

Articlessur le même thème