Les gens parlent souvent de sécurité en ligne et d'utilisation de mots de passe forts, mais comment en faire un? Voici quelques conseils pour protéger votre compte. Les mots de passe ne doivent jamais être utilisés seuls, peu importe la force, et vous devez toujours activer 2FA (authentification à deux facteurs) sur tous vos comptes (y compris ceux qui ne sont pas liés financièrement - ajoutez-le à tout ce que vous pouvez). 

Conseils pour choisir les mots de passe

• Quoi que vous fassiez, n'utilisez pas 123456, qwerty, votre nom, mot de passe, invité, administrateur, votre anniversaire ou le nom de votre chien pour vos mots de passe!!
• Rendez votre mot de passe aussi long que possible, jamais moins de 12 caractères, et 16 et plus si autorisé. La longueur d'un mot de passe est bien plus importante que le nombre de caractères différents, pour de simples raisons mathématiques.
• Ne pas utiliser de gestionnaire de mots de passe de navigateur, si votre ordinateur est compromis, vous donnerez accès à tout.
• Ne sous-estimez pas le bon vieux stylo et papier! Stockez vos mots de passe hors ligne dans un petit carnet dédié et conservez-le avec votre passeport, ou au moins le traiter avec la même valeur.
• Ne jamais, jamais, jamais réutiliser les mots de passe ! Déjà. Même pas deux fois. Ne fais pas.
• N'utilisez pas les mots de passe suggérés par votre navigateur ou Mac, etc., car vous n'avez aucun contrôle sur eux et ils sont généralement très courts – aussi si leur service tombe en panne, ou si votre ordinateur crash, vous êtes foutu.
• N'utilisez jamais de mots complets qui apparaîtraient dans un dictionnaire. Ceux-ci peuvent être facilement devinés ou déchiffrés dans une ‘attaque de dictionnaire’. De même, n'indiquez jamais rien de personnel dans un mot de passe, par exemple. équipe de football préférée, nom du chien, année de naissance ou quelque chose comme ça – un pirate peut facilement les trouver avec une recherche Google.
• Changez vos mots de passe de temps en temps (au moins deux fois par an).

Comment créer des mots de passe forts

Regardons quelques exemples. N'oubliez pas que si votre mot de passe comporte moins de 8 caractères, il peut être craqué en quelques minutes (ou secondes) par un attaquant avec le bon logiciel. La longueur et le sel sont les deux plus grandes choses que vous pouvez faire pour rendre vos mots de passe plus sûrs. Exemple:

Vous ne devriez pas utiliser un mot du dictionnaire, vous ne devriez pas utiliser un mot du dictionnaire. Alors on commence avec ce mauvais mot de passe:

• Manchester2021

La longueur n'est pas mauvaise, 14 caractères, mais il contient un mot du dictionnaire et aucun caractère spécial. Donc c'est inutile. On pourrait essayer ça:

• M@nch3ster2021

Il a maintenant des caractères spéciaux et constitue une amélioration, mais peut encore être deviné, puisque les pirates savent que les gens substituent des sosies communs – comme ‘a’ avec @, ‘e’ avec 3, etc. Alors continuons:

• M@n/ch3ster/2021

Déjà c'est plus sécurisé, à 16 caractères, mais encore une fois pas impossible à deviner. Alors qu'en est-il de cela:

• M1@nk.c2H3/st1rr-r:20

À 21 caractères, c'est assez sûr, mais pourrait encore être mieux.

Alors, comment faisons-nous cela? Vous devez ajouter ce qu'on appelle un ‘salt’ en cryptographie – une partie supplémentaire du mot de passe qui est stockée séparément ou jamais écrite.

Et c'est l'un des moyens les plus sûrs de le faire, puisque même si quelqu'un a volé votre ordinateur portable, ou pirate votre ordinateur et voit vos mots de passe, ils ne peuvent pas les utiliser car il leur manque une partie, et à cette longueur, il devient beaucoup trop difficile de forcer brutalement ou de deviner le reste (nous parlons de milliers d'années pour qu'un ordinateur le "force brutalement"). Mais nous voulons que ce sel soit facile à retenir puisque vous ne l'écrirai jamais nulle part, jamais. Peut-être quelque chose de drôle, comme:

• w00p$w00p

Donc le mot de passe est maintenant:

• M1@nk.c2H3/st1rr-r:20w00p$w00p

À 30 caractères, beaucoup de lettres, chiffres, majuscules et minuscules, caractères spéciaux, cela rebutait la plupart des hackers en étant difficile à deviner, et informatiquement trop intensif pour cracker. Vous pouvez toujours aller plus loin bien sûr. C'est bien mieux d'avoir à réinitialiser un mot de passe car c'est trop difficile que d'avoir quelqu'un d'autre pour accéder à vos données! Nous vous recommandons également de changer les mots de passe au moins deux fois par an de toute façon. Si vous voulez vérifier si votre email (et donc éventuellement votre mot de passe) a été victime d'une violation de données, aller à https://haveibeenpwned.com/ . Si oui, changez vos mots de passe et e-mail immédiatement.

Mesures supplémentaires à prendre

• Si vous avez la possibilité, ajoutez toujours 2FA (authentification à deux facteurs), en utilisant une application comme Authy ou Google Authenticator.
• Ajoutez toujours une empreinte digitale ou des données biométriques si vous en avez la possibilité dans les applications de votre téléphone.
• Verrouillez toujours l'écran de votre téléphone (en particulier) et de vos ordinateurs portables / ordinateurs, même dans une zone de confiance, et certainement au travail.
• Utilisez un périphérique OTP matériel comme un Yubikey, alors vous n'avez pas du tout besoin de mots de passe, et c'est beaucoup plus sécurisé.

Cet article original a été adapté de ici.