htg-content/content/posts/le-mot-de-passe.md

87 lines
4.4 KiB
Markdown
Raw Permalink Normal View History

2020-04-30 23:07:15 +02:00
---
2020-05-11 16:47:51 +02:00
title: Le mot de passe...
date: 2015-09-10
2020-04-30 23:07:15 +02:00
author: motius
template: post
2020-05-12 16:08:52 +02:00
tags: mot de passe,planet libre,théorie,tutoriels
2020-04-30 23:07:15 +02:00
---
Bonjour à tous !
Ah la la, les mots de passe, une sacrée affaire ! On devrait d'ailleurs dire phrase de passe, pour éviter que les gens ne les choisissent dans le dictionnaire. Heureusement, hashtagueule est là pour faire un petit tour de la question.
Comment choisir un mot de passe, à quoi est-ce que ça doit ressembler, doit-il vraiment comporter 18 caractères ?
Un mot de passe, c'est tout d'abord personnel. Évitez le nom de votre animal de compagnie, c'est d'ailleurs une très mauvaise idée de la part de certains webmails de les utiliser. Jiminy ou Croquette ne sont pas des bons "mots de passe", barrez-les de la liste.
Un mot de passe, ça contient :
- majuscules ;
- minuscules ;
- caractères spéciaux `('"[|-]_=^+ç/!§.;?*÷׿¡%€)` ;
- chiffres ;
- un assez grand nombre de caractères (10 au minimum, 8 pour des sites sans importance).
De plus :
- il n'y a pas de mot du dictionnaire. D'aucun dictionnaire, en fait, messieurs les latinistes, et hellènes, anglophiles...
- Il n'y a pas de lieu géographique (lieu de naissance).
- Il n'y as pas de date, ni de nom (toto42, gilles63, 1984).
- et surtout, **surtout**, ce n'est jamais 1234, 0000.
Alors comment s'y prendre ?
Il existe trois méthodes qui résistent à une attaque de type "bruteforce" ou "par  dictionnaire" :
1. prendre une phrase que l'on connaît, et la transformer ;
2. utiliser un générateur de mots de passe ;
3. choisir un **grand nombre** de mots **au hasard** dans un **très grand dictionnaire**.
_Détaillons la première méthode_. Je prends cette phrase, trop peu connue :
- _Le Petit Prince_ : "On ne voit bien qu'avec le cœur. L'essentiel est invisible pour les yeux."
et je la transforme ainsi (je ne garde que les premières lettres des mots) :
- `LPP:"Onvbq'ac.L'eeiply."`
- `L2P:"0nvbq'4c.L'e2iply."`
_La seconde méthode_ impose d'avoir confiance dans le logiciel qu'on utilise.
On a le choix entre plusieurs solutions logicielles sous GNU/Linux :
- apg ;
- pwgen ;
- un basique `$ cat /dev/urandom` ;-)
Personnellement, j'apprécie le logiciel apg, dans les dépôts de Debian/Ubuntu :
`$ apg -a 1 -n 50 -m 40 -x 40 -M SNCL`
détaillons les options :
- **\-a 1** pour forcer le comportement automatique (pas d'entrée utilisateur, plus rapide).
- **\-n 50** : génère 50 mots de passe. Permet de laisser le choix.
- **\- m 60 -x 60** : taille minimale et maximale des mots de passe générés de 60 caractères. La encore, permet de choisir un sous-ensemble de caractères.
- **\-M** : permet de spécifier le type de mot de passe. les options sont :
- **S** : impose la présence d'un caractère spécial, **s** : permet la présence d'un caractère spécial.
- **N** : impose la présence d'un chiffre, **n** : permet la présence d'un chiffre.
- **C** : impose la présence d'une majuscule, **c** : permet la présence d'une majuscule.
- **L** : impose la présence d'un minuscule, **l** : permet la présence d'une minuscule.
_La dernière méthode_ est récente et peut être plus facile à retenir : il s'agit de piocher **au hasard** des mots dans un **grand** dictionnaire. S'il y a **suffisamment** de mot, que le dictionnaire est suffisamment grand, et qu'on les a bien piochés au hasard (et pas au début ou à la fin), alors le temps nécessaire pour créer tous les couples sera trop long. Exemples :
- Éléphant miel Barbiturique repolluaient plaquebière plaisantin hôpital
- izolovat resouffrirons Réébarbées Espanbrun bootabilisa collimateront biliotin
qui ont le double avantage d'être complexes, et de nous cultiver un peu ^^. Pour obtenir ces résultats, j'ai utiliser la fonction page aléatoire du [Wiktionnaire](https://fr.wiktionary.org/wiki/Wiktionnaire:Page_d%E2%80%99accueil). J'admets qu'utiliser des mots à consonance française (1er exemple) est plus facile.
Enfin, si vous voulez tester un peu vos idées de mots de passe, ne les envoyez jamais sur un site web. Vous n'avez aucune garantie que celui-ci ne va pas les enregistrer. Utilisez des mots de passe à la construction identique. Il y en a deux sites permettant d'en tester la robustesse que je peux vous conseiller :
- [how secure is my password](https://howsecureismypassword.net/) ;
- un [vérificateur passif-agressif](http://trypap.com) en anglais que je trouve amusant.
À bientôt !
_Motius_