Lumières sur la sécurité

mercredi 28 février 2024

Dans l'une de nos publications précédentes dans le cadre du projet Lumières sur la sécurité, nous avons parlé des gestionnaires de mots de passe. Ce sont des utilitaires spécialisés conçus pour simplifier et, surtout, sécuriser l'utilisation des mots de passe. L'article mentionnait également les points faibles de ces logiciels, notamment le risque de compromission du mot de passe principal et la présence de vulnérabilités potentielles dans un produit en particulier. Et pourtant, les gestionnaires de mots de passe sont l'une des solutions les plus utilisées, en particulier pour ceux qui utilisent plusieurs systèmes et services avec authentification à la fois.

Même aujourd'hui, à l'ère de la biométrie, de l'authentification à deux facteurs, des jetons et d'autres technologies modernes, les mots de passe restent l'un des principaux moyens de protéger les informations contre tout accès non autorisé. De même, les problèmes associés aux mots de passe faibles, non uniques ou stockés de manière non fiable ne disparaissent pas. Souvent, les utilisateurs utilisent le même mot de passe pour accéder à de nombreux systèmes différents, ou écrivent ou stockent des mots secrets en texte brut, ou utilisent des combinaisons extrêmement simples qui sont faciles à deviner ou à trouver par force brute. Dans le pire des cas, ces points faibles sont combinés. Et tout cela parce que les mots de passe forts sont difficiles à retenir. Le désir d'économiser du temps et des ressources de mémoire s'avère être plus important que la vigilance, et continue d'être utilisé par les attaquants du monde entier. Nous avons également décrit ce qu'un mot de passe fort devrait être dans un article sur les gestionnaires de mots de passe. Nous vous recommandons de le lire pour mieux comprendre le problème.

Dans l'article d'aujourd'hui, nous parlerons des moyens d'améliorer votre travail avec des mots de passe sans avoir recours à des programmes tiers. Avec un degré de probabilité élevé, ils protégeront nos données dans l'espace numérique pendant encore longtemps — ce qui signifie qu'il ne sera pas superflu de savoir comment les utiliser correctement. Un bon mot de passe devrait renforcer la sécurité et ne pas être un maillon faible.

Commençons par l'analyse

Lors de l'élaboration de votre propre politique de mot de passe, vous devez prévoir que les mots de passe pour accéder aux systèmes les plus importants seront uniques et suffisamment fiables, et que vous devrez les mémoriser. Mais vous devriez commencer par analyser les services que vous utilisez lorsque vous travaillez sur un ordinateur et sur Internet, et les classer en fonction du niveau d'importance. Pour ce faire, il suffit de se poser la question suivante : quels sont les comptes qui me poseraient le plus de problèmes en cas de compromission ?

Ainsi, les systèmes les plus importants comprennent les services bancaires, les services numériques liés à la santé, le courrier électronique, le stockage cloud, ainsi que les systèmes qui stockent une grande quantité de vos données personnelles. De plus, il convient de mentionner les systèmes qui mettent en œuvre une technologie d'authentification unique, lorsqu'un mot de passe est utilisé pour accéder à tous les services d'un système. L'accès à toutes ces ressources doit être protégé non seulement par un mot de passe, mais aussi au moins par une authentification à deux facteurs. Et les mots de passe eux-mêmes doivent répondre aux exigences de sécurité que nous avons déjà mentionnées. Enfin, nous ne recommandons pas d'enregistrer les mots de passe pour accéder à ces systèmes dans les navigateurs.

Les services d'un niveau d'importance moindre peuvent être placés en deuxième position. Il peut s'agir de systèmes qui contiennent peu de données personnelles, comme, par exemple, les sites d’achat où vous devez renseigner votre adresse e-mail uniquement, ou d’autres services. Si des systèmes vous permettent d'activer l'authentification à deux facteurs, il est préférable de le faire. Il est également conseillé d'utiliser des mots de passe forts et uniques. Mais même si vous utilisez, par exemple, différentes variantes du même mot de passe, elles ne doivent pas ressembler aux mots de passe de services importants. Tout mot de passe peut être compromis du côté du site. Ensuite, il est susceptible d'entrer dans toutes sortes de bases de données de mots de code « divulgués » et de compromettre le reste des comptes avec un mot de passe similaire.

Enfin, le troisième groupe comprend les systèmes les moins importants pour vous. Il peut s'agir, par exemple, de forums que vous ne prévoyez pas d'utiliser en permanence, de sites thématiques ou de ressources de divertissement. Dans ce cas, le nombre de mots de passe que vous devrez retenir peut bien dépasser la limite confortable. Par conséquent, pour plus de commodité, vous pouvez enregistrer ces mots de passe dans les navigateurs ou créer un ensemble de mots de code faciles à mémoriser, mais avec une mise en garde : qu’ils ne soient pas non plus associés aux mots de passe de systèmes plus importants.

Création de mots de passe forts. Phrases de passe

Maintenant que nous avons déterminé l'importance des données protégées et évalué les risques, nous pouvons passer directement au problème de la mémorisation des mots de passe complexes. Les principales caractéristiques qui déterminent la résistance à la devinette ou au piratage sont la longueur du mot de passe et son alphabet — un ensemble de caractères qu'une combinaison peut comprendre. C'est pourquoi il est souvent demandé aux systèmes d'autorisation de proposer non seulement des mots de passe longs, mais également sensibles à la casse contenant des caractères spéciaux. De plus, un mot de passe composé de caractères aléatoires est considéré comme plus persistant en raison de l'imprévisibilité et de son absence dans les dictionnaires que les attaquants utilisent.

Que sont les phrases de passe ? Il s'agit d'un mot de passe composé d'une séquence arbitraire de mots. À titre d'exemple, nous pouvons citer l'option suivante : iliketodrinkteabutiprefercoffee. Les phrases de passe sont moins imprévisibles, mais cet inconvénient peut être compensé par la longueur. Notre exemple ne se compose que de caractères minuscules, alors qu'il est assez crypto-résistant, puisqu'il se compose de 31 caractères. Mais l'avantage le plus important est qu'il est facile à retenir. Dans la vie réelle, de nombreux systèmes de vérification n'accepteront pas un tel mot de passe, mais si vous ajoutez des lettres majuscules, un chiffre et des caractères spéciaux, vous obtiendrez une version fonctionnelle tout en conservant la commodité. Nous répétons qu'il ne s'agit que d'un exemple et que, dans la pratique, nous ne recommandons pas de l'utiliser.

Les phrases de passe sont faciles à retenir, mais elles doivent être assez longues, ainsi qu'atypiques — c'est-à-dire que vous devez les inventer vous-même. Les proverbes, les dictons et les phrases célèbres dans diverses variantes sont probablement dans les dictionnaires de piratage et dans les bases de données des intrus.

Autre point important : les mots individuels de la phrase secrète ne doivent pas être directement liés à l'utilisateur ou à sa personnalité afin d'éviter d'être deviné lors d'une attaque ciblée. Vous pouvez utiliser des combinaisons dénuées de sens, l'essentiel est que vous puissiez facilement vous en souvenir. Enfin, la tentation d'utiliser la même phrase de passe en tant que mot de passe pour tous les comptes doit être évitée, même si elle est suffisamment longue et persistante.

Création de mots de passe résistants. Mots de passe mnémotechniques

Vous pouvez apprendre à générer et à mémoriser des mots de passe forts composés de caractères aléatoires en utilisant des moyens mnémotechniques, c'est-à-dire des associations. L'idée est de mémoriser non pas le mot de passe lui-même comme un ensemble abstrait de symboles, mais une association ou une image. Il existe de nombreuses méthodes différentes : par exemple, générer un mot de passe basé sur les premières lettres d'une phrase, puis remplacer certaines lettres par des symboles. En fin de compte, avec le bon niveau de transformations, le mot de passe résultant ressemble à un ensemble aléatoire de caractères, est assez stable et en même temps relativement facile à retenir.

Nous parlerons de la méthode de génération, qui consiste à vous souvenir d'un mot et d'un algorithme ou de règles pour construire un code. Les règles doivent être uniques et définies par l'utilisateur. Pour commencer, donnons un exemple de mot de passe généré de cette manière : "4Am2CDadd ! !c@sh#".

Les règles de génération de ce mot de passe sont basées sur la connaissance des accords musicaux couplés à des associations. Le mot que vous voulez retenir est le nom de la chanson ou le nom de l'artiste. Connaissant son propre algorithme, l'utilisateur attribue et se souvient d'une chanson qu'il connaît comme une association au mot de passe. Ensuite, la procédure de récupération du mot de passe en mémoire a lieu :

1. 4 – le nombre de lettres dans le titre de la chanson.
2. Am est le premier accord de la chanson.
3. 2 – durée du premier accord en fractions de temps.
4. C est le deuxième accord.
5. Dadd ! ! – le troisième accord musical, dont les numéros sont remplacés par les caractères spéciaux correspondants.
6. c@sh est le nom de famille de l'artiste, dans lequel une lettre est remplacée par le caractère spécial correspondant.
7. # est le symbole de clôture utilisé à la place du chiffre 3, qui indique le nombre d'accords dans le couplet de la chanson.

La formule semble difficile à reproduire, mais pour l'utilisateur qui l'a inventée, elle est claire et sans ambiguïté, et la procédure de chiffrement est assez rapide.

Cependant, ce procédé présente également des inconvénients. Le premier est le fait qu'il existe un certain algorithme qui peut potentiellement être connu de l'attaquant. Cependant, pour l'identifier, un attaquant doit compromettre plusieurs mots de passe pour révéler la connexion entre eux, ainsi que pour connaître le mot recherché. La probabilité d'obtenir les deux facteurs à la fois dans des conditions réelles est très faible. Le deuxième inconvénient est l'utilisation de mots bien connus et de règles simples. Par conséquent, la meilleure option est de développer un tel algorithme, qui inclura toutes les connaissances spéciales et les associations atypiques.

Ci-dessus, nous avons parlé du fait que les mots de passe des services importants devraient être uniques. Dans ce cas, il peut être tentant d'utiliser le nom du service lui-même ou l'association correspondante comme mot souhaité. Nous ne recommandons pas de le faire, car une telle liaison augmente considérablement le risque de deviner le mot de passe. Mais comment, alors, faire correspondre le mot et la ressource pour laquelle le mot de passe est créé ? Grâce à un algorithme de génération assez sophistiqué, vous pouvez autoriser le stockage d'une paire " service-mot " dans le domaine public ou, par exemple, dans les notes sécurisées de votre téléphone. Par exemple, des combinaisons comme : "bank-cash" et "pepper mail" ne sont pas informatifs pour les étrangers, mais en même temps ils donneront des informations sans ambiguïté à l'utilisateur.

En dernier lieu, notons également que vous pouvez créer des mots de passe forts sans les retenir, et les modifier à chaque connexion. Par exemple, sur des sites d’achat, si vous devez créer un compte mais que vous ne vous y rendez pas souvent, créez des mots de passe forts et cliquez sur « mot de passe oublié » à la prochaine connexion.