Mots-clefs

, , ,

La question des mots de passe est assez délicate. Le plus souvent on est confrontés entre les extrêmes, par exemple la date de naissance, le prénom ou un mot tout ce qu’il y a de plus commun d’une part et d’autre part des séquences de caractères et de chiffres oubliées au bout de 30 secondes.

Je ne sais pas combien de temps j’ai pu perdre en début de cours avec des étudiants ne se souvenant pas de leur mot de passe ou dans le cercle professionnel ou familial. J’avoue très honnêtement que cela m’est arrivé plus d’une fois de bloquer devant des services que je n’utilise qu’une fois l’an et dont le mot de passe s’était perdu dans les profondeurs les plus extrêmes de ma mémoire. Cela se complique de plus dès que nous utilisons plusieurs services différents et donc plusieurs mots de passe.

Soyons clairs : il y aura toujours une méthode pour découvrir un mot de passe, mais plus le temps demandé pour le casser sera important, plus vous aurez de chances d’être protégé. Le reste est une question de prudence. Inutile de choisir un mot de passe hyper-compliqué si celui-ci traîne sur un post-it à coté de l’écran (trop souvent rencontré…).

Pour ma part, j’ai fini par utiliser une méthode assez basique mais efficace. L’idée est simple : avoir une séquence de base, un moyen de retenir le mot de passe, qui soit facile et inversement obtenir un mot de passe de plus de 8 caractères difficile à deviner. Je m’explique. Prenons par exemple une phrase, à tout hasard un dicton : « La parole est d’argent mais le silence est d’or. » Ne gardons que les initiales pour obtenir cette séquence :

lpedamlsedo

On peut partir du principe que l’on élimine les initiales des articles tels « d' ». On obtient alors :

lpeamllseo

Nous pouvons en rester là et ne conserver que cette séquence comme mot de passe. Impossible dès lors de deviner le mot de passe en utilisant une attaque testant tous les mots d’un dictionnaire. On peut toujours le faire par une attauqe dite de « force brute » en testant chaque combinaison de caractères mais cela va demander un certain temps car on ne connaît pas d’une part le nombre de caractères du mot de passe, d’autre part il va falloir tout tester soit dans notre cas pour les 26 lettres de l’alphabet : 26*26*26*26*26*26*26*26*26 combinaisons possibles dans le cas le plus simple. Je vous laisse calculer…

Corsons un peu les choses et appliquons maintenant la méthode « leet speak« , c’est-à-dire jouons avec les majuscules et minuscules et transformons les lettres en caractères proches graphiquement, comme dans cette forme de langage utilisé sur les forums et chats pour déguiser et crypter d’une certaine manière les conversations. Nous obtenons ainsi :

143d@Ml5eD0

Je vous laisse imaginer le nombre de combinaisons si l’on faisait une attaque de force brute et surtout le temps que cela prendrait. Une vie n’y suffirait pas…