ATTENTION : ces archives ne sont plus tenues à jour, des liens peuvent être brisés.

Bien gérer les mots de passe

Pour protéger vos informations, il est nécessaire de créer et d'utiliser des mots de passe robustes qui pourront être difficilement retrouvés par des outils automatisés ou des individus mal intentionnés. L'Agence nationale de la sécurité des systèmes d'information propose un certain nombre de recommandations complétées par le module d'autoformation du Portail de la Sécurité informatique.

Qu'est-ce qu'un bon mot de passe ?

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) propose dans sa rubrique "bonnes pratiques"  plusieurs recommandations en matière de sécurité du poste de travail et des serveurs. On trouve en particulier une série de recommandations relatives aux mots de passe parmi lesquelles il convient de mentionner :

  • Utiliser un mot de passe différent pour chaque service
  • Choisir une combinaison sans lien avec  son identité
  • Ne pas recourir  à un générateur hébergé ou fabriqué par une autre personne
  • Modifier systématiquement les mots de passe créés par défaut
  • Renouveler fréquemment les combinaisons avec une fréquence raisonnable, adaptée au contexte (en fonction de l'âge de l'utilisateur et de la nature, de la sensibilité du service)
  • Configurez les logiciels pour qu’ils ne se "souviennent" pas des mots de passe choisis, en particulier le navigateur.

Un mot de passe se doit en outre d'être composé, selon le guide, d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux). Deux méthodes peuvent être alors utilisées, voire combinées, pour le choix de la suite de caractères : la méthode phonétique (« J’ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am) ou la méthode des premières lettres (la citation « un tiens vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A).

Module d'auto-formation

Le Portail de la Sécurité informatique met à disposition un module réalisé sous Scenari dont l'objectif est de "comprendre le rôle du mot de passe dans une authentification et apprendre pourquoi et comment créer un mot de passe correct". Dans cette perspective, les auteurs (Florent Chabaud - Robert Longeon) listent différents types d'attaques : craquages par force brute, dictionnaire ou par compromis temps/mémoire. Les attaques par ruse sont également beaucoup utilisées sur Internet (ingénierie sociale, hameçonnage, capture des saisies clavier, interception des communications).

Il semble au final "indispensable que la politique de sécurité d'un système d'information intègre une politique de gestion des mots de passe et même, plus généralement, une politique de gestion des mécanismes de déverrouillage".


L'intégralité de l'article de l'ANSSI : Mot de passe

Le module d'autoformation : Mots de passe