Gestion des mots de passe : les bonnes pratiques

Print Friendly, PDF & Email

Dans un précédent article, nous avons présenté une méthode permettant à la fois de construire des mots de passe robustes et de leur associer un code mnémonique crypté permettant de les retrouver.

Pour mémoire, les mots de passe y sont générés à partir des premières lettres d’une phrase – citation, vers, aphorisme par exemple – tandis que les codes associés sont suffisamment opaques pour être notés sur un support quelconque.

Dans cet article, nous étendons ces principes à la bonne gestion de l’ensemble de nos mots de passe.

Bunch of different keys on wooden surface

Les principes de gestion

Tout le monde n’est pas fan de poésie ou d’aphorismes, aussi n’est-il pas forcément aisé de disposer d’autant de phrases convenables (c’est-à-dire suffisamment longues et candidates à quelques substitutions) que de comptes utilisateur que nous possédons.

Ce n’est pas bien grave. En premier lieu, il n’est pas nécessaire de différencier totalement tous nos mots de passe. Certains de nos comptes peuvent partager une même phrase clé, quitte à en changer un minimum les règles de transformation (et donc le code associé), ajouter un suffixe ou un préfixe différent, etc.

Par contre, il est essentiel de sécuriser certains comptes dont le piratage pourrait avoir de lourdes conséquences en leur attribuant une phrase qui leur soit propre. La raison en est que si un mot de passe a été piraté (par exemple suite au vol des login d’un site relativement anodin où l’on possède un compte), les pirates pourraient tenter avec succès de réutiliser les mêmes identifiants de connexion, éventuellement avec quelques variations, sur les principaux portails d’e-banking ! Voici quelques lignes directrices à avoir en tête, selon un ordre décroissant d’importance.

  1. L’accès à notre compte de banque en ligne : Il doit être fondé sur un phrase spécifique (voire plusieurs phrases différentes s’il y a plusieurs banques)
  2. Les mots de passe des protocoles de sécurité associés aux paiements en ligne (3D Secure, Paypal…)
  3. Notre compte Email principal est essentiel, c’est souvent via cette adresse mail que peuvent se traiter la plupart des changements de mots de passe !
  4. L’identifiant de connexion de notre ordinateur personnel : il faut avoir un identifiant personnalisé et un vrai mot de passe sinon le piratage de la totalité de son contenu devient trivial !
  5. L’accès à des sites qui enregistrent parmi vos données personnelles (rubrique “Mon compte” typiquement) des informations sensibles – cette notion étant laissée à l’appréciation de chacun.
  6. Les autres sites (forums et sites demandant une authentification mais ne réclamant pas d’informations personnelles sensibles)

Enfin, nous conseillons de dissocier complètement les mots de passe de notre vie personnelle de ceux que nous utilisons dans un cadre professionnel.

Comment trouver et choisir ses phrases ?

Illustrons notre propos par un premier exemple :

Un mot de passe pour un site spécifique

Mot de passe : lPcslé,lMdlE07

Code associé : GàPNumP

Phrase clé = Le début du sous-titre de la homepage de gbnews.ch !

« La plateforme collaborative sur l’économie, le marché de l’emploi et les ressources humaines en Suisse »

Et pour le code associé :

G = the « german way » : tous les noms communs donnent une majuscule

à = il y a une voyelle accentué issue du mot économie (en exception à la règle ci-dessus)

P = garder la ponctuation

NumP = le numéro de mon poste de travail : 07

Un mot de passe professionnel

R1:Tiatgl&gai

Clé : L1 ou 07 (voire aucune puisque je ne crains pas de très, très grosse fatigue à court terme)

En effet, il se trouve qu’est collée sur le côté du PC n°07 une feuille racontant très exactement sur ses deux premières lignes :

« Rule 1 : Take into account that great love and great achievements involve
great risk. »

NB : Il faut bien sûr éviter des sources trop immédiatement associées à un compte, comme dans ces deux premiers exemples, si ce dernier donne accès à des données sensibles.

Un mot de passe personnel

Le code TPTD5504-X pourrait correspondre à une phrase convenable à laquelle j’ai appliqué mes transformations de type X (toutes comme ci-dessus) à la 4ème phrase de la page 55 de mon édition préférée – et dont un exemplaire figure en bonne place dans ma bibliothèque – du roman « Thud ! » (TD) de Terry Pratchett (TP).

En conclusion, nous rappellerons que la solution « artisanale » présentée ci-dessus – il existe des applications « coffre-fort » à mots de passe – repose sur l’association de deux méthodes très personnalisables, ce qui, justement, en fait la force. Il n’y a alors pas vraiment de limite à la complexité que nous pouvons obtenir, sinon celle de notre propre imagination.

Photo credit : lackday via fotolia.com

Frédéric Rogé Frédéric Rogé

Diplômé d'une maîtrise en informatique de l'université de Paris VII.

Passionné et opiniâtre, j’utilise mes compétences d'ingénieur en développement pour déployer d'innovantes solutions informatiques au sein des grandes infrastructures.

Je suis expert en bases de données, en conception et développement, et également chef de projet technique dans les domaines suivant:

Private Banking, taxes et reporting légal
CRM et gestion commerciale
Logistique

Je travaille couramment avec différentes technologies comme:

Bases de données: MS SQL Server, Sybase, MySQL, Oracle
Web: Ajax, CSS, HTML, XHTML, JavaScript, jQuery, PHP, WordPress
Client/Serveur: VB, Delphi, C/C++, Gupta Team Developer

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.