La phrase de passe, plus sécurisée que le mot de passe
Pour créer un mot de passe véritablement sécurisé, il faut désormais penser phrase de passe et non plus mot de passe. Ainsi, un seul mot, même s’il est rendu plus complexe en y ajoutant des caractères spéciaux, sera toujours moins solide face à une cyberattaque qu’une phrase de passe.
Par exemple, vous pensez peut-être être à l’abri des hackers avec un mot de passe comme Motocross87, que vous aurez pris soin de complexifier en remplaçant les « o » par des zéros, et en ajoutant un caractère spécial comme un point d’exclamation. Vous obtenez ainsi ceci : M0t0cr0ss87!, un mot de passe qui est en réalité très simple à trouver par un ordinateur. Celui-ci comprendra très vite qu’il est constitué d’un seul mot, avec une majuscule au début et un point d’exclamation à la fin, et décryptera sans problème les zéros pour les remplacer par des « o ».
Pour mieux protéger vos comptes tout en conservant un mot de passe mémorisable, il est donc recommandé d’élaborer une phrase de passe, composée au minimum de 4 mots n’ayant rien en commun. Plus longue, la phrase de passe est beaucoup plus complexe à pirater, surtout si elle ne correspond à aucune logique apparente. Concrètement, votre compte sera mieux protégé avec une phrase de passe de type « bougielivresourisphoto » qu’avec le mot de passe « M0t0cr0ss87! ».
Votre phrase de passe, composée de 4 mots qui peuvent désigner, par exemple, des objets se trouvant sur votre bureau (« bougie », « livre », « souris », « photo ») peut encore être complexifiée si vous choisissez d’ajouter des caractères spéciaux entre les mots, ou d’ajouter une majuscule à la troisième lettre de chaque mot.
Quelques règles de prudence s’imposent lorsque vous élaborez votre phrase de passe :
- Ne choisissez pas une phrase tirée d’un roman, d’une chanson ou encore un proverbe : les hackeurs utilisent des dictionnaires numériques capables de reconnaître de très nombreux extraits, ce qui rendrait votre phrase de passe trop facile à pirater ;
- N’utilisez jamais la même phrase de passe pour tous vos comptes : si l’un de vos comptes est piraté, tous les autres deviennent accessibles.
Il existe des coffres-forts numériques qui permettent de conserver vos différentes phrases de passe. La seule à retenir sera alors celle du logiciel : vous devrez la choisir avec le même soin et la modifier régulièrement.
Comment les mots de passe sont-ils piratés ?
Les hackers, ou pirates informatiques, ont recours à différentes méthodes pour accéder aux mots de passe. Une des techniques les plus répandues est le phishing, ou hameçonnage, qui consiste à inciter l’internaute à se connecter à un faux site, ressemblant à un site connu, et à récupérer ses identifiants.
Dans certains cas, l’internaute se connecte à une plateforme ou un compte en répondant à une question sécurisée, comme « Quel est le nom de votre animal de compagnie ? », ou encore « Quelle est la ville dans laquelle vous avez obtenu votre bac ? ». Pour un hacker, ces questions sont loin d’être sécurisées, car les informations sont en général très faciles à trouver sur les réseaux sociaux.
Il existe une autre technique, appelée attaque par force brute, qui consiste pour le hacker à utiliser un ordinateur afin de tester un grand nombre de mots de passe, généralement plusieurs milliers par seconde. Plus le mot de passe est simple et court, moins il faudra de temps à l’ordinateur pour l’obtenir.
De nombreux internautes utilisent encore des mots de passe extrêmement connus, comme les tristement célèbres « 1234 » ou « azerty ». Ils seront les premiers à voir leurs comptes piratés, car les hackers procèdent également à des attaques par force brute inversée : au lieu de cibler des utilisateurs et de tester plusieurs mots de passe, ils utilisent les mots de passe les plus connus et les essayent au hasard sur les comptes de milliers d’internautes.