Pour échapper aux attaques par force brute, seul un procédé aléatoire permet de créer un code secret susceptible d’échapper aux griffes des pirates.
Depuis quelques années, de nombreux experts nous assurent que le mot de passe va bientôt disparaître. Mais force est de constater que ces satanés codes secrets sont toujours bien là, et les pirates aussi. En attendant leur disparition future, il est donc nécessaire de savoir comment concocter un bon mot de passe, qui puisse résister aux attaques de force brute. Oubliez vos petites combines, fondées sur les prénoms de vos animaux de compagnie ou votre pseudo algorithme personnel que vous êtes — apparemment — le seul à connaître. Seul un procédé aléatoire peut sauver votre identifiant en cas de piratage. Deux méthodes sont généralement conseillées : la génération aléatoire et la phrase de passe.
La première consiste à créer une suite aléatoire de caractères parmi les lettres majuscules, les lettres minuscules, les chiffres et les caractères spéciaux. Selon l’ANSSI, pour qu’un tel code soit considéré comme « fort ou très fort », il doit compter au moins 15 caractères. Cela a d’ailleurs été plus ou moins confirmé par la société Hive Systems, qui a récemment fait des tests de cassage de mot de passe.
Un mot de passe de huit caractères est cassé en moins d’une heure. L’opération ne commence à devenir dissuasive qu’à partir de 11 caractères, et nécessite des dizaines d’années. Pour casser un code de 15 caractères, il faut un milliard d’années. Le seul souci, c’est qu’un mot de passe aléatoire de 15 caractères est très difficile à retenir. La seule solution est donc d’utiliser un gestionnaire de mots de passe.
La seconde méthode consiste à aligner aléatoirement quelques mots du dictionnaire, agrémentés de quelques chiffres ou autres caractères spéciaux. Le résultat peut facilement dépasser les 25 caractères, ce qui est excellent d’un point de vue sécurité. Et en plus, un tel mot de passe est beaucoup plus simple à retenir. Il est donc particulièrement conseillé pour les cas les plus sensibles. Par exemple pour définir le mot de passe maître d’un gestionnaire de mot de passe.
Source 01net.com