Comment générer un mot de passe robuste ?

•

Dernière mise à jour :

Ces dernières années se sont accompagnées d’une augmentation des attaques informatiques de grande ampleur, qui ont entraîné la compromission de nombreux mots de passe. Pour une entreprise, le risque est sévère et peut mettre en péril son activité, c’est pourquoi il est aujourd’hui indispensable pour tout dirigeant de mettre en place une politique de mot de passe robuste, et de former ses collaborateurs aux bonnes pratiques.

1. Comment protéger son mot de passe ?

Qu’est-ce qu’un mot de passe robuste ?

La protection de son mot de passe dépend principalement de son niveau de robustesse. La définition de la robustesse d'un mot de passe est sa capacité à être deviné, par exemple lors d’une attaque informatique par force brute – qui consiste pour un hacker à tester massivement des combinaisons de caractères à l’aide d’un programme. Cette robustesse dépend de la complexité et de la longueur du mot de passe choisi, et se mesure au nombre de tentatives estimées nécessaires pour le « casser » (voir calcul de l'entropie d'un mot de passe en fin d'article).

En entreprise, mettre en place une politique de mot de passe robuste consiste à renforcer la protection de ses donnés en choisissant des mots de passe longs et complexes, et en évitant les erreurs les plus fréquentes qui consistent à choisir des mots de passe simples parce qu’ils sont faciles à retenir ou à portée symbolique – comme le nom de la rue du siège de l’entreprise ou sa date de création – ou encore en utilisant le même mot de passe pour différents comptes – ce qui peut entraîner un piratage en cascade. Or, plus la structure d’un mot de passe est logique et plus il se répète, plus il est facile à casser.

« Les mauvais mots de passe sont l’une des manières les plus simples de compromettre la sécurité d’un système. »
Edward Snowden

Quel est le format d’un mot de passe robuste ?

Générer un mot de passe au format robuste en 5 Do's et Don’t.

DO'S

Choisir une combinaison d’au moins 12 caractères
Choisir 4 types de caractères différents : minuscules, majuscules, des chiffres et des symboles spéciaux
Choisir une combinaison aléatoire, sans séquence cohérente de lettres ou de chiffres
Choisir une combinaison sans rapport direct avec l’entreprise ou son activité
Choisir des mots de passe différents pour accéder à des comptes différents

DON’T

Ne pas se communiquer ses mots de passe entre collaborateurs
Ne pas stocker ses mots de passe dans un fichier en clair ou sur papier
Ne pas enregistrer ses mots de passe dans son navigateur sans un mot de passe maître
Ne pas conserver les mots de passe par défaut
Ne pas s’envoyer ses propres mots de passe par mail

Moyen mnémotechnique pour créer et retenir un mot de passe complexe

Un bon moyen consiste à ne conserver que les premières lettres des mots d’une phrase. Un exemple de mot de passe robuste qui peut être généré avec cette méthode, à partir de la phrase « Mon entreprise va révolutionner le secteur de l’IT d’ici 5 ans ! » sera ainsi « MevrlsdITdi5a! »

2. Quelle méthode recommande la CNIL pour définir ses mots de passe ?

Recourir à un générateur de mots de passe robustes

La CNIL (Commission nationale de l’informatique et des libertés) a adopté une série de recommandations relatives aux mots de passe solides en 2017. Actualisées en 2021, ces recommandations insistent sur l’importance de renforcer la sécurité des mots de passe des entreprises, encore trop vulnérables, en créant des suites de caractères complexes et aléatoires, allant jusqu’à 12 signes, et en évitant toute combinaison logique qui permette de le deviner.

La CNIL a ainsi mis à disposition un générateur de mots de passe robustes et aléatoires, garantissant aux professionnels de respecter le seuil de sécurité posé par la loi :

https://www.cnil.fr/fr/generer-un-mot-de-passe-solide

Conseil de hacker

L’astuce ultime consiste à utiliser des caractères qui n'apparaissent pas dans toutes les langues, comme des caractères cyrilliques ou hébreux. C’est une tannée pour les hackers, et ce qu’ils testeront en dernier.

Opter pour un gestionnaire de mots de passe

Les mots de passe ne doivent jamais être stockés en clair. Recourir à un coffre-fort, ou gestionnaire de mots de passe peut être un vrai atout pour sa politique de gestion de mots de passe : il permet de les stocker en toute sécurité sur une base de données, et d’y accéder grâce à un mot de passe « maître » unique. Il existe des logiciels de coffre-fort qui ont le double avantage de générer eux-mêmes des mots de passe robustes et de les stocker, comme :

Dashlane
Keepass
Zenyway
Passwordsafe
Bitwarden

À noter

Keepass et Passwordsafe sont des gestionnaires de mos de passe offline. Il faut donc synchroniser le coffre-fort soi-même sur tous ses appareils pour avoir accès à ses mots de passe.

Conclusion : le mot de passe… et autres sécurités

Si les dirigeants sont de plus en plus nombreux à mettre en place des politiques de mot de passe robustes, la formation des collaborateurs à ces bonnes pratiques reste fondamentale pour garantir la sécurité des données des entreprises. Certaines mesures complémentaires peuvent également se révéler précieuses, comme la multi-authentification, à minima la double authentification, désormais obligatoire pour les services bancaires et financiers, ou le message d’alerte en cas de connexion inconnue. Enfin, même lorsqu’une politique de mot de passe robuste est en place, il reste important d’opérer périodiquement à un renouvellement de l’ensemble des mots de passe de l’entreprise.

Protégez votre entreprise

Le scan externe de Stoïk détecte les mots de passe compromis et autres vulnérabilités de votre infrastructure externe

Tester mon risque

Des pratiques de cybersécurité à connaître :

Comment sensibiliser ses collaborateurs au phishing ?
Évaluer sa surface d'attaque, pourquoi est-ce important ?
Faut-il mettre en place un PCA ? Que doit-il contenir ?
Comment sauvegarder ses données de manière sécurisée ?
Comment sécuriser un serveur informatique ?
Quelle est l'importance des mises à jour ?

Foire aux questions

Comment mesurer la robustesse d'un mot de passe ?

Pour mesurer la robustesse d'un mot de passe, il faut calculer son entropie. L'entropie d'un mot de passe est une mesure de la quantité d'information qu'il faut acquérir pour le deviner. Imaginons que le mot de passe soit un nombre entre 1 et 16 et que l'objectif soit de le deviner en posant un minimum de question auxquelles on répond par oui ou par non.

La stratégie optimale consiste à procéder par dichotomie, c'est-à-dire à successivement couper l'intervalle des valeurs possibles en 2 parties égales et à demander à chaque étape dans lequel des 2 intervalle le mot de passe se trouve. Comme 16 est égal à 2^4 (lire 2 puissance 4), il faudra poser 4 questions avant de trouver à coup sûr ce mot de passe. On dit alors que 4 est son entropie.

Plus l'espace des mot de passe possibles augmente, plus l'entropie des mots de passe générés augmente.

Est-ce qu'un mot de passe robuste peut empêcher un phishing de réussir ?

Si un collaborateur renseigne son identifiant et son mot de passe (aussi robuste qu'il soit) sur un site internet frauduleux après avoir reçu un e-mail de phishing (hameçonnage), alors le pirate peut accéder au système interne de l'entreprise. Cependant, l'activation de mots de passe robustes notamment sur les espaces administrateurs rendra le pivotement plus difficile au sein du sytème informatique. Il s'agit donc bien d'une protection en plus pour empêcher les attaquants d'accéder à des données sensibles et ainsi d'activer un ransomware (rançongiciel). Dans l'idéal, l'entreprise devrait compléter sa protection mettant en place des campagnes de sensibilisation au phishing.

‍Sources :