Lorsque vous sécurisez un système ou vos comptes en ligne, choisir un mot de passe fort est la chose la plus importante que vous pouvez faire. Quelle est l’option la plus sûre ? Un mot de passe composé de caractères apparemment aléatoires ou une phrase secrète composée de plusieurs mots n’ayant aucun rapport entre eux ?
Cet article explique quelle option vous devez utiliser et quand. Pour commencer, examinons ce qu’est une phrase secrète.
- Que signifie phrase secrète ?
- Le problème de la mémorisation
- Ajouter de l’aléatoire
- Phrase secrète ou mot de passe : lequel devriez-vous utiliser ?
Que signifie phrase secrète ?
Lorsque vous vous identifiez pour accéder à un compte en ligne ou à un fichier, vous utilisez généralement une sorte de mot de passe. Vous pourriez également opter pour l’utilisation d’une phrase secrète. Une phrase secrète est une séquence de quatre mots ou plus, chaque mot de la phrase ayant au moins quatre lettres. Les espaces ne sont pas nécessaires, donc vous pouvez avoir une phrase secrète qui ressemble à table chaise livre bougie ou tablechaiselivrebougie.
Les phrases secrètes fonctionnent de la même manière que les mots de passe, mais elles se différencient sur des points importants. La première différence, la plus évidente, est la longueur. Alors que les mots de passe doivent avoir au moins 15 caractères, les phrases secrètes, de par leur nature, vont généralement en avoir au moins 20.
C’est un avantage considérable. L’entropie d’un mot de passe, qui mesure la difficulté d’un mot de passe, augmente avec la longueur. Bien que plus long ne signifie pas nécessairement plus sécurisé, chose que nous aborderons plus en détail dans un instant, utiliser une phrase secrète est un moyen facile de renforcer un mot de passe sans trop de complications.
Malgré leur longueur, les phrases secrètes sont beaucoup plus faciles à mémoriser. Par exemple, la phrase secrète table chaise livre bougie mentionnée précédemment est un simple moyen mnémotechnique, une façon de rappeler des souvenirs. Vous êtes assis à table sur une chaise en lisant un livre à la lumière d’une bougie. Bien qu’elle soit beaucoup plus longue que le mot de passe moyen, elle est beaucoup plus facile à retenir.
Le problème de la mémorisation
Les phrases secrètes résolvent un énorme inconvénient des mots de passe, qui sont difficiles à retenir s’ils sont un tant soit peu sécurisés. Bien qu’un mot court (comme le nom de votre animal de compagnie et l’année de votre naissance) soit facile à retenir, il est aussi extrêmement facile à pirater via des attaques par dictionnaire(nouvelle fenêtre), où le logiciel de l’attaquant « devine » votre mot de passe en testant des combinaisons de mots connues.
Pour résoudre ce problème, vous devez ajouter des caractères spéciaux aux mots de passe, c’est pourquoi les plateformes en ligne vous demandent souvent d’ajouter des chiffres et des caractères spéciaux lors de la création de votre compte. En ajoutant des chiffres, des lettres majuscules et des caractères spéciaux, vous détournez les attaques par dictionnaire : plus votre mot de passe semble aléatoire, plus il est difficile à deviner.
Par exemple, si vous décidez d’utiliser le mot aardvark comme mot de passe, vous devriez le rendre plus difficile à deviner en ajoutant des chiffres, peut-être en remplaçant les A par le chiffre quatre, soit 44rdv4rk. Pour ajouter un peu d’aléatoire, vous pourriez épargner le premier A de cette modification et pourquoi pas le mettre en majuscule, le transformant en A4rdv4rk. Ensuite, ajoutez quelques symboles pour le rendre vraiment étrange, vous obtiendrez ainsi #A4rdv@rk!
Tout cela a l’air bien et ajoute une belle touche d’aléatoire au mot, mais vous venez de transformer le problème en un enjeu de mémoire, et non de sécurité. Si vous vous inscrivez maintenant, oubliez ce compte puis essayez de vous connecter un mois ou deux plus tard, vous aurez du mal à vous souvenir des lettres que vous avez substituées et de la manière dont vous l’avez fait (noter les mots de passe dans un carnet n’est généralement pas une bonne idée pour de nombreuses raisons).
Alors que votre cerveau se souvient probablement très bien de « aardvark », tout le reste est simplement trop aléatoire pour être mémorisé correctement. De plus, puisque vous ne devriez jamais réutiliser les mots de passe, celui-ci n’est qu’un parmi des dizaines que vous devrez retenir.
Il semble donc clair que les phrases secrètes sont préférables aux mots de passe. Cependant, cet argument repose fortement sur la mémoire humaine comme prémisse. Voyons ce qui se passe si nous excluons cela de l’équation.
Ajouter de l’aléatoire
Les phrases secrètes sont plus faciles à retenir et, de par leur longueur (c’est-à-dire leur entropie plus élevée), sont plus sécurisées que les mots de passe courts. Cependant, ce n’est pas toute l’histoire. Comme nous l’avons discuté, le maillon faible est la mémoire humaine ; et si nous la remplacions par la mémoire d’un ordinateur ?
Voici les gestionnaires de mots de passe, des programmes qui stockent vos mots de passe et les remplissent automatiquement là où vous en avez besoin lorsque vous naviguez sur internet. Ils facilitent grandement la vie en remplissant automatiquement les mots de passe partout où vous allez, mais surtout, ils ajoutent beaucoup de sécurité en générant et en mémorisant pour vous des mots de passe longs et complexes.
Par exemple, si vous utilisez notre gestionnaire de mots de passe, Proton Pass, chaque fois que vous créez un nouveau compte sur un site, l’extension de navigateur Pass vous proposera de créer et de stocker le mot de passe pour vous. Là où normalement vous feriez quelque chose comme notre « aardvark » précédent ou une combinaison de votre ville natale et de votre date de naissance, le mot de passe de Proton Pass sera quelque chose comme rZa;8g=6^P”kL*3, ce qui est impossible à retenir pour la plupart des gens.
Ce type de mot de passe de plus de 15 caractères sera pratiquement impossible à pirater avec une attaque par force brute et vous n’aurez pas besoin de le mémoriser. Tant que vous avez un gestionnaire de mots de passe et que vous l’utilisez pour créer des mots de passe longs et complexes, le débat mot de passe contre phrase secrète est sans objet. Votre compte est sécurisé.
Mais qu’en est-il de la sécurisation de votre gestionnaire de mots de passe lui-même ? Un mot de passe aléatoire serait idéal mais difficile à mémoriser. C’est là que la phrase secrète entre en jeu : une phrase secrète comme table chaise livre bougie fera l’affaire.
Phrase secrète ou mot de passe : lequel devriez-vous utiliser ?
Pour résumer ce que nous avons abordé : si vous comparez une phrase secrète à un mot de passe vraiment aléatoire, le mot de passe est l’option la plus sûre et la plus sécurisée. Le problème se situe au niveau de notre capacité de mémorisation. La seule manière de se souvenir d’un mot de passe aléatoire est d’utiliser un gestionnaire de mots de passe, que vous pouvez à son tour protéger avec une phrase secrète plus facile à mémoriser.
Bien sûr, dans ce cas, vous devez également vous assurer que le gestionnaire de mots de passe est sécurisé, privé et facile à utiliser. Nous avons développé Proton Pass en gardant ces objectifs à l’esprit. Il utilise le chiffrement de bout en bout pour assurer la sécurité de vos données et bénéficie également des lois suisses sur la confidentialité qui facilitent la protection de vos informations privées.
De plus, il offre également d’autres avantages directs, comme l’authentification à deux facteurs, qui ajoute une étape supplémentaire d’authentification au cas où votre mot de passe serait compromis d’une manière ou d’une autre (rappelez-vous, un bon mot de passe protège contre les attaques par force brute, pas contre le phishing (hameçonnage) où un attaquant vous trompe pour obtenir votre mot de passe).
De plus, la mission de Proton est de rendre vos e-mails, fichiers, mots de passe et autres données privés par défaut. Vos identifiants et adresses e-mail personnelles en particulier font partie de votre identité numérique, qu’il est important de protéger tout comme vous protégez votre passeport ou votre numéro de carte d’identité. Proton Pass propose des alias « hide-my-email alias » en plus du stockage sécurisé de vos mots de passe pour offrir une meilleure protection de votre vie privée.
Si cela vous semble intéressant, vous pouvez vous inscrire à Proton Pass gratuitement et rejoindre la lutte pour un internet meilleur.