Mémoriser facilement tous ses mots de passe

Avec l’explosion du nombre de service en ligne ces dernières années, la gestion et la sécurisation de tous nos mots de passe devient de plus en plus complexe.

Pour éviter de se faire pirater nos différents comptes sur internet, nos mots de passe doivent absolument être bien sécurisés : éviter qu’il soit trop simple à deviner (« toto », « 1234 », « azerty », etc.), ne pas utiliser le même sur tous les sites, etc.

Mais toutes ces mesures de sécurité complexifient la gestion et la mémorisation de tous nos « passwords ». Voici quelques recommandations d’usage, simples à mettre en place pour pouvoir respecter les consignes de sécurité sans passer son temps à utiliser la fonctionnalité « mot de passe oublié ».

Méthode de piratage

En s’attaquant à votre site, un pirate peut suivre plusieurs objectifs : pur vandalisme, nuire à la réputation de votre société, tentative de prise de contrôle de votre serveur avant de lancer une attaque massive vers une autre cible, etc… Il existe de nombreuses méthodes pour prendre le contrôle sur votre site. Nous allons nous intéresser aux attaques de mot de passe par « force brute ». Le concept est simple : lancer un robot qui va tester des millions de combinaisons afin de trouver votre mot de passe pour rentrer dans votre tableau de bord.

Votre hébergement comprend des systèmes de détection de tout comportement suspect sur votre site, notamment les comportements de ces robots essayant de casser vos mots de passe. Mais ces systèmes de détection ont besoin d’un certain laps de temps avant d’identifier de façon certaine un robot et de le bannir.

Il faut donc que le robot n’arrive pas à trouver votre mot de passe avant de se faire détecter, sinon game over, il aura réussi son intrusion.

Les robots vont tester en premier les mots les plus utilisés, c’est-à-dire les mots présents dans le dictionnaire.
Voilà pourquoi les sites internet s’obstinent à vous demander des mots de passe de plus de 8 caractères avec majuscules, chiffres, caractères spéciaux, etc.

Bien choisir son nom d’utilisateur

Avant même de parler du mot de passe, n’oublions pas que pour rentrer sur l’interface d’administration de votre site, il faut posséder votre mot de passe mais aussi votre nom d’utilisateur (ou login).

Par convention, la plupart des administrateurs utilisent le nom d’utilisateur « admin ». Il est donc le plus testé par les robots. Ma première recommandation est donc d’éviter d’avoir un compte avec comme nom d’utilisateur « admin » et d’utiliser plutôt votre prénom ou votre surnom.

Comment avoir un mot de passe sécurisé et facile à mémoriser ?

Un mot de passe sécurisé contient plus de 8 caractères, des chiffres, des majuscules, et des caractères spéciaux. Il devient donc difficilement mémorisable.

Alors, comment allier les deux : sécurisé et mémorisable ?

La phrase de passe

Nous pouvons nous souvenir des choses que nous utilisons régulièrement, or des mots de plus de 8 caractères contenant des caractères spéciaux, des majuscules et des chiffres, c’est plutôt rare.

Dans nos mots de passe, on nous demande toujours un nombre de caractères minimum, mais jamais un nombre maximum. Alors, pourquoi ne pas en profiter et utiliser une phrase plutôt qu’un mot ?
Exemple de mot de passe sécurisé :
« J’aime le chocolat depuis 1986 »
« J’habite au 18 rue Vaugirard à Montpellier depuis 2009 »
Le caractère espace est compté comme un caractère spécial et est peu testé par les robots. Idem pour l’apostrophe et les caractères accentués. Une phrase commence toujours par une majuscule. Avec cette méthode, votre mot (phrase) de passe sera systématiquement gratifié du label sécurité élevé.
Vous pouvez utiliser n’importe quelle phrase dont vous vous souviendrez facilement : votre devise, votre adresse, votre plat préféré, votre équipe préférée, etc.

Eviter d’avoir tous ses oeufs dans le même panier, ou le même mot de passe pour tous vos comptes est aussi une bonne pratique. En incluant dans votre phrase de passe le nom du site, vous n’utiliserez plus deux fois le même mot de passe. Par exemple, en supposant que les robots n’aient pas le sens du second degré :
« J’ai pas envie de mémoriser 1 mot de passe supplémentaire pour gmail.com »
« J’ai pas envie de mémoriser 1 mot de passe supplémentaire pour mon-beau-site-fait-avec-celinedesign.com »
J’arrête là les exemples sinon je vais me faire hacker tous mes comptes, mais vous avez compris le concept.

Certains systèmes ne tolèrent pas les espaces ou les accents ? pas grave on peut les remplacer par des tirets ou leurs équivalents sans accent.

Utiliser un gestionnaire de mot de passe

Même avec de la méthode, il peut rester difficile de gérer tous nos comptes et toutes leurs exceptions (accents, pas accents, etc.). Heureusement, il existe des logiciels pouvant nous simplifier la tâche.

Il s’agit de gestionnaire de mot de passe. Le principe est simple : sécuriser tous nos mots de passe derrière un seul et unique mot de passe. Ainsi, nous n’avons plus qu’un seul mot de passe à mémoriser.
Le gestionnaire se charge ensuite de générer des mots de passe sécurisés à votre place pour tous vos comptes et de les saisir automatiquement lorsque vous souhaitez vous connecter.

Pratique, simple d’utilisation, sécurisé et portable car ces logiciels se synchronisent généralement sur mobile, vos mots de passe seront donc accessibles partout et tout le temps, dans votre poche juste à côté de vos clés.

Il existe beaucoup de gestionnaires de mots de passe, donc je ne citerai seulement que les plus connus :

  • 1Password
  • Dashlane
  • LastPass

Conclusion

Ces conseils peuvent évidemment s’appliquer à n’importe quel compte sécurisé par login / mot de passe et pas seulement aux interfaces d’administration des sites internet.

En espérant avoir pu vous aider à mieux sécuriser vos comptes, à soulager votre mémoire et à arrêter de noter tous vos mots de passe sur un post-it collé sur votre écran, votre réfrigérateur ou pire dans un fichier sur votre ordinateur.

Sébastien Couragier