Politique des mots de passe
Une politique des mots de passe est une suite de règles destinée à améliorer la sécurité, en encourageant les utilisateurs à recourir à des mots de passe relativement robustes et en les utilisant correctement. Cette politique fait souvent partie des règlements officiels d'une organisation et est enseignée en tant qu'élément de formation pour une prise de conscience de l'importance de la sécurité.
Création de mots de passe
Sa longueur minimale est généralement de 8 caractères, et une longueur maximale peut-être donnée, non pour la sécurité mais pour une éventuelle compatibilité des systèmes employés. Les caractères employés ont également leur importance. L'utilisation des minuscules et des majuscules, l'insertion de chiffres et de caractères spéciaux permettent une meilleure résistance en cas de tentative d'accès avec divers mots de passe. Pour lutter contre les programmes utilisant la force brute, les mots de passe ne devraient faire partie ni d'un dictionnaire, ni de noms propres, ni de dates valides et ni de données personnelles telles qu'un numéro de compte. Enfin, un générateur de mots de passe aléatoires peut être utilisé.
En France, l'ANSSI recommande une longueur minimale de 12 caractères comprenant des majuscules, minuscules, chiffres et caractères spéciaux[1].
Exemple à ne pas suivre : il est exigé des employés du gouvernement de Grande-Bretagne d'utiliser des mots de passe de la forme consonne, voyelle, consonne, consonne, voyelle, consonne, nombre ; cela peut donner pinrad45. Ceci est un très mauvais système, car il diminue le nombre de possibilités parmi lesquelles un pirate éventuel devra chercher pour trouver un mot de passe. En effet s'il sait que la première lettre est une consonne, alors il n'aura que 20 possibilités pour cette lettre au lieu d'une soixantaine si aucune contrainte n'est donnée. De même pour la deuxième lettre il n'y a que 6 voyelles au lieu de 60 si on utilise tous les caractères. Et ainsi de suite. Pour les deux chiffres de la fin cela ne fait que 10 possibilités au lieu de 60. Donc globalement le nombre de possibilités est 20 x 6 x 20 x 20 x 6 x 20 x 10 x10 = 576 millions au lieu de 60 ^ 8 = 168 000 milliards.
Autre exemple à ne pas suivre : utiliser une liste prédéfinie de mots de passe sélectionnables par les utilisateurs. Là aussi très mauvais système : si le pirate arrive à se procurer la liste, il n'aura aucun mal à trouver le mot de passe d'un utilisateur.
Un exemple de système permettant la création de mots de passe plus robustes : utiliser une phrase qui a une signification forte et facile à retenir par l'utilisateur et ne garder que la première lettre de chaque mot. Par exemple si on se donne la phrase « Beaucoup d'américains pensent que la lune est un fromage » (en supposant que cette phrase soit une que l'utilisateur aime bien), cela donne : bdapqlleuf
.
Une variante avec les deux premières lettres de chaque mot donnerait : bed'ampequlaluesunfr
mais dans cet exemple, la phrase est peut-ĂŞtre un peu longue.
Ensuite, il faut choisir quelques-unes des lettres pour les mettre en majuscules (mais sans que soit appliquée une règle trop facile à trouver). Cela donnerait par exemple pour le premier mot : bdaPqlLeuf
.
Enfin, insérer (ou remplacer certaines lettres par) des chiffres. Ce qui donnerait par exemple b2aPqlL3uf
.
Période de validité
Certaines règles imposent de changer les mots de passe périodiquement, tous les 60 à 180 jours ; de plus les systèmes qui mettent en application une telle politique empêchent parfois les utilisateurs de sélectionner un mot de passe trop près d'un choix précédent. Toutefois cela affaiblit la sécurité en raison de la difficulté à retenir un nombre élevé de mots de passe par l'utilisateur, celui-ci finit par employer des mots de passe plus faibles mais plus faciles à retenir. Un compromis consiste à accorder une longue période de validité aux mots de passe complexes.
Règles d'utilisation
Une politique de mots de passe doit s'accompagner de bonnes habitudes d'utilisation[2] :
- ne jamais partager un compte utilisateur ;
- ne jamais utiliser le même mot de passe pour différents accès ;
- ne jamais donner son mot de passe, même aux personnes chargées de la sécurité ;
- ne jamais Ă©crire sur papier son mot de passe ;
- ne jamais communiquer son mot de passe par téléphone, mail ou messagerie instantanée ;
- s'assurer de la déconnexion avant de quitter un poste ou activer l'écran de veille s'il est protégé par un mot de passe ;
- changer le mot de passe au moindre soupçon de compromission.
Considérations
En pratique, il est recommandé d'ajouter des règles de gestion. Une durée maximale de connexion, un archivage des mots de passe par l'utilisateur reste possible si le support est protégé par chiffrement et un système d'annulation de mot de passe par une phrase servant de confirmation peuvent être des solutions pratiques.
Notes et références
- « Publication : Sécurité des mots de passe », sur ANSSI (consulté le ).
- (en) « 8 Tips to Make Your Passwords as Strong as Possible », sur www.mentalfloss.com, (consulté le )