Comment créer et mémoriser un mot de passe fort

2024 Auteur: Malcolm Clapton | [email protected]. Dernière modifié: 2023-12-17 03:55

Les meilleures façons de créer un mot de passe que personne ne peut déchiffrer.

La plupart des attaquants ne s'embarrassent pas de méthodes sophistiquées de vol de mot de passe. Ils prennent des combinaisons faciles à deviner. Environ 1% de tous les mots de passe existants peuvent être de force brute avec quatre tentatives.

Comment est-ce possible? Très simple. Vous essayez les quatre combinaisons les plus courantes au monde: mot de passe, 123456, 12345678, azerty. Après un tel passage, en moyenne, 1% de tous les "coffres" sont ouverts.

Disons que vous faites partie de ces 99% d'utilisateurs dont le mot de passe n'est pas si simple. Même ainsi, les performances des logiciels de piratage modernes doivent être prises en compte.

Le programme gratuit et disponible gratuitement John the Ripper vérifie des millions de mots de passe par seconde. Certains exemples de logiciels commerciaux spécialisés revendiquent une capacité de 2,8 milliards de mots de passe par seconde.

Initialement, les programmes de craquage parcourent une liste des combinaisons statistiquement les plus courantes, puis se réfèrent au dictionnaire complet. Au fil du temps, les tendances des mots de passe des utilisateurs peuvent changer légèrement, et ces changements sont pris en compte lors de la mise à jour de ces listes.

Au fil du temps, toutes sortes de services Web et d'applications ont décidé de compliquer de force les mots de passe créés par les utilisateurs. Des exigences ont été ajoutées, selon lesquelles le mot de passe doit avoir une certaine longueur minimale, contenir des chiffres, des majuscules et des caractères spéciaux. Certains services ont pris cela tellement au sérieux qu'il faut une tâche très longue et fastidieuse pour trouver un mot de passe que le système accepterait.

Le problème clé est que presque tous les utilisateurs ne génèrent pas de mot de passe véritablement brutal, mais essaient seulement de répondre au minimum aux exigences du système pour la composition du mot de passe.

Le résultat est des mots de passe comme password1, password123, Password, PassWoRd, password ! et l'incroyablement imprévisible p @ ssword.

Imaginez que vous deviez refaire votre mot de passe Spiderman. Très probablement, il ressemblera à $ pider_Man1. Original? Des milliers de personnes le modifieront en utilisant le même algorithme ou un algorithme très similaire.

Si le cracker connaît ces exigences minimales, la situation ne fait qu'empirer. C'est pour cette raison que l'exigence imposée d'augmenter la complexité des mots de passe n'offre pas toujours la meilleure sécurité et crée souvent un faux sentiment de sécurité accrue.

Plus le mot de passe est facile à retenir, plus il risque de se retrouver dans les dictionnaires de crackers. En conséquence, il s'avère qu'un mot de passe vraiment fort est tout simplement impossible à retenir, ce qui signifie qu'il doit être corrigé quelque part.

Selon les experts, même à l'ère numérique, les gens peuvent toujours se fier à un morceau de papier avec des mots de passe écrits dessus. Il est pratique de conserver une telle feuille dans un endroit à l'abri des regards indiscrets, par exemple dans un portefeuille ou un portefeuille.

Cependant, la feuille de mot de passe ne résout pas le problème. Les mots de passe longs sont difficiles non seulement à retenir, mais aussi à saisir. La situation est aggravée par les claviers virtuels des appareils mobiles.

Interagissant avec des dizaines de services et de sites, de nombreux utilisateurs laissent derrière eux une chaîne de mots de passe identiques. Ils essaient d'utiliser le même mot de passe pour chaque site, ignorant complètement les risques.

Dans ce cas, certains sites font office de nounou, obligeant la combinaison à être compliquée. En conséquence, l'utilisateur ne peut tout simplement pas se rappeler comment il a dû modifier son mot de passe unique standard pour ce site.

L'ampleur du problème a été pleinement prise en compte en 2009. Puis, en raison d'une faille de sécurité, le pirate a réussi à voler la base de données des identifiants et mots de passe de RockYou.com, la société qui publie des jeux sur Facebook. L'attaquant a rendu la base de données accessible au public. Au total, il contenait 32,5 millions d'entrées avec des noms d'utilisateur et des mots de passe pour les comptes. Des fuites se sont déjà produites, mais l'ampleur de cet événement particulier a montré la situation dans son ensemble.

Le mot de passe le plus populaire sur RockYou.com était 123456, qui a été utilisé par près de 291 000 personnes. Les hommes de moins de 30 ans préféraient plus souvent les thèmes sexuels et les vulgarités. Les personnes âgées des deux sexes se sont souvent tournées vers un domaine culturel particulier lors du choix d'un mot de passe. Par exemple, Epsilon793 ne semble pas être une si mauvaise option, seule cette combinaison était dans Star Trek. Le 8675309 à sept chiffres est apparu plusieurs fois car ce numéro est apparu dans l'une des chansons de Tommy Tutone.

En fait, créer un mot de passe fort est une tâche simple, il suffit de composer une combinaison de caractères aléatoires.

Vous ne pouvez pas créer une combinaison parfaitement aléatoire en termes mathématiques dans votre tête, mais vous n'y êtes pas obligé. Il existe des services spéciaux qui génèrent des combinaisons vraiment aléatoires. Par exemple, il peut créer des mots de passe comme celui-ci:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

C'est une solution simple et élégante, surtout pour ceux qui utilisent un gestionnaire pour stocker les mots de passe.

Malheureusement, la plupart des utilisateurs continuent d'utiliser des mots de passe simples et faibles, ignorant même la règle « mots de passe différents pour chaque site ». Pour eux, la commodité est plus importante que la sécurité.

Les situations dans lesquelles la sécurité des mots de passe peut être compromise peuvent être divisées en 3 grandes catégories:

• Aléatoire, dans lequel une personne que vous connaissez essaie de trouver le mot de passe, en s'appuyant sur les informations qu'elle connaît à votre sujet. Souvent, un tel cracker ne veut que jouer un tour, découvrir quelque chose sur vous ou faire des dégâts.
• Attaques de massequand absolument n'importe quel utilisateur de certains services peut devenir une victime. Dans ce cas, un logiciel spécialisé est utilisé. Pour l'attaque, les sites les moins sécurisés sont sélectionnés, ce qui vous permet de saisir à plusieurs reprises des options de mot de passe dans un court laps de temps.
• Déterminéqui combinent la réception d'indices (comme dans le premier cas) et l'utilisation de logiciels spécialisés (comme dans une attaque de masse). Il s'agit d'essayer d'obtenir des informations vraiment précieuses. Seul un mot de passe aléatoire suffisamment long aidera à vous protéger, dont la sélection prendra un temps comparable à la durée de votre vie.

Comme vous pouvez le voir, absolument n'importe qui peut devenir une victime. Des déclarations telles que « mon mot de passe ne sera pas volé, car personne n'a besoin de moi » ne sont pas pertinentes, car vous pouvez vous retrouver dans une situation similaire tout à fait par accident, par coïncidence, sans raison apparente.

Il est encore plus sérieux de prendre une protection par mot de passe pour ceux qui ont des informations précieuses, sont associés à une entreprise ou sont en conflit avec quelqu'un pour des raisons financières (par exemple, partage des biens en cours de divorce, concurrence dans les affaires).

En 2009, Twitter (au sens de l'ensemble du service) a été piraté uniquement parce que l'administrateur a utilisé le mot bonheur comme mot de passe. Le pirate l'a récupéré et l'a publié sur le site Web Digital Gangster, ce qui a conduit au détournement des comptes d'Obama, Britney Spears, Facebook et Fox News.

Acronymes

Comme dans tout autre aspect de la vie, nous devons toujours trouver un compromis entre une sécurité maximale et un confort maximal. Comment trouver un juste milieu ? Quelle stratégie de génération de mots de passe vous permettra de créer des combinaisons fortes et facilement mémorisables ?

Pour le moment, la meilleure combinaison de fiabilité et de commodité consiste à convertir une phrase ou une phrase en mot de passe.

Un ensemble de mots dont vous vous souvenez toujours est sélectionné et une combinaison des premières lettres de chaque mot est utilisée comme mot de passe. Par exemple, que la force soit avec vous se transforme en Mtfbwy.

Cependant, étant donné que les plus célèbres seront utilisées comme phrases initiales, les programmes finiront par recevoir ces acronymes dans leurs listes. En fait, l'acronyme ne contient que des lettres, et est donc objectivement moins fiable qu'une combinaison aléatoire de caractères.

Choisir la bonne phrase vous aidera à vous débarrasser du premier problème. Pourquoi transformer une expression mondialement connue en mot de passe acronyme ? Vous vous souvenez probablement de blagues et de dictons qui ne sont pertinents que dans votre entourage proche. Disons que vous avez entendu une phrase très accrocheuse d'un barman dans un établissement local. Utilise le.

Pourtant, le mot de passe acronyme que vous avez généré est peu susceptible d'être unique. Le problème avec les acronymes est que différentes phrases peuvent être composées de mots commençant par les mêmes lettres et dans le même ordre. Statistiquement, dans diverses langues, il y a une fréquence accrue d'apparition de certaines lettres comme début d'un mot. Les programmes tiendront compte de ces facteurs et l'efficacité des acronymes dans la version originale sera réduite.

sens inverse

La sortie peut être le chemin inverse de la génération. Vous créez un mot de passe complètement aléatoire sur random.org, puis transformez ses caractères en une phrase mémorable et significative.

Souvent, les services et les sites fournissent aux utilisateurs des mots de passe temporaires, qui sont exactement les mêmes combinaisons parfaitement aléatoires. Vous voudrez les changer, car vous ne pourrez pas vous en souvenir, mais regardez simplement de plus près, et cela devient évident: vous n'avez pas besoin de vous souvenir du mot de passe. Par exemple, prenons une autre option de random.org - RPM8t4ka.

Bien que cela semble dénué de sens, notre cerveau est capable de trouver certains modèles et correspondances même dans un tel chaos. Pour commencer, vous pouvez remarquer que les trois premières lettres sont en majuscules et les trois suivantes sont en minuscules. 8 est deux fois (en anglais deux fois - t) 4. Regardez un peu ce mot de passe, et vous trouverez sûrement vos propres associations avec l'ensemble de lettres et de chiffres proposé.

Si vous pouvez mémoriser des ensembles de mots absurdes, utilisez-les. Laissez le mot de passe se transformer en tours par minute 8 pistes 4 katty. Toute conversion pour laquelle votre cerveau est meilleur fera l'affaire.

Un mot de passe aléatoire est l'étalon-or en matière de sécurité de l'information. C'est, par définition, meilleur que n'importe quel mot de passe créé par l'homme.

L'inconvénient des acronymes est qu'avec le temps, la diffusion d'une telle technique réduira son efficacité, et la méthode inverse restera tout aussi fiable, même si tous les humains sur terre l'utiliseront pendant mille ans.

Un mot de passe aléatoire ne sera pas inclus dans la liste des combinaisons populaires, et un attaquant utilisant une méthode d'attaque de masse ne fera que forcer brutalement un tel mot de passe.

Prenons un mot de passe aléatoire simple qui prend en compte les majuscules et les chiffres - c'est 62 caractères possibles pour chaque position. Si nous ne faisons que 8 chiffres pour le mot de passe, nous obtenons 62 ^ 8 = 218 trillions d'options.

Même si le nombre de tentatives dans un certain intervalle de temps n'est pas limité, le logiciel spécialisé le plus commercial avec une capacité de 2,8 milliards de mots de passe par seconde passera en moyenne 22 heures à essayer de trouver la bonne combinaison. Pour être sûr, nous ajoutons seulement 1 caractère supplémentaire à un tel mot de passe - et il faudra de nombreuses années pour le déchiffrer.

Un mot de passe aléatoire n'est pas invulnérable, car il peut être volé. Les options sont nombreuses, de la lecture d'une entrée au clavier à la pose d'un appareil photo sur votre épaule.

Un pirate informatique peut accéder au service lui-même et obtenir des données directement de ses serveurs. Dans cette situation, rien ne dépend de l'utilisateur.

Une base fiable

Donc, nous sommes arrivés à l'essentiel. Quelles sont les tactiques de mot de passe aléatoire à utiliser dans la vraie vie ? Du point de vue de l'équilibre entre fiabilité et commodité, la "philosophie d'un mot de passe fort" se montrera bien.

Le principe est que vous utilisez la même base - un mot de passe super fort (ses variantes) sur les services et les sites qui sont les plus importants pour vous.

Rappelez-vous une combinaison longue et difficile pour tout le monde.

Nick Berry, consultant en sécurité de l'information, permet d'appliquer ce principe, à condition que le mot de passe soit très bien protégé.

La présence de logiciels malveillants sur l'ordinateur à partir duquel vous saisissez le mot de passe n'est pas autorisée. Il n'est pas permis d'utiliser le même mot de passe pour des sites moins importants et divertissants - des mots de passe plus simples leur suffisent amplement, car le piratage d'un compte ici n'entraînera aucune conséquence fatale.

Il est clair que la base fiable doit être modifiée d'une manière ou d'une autre pour chaque site. Comme option simple, vous pouvez ajouter une seule lettre au début, qui termine le nom du site ou du service. Si nous revenons à ce mot de passe RPM8t4ka aléatoire, il se transformera en kRPM8t4ka pour l'autorisation Facebook.

Un attaquant, voyant un tel mot de passe, ne pourra pas comprendre comment le mot de passe de votre compte bancaire est généré. Les problèmes commenceront si quelqu'un accède à deux ou plusieurs de vos mots de passe générés de cette manière.

Question secrète

Certains pirates de l'air ignorent complètement les mots de passe. Ils agissent au nom du propriétaire du compte et simulent une situation où vous avez oublié votre mot de passe et souhaitez le restaurer avec une question secrète. Dans ce scénario, il peut changer le mot de passe à volonté, et le véritable propriétaire perdra l'accès à son compte.

En 2008, quelqu'un a eu accès au courrier électronique de Sarah Palin, gouverneure de l'Alaska, et à l'époque également candidate à la présidentielle. Le cambrioleur a répondu à la question secrète, qui ressemblait à ceci: « Où avez-vous rencontré votre mari ?

Après 4 ans, Mitt Romney, qui était également candidat à la présidentielle américaine à l'époque, a perdu plusieurs de ses comptes sur divers services. Quelqu'un a répondu à une question secrète sur le nom de l'animal de compagnie de Mitt Romney.

Vous avez déjà deviné le point.

Vous ne pouvez pas utiliser des données publiques et faciles à deviner comme question et réponse secrètes.

La question n'est même pas de savoir si ces informations peuvent être soigneusement récupérées sur Internet ou auprès des proches de la personne. Les réponses aux questions du style "nom d'animal", "équipe de hockey préférée" et ainsi de suite sont parfaitement sélectionnées dans les dictionnaires correspondants d'options populaires.

Comme option temporaire, vous pouvez utiliser la tactique de l'absurdité de la réponse. Pour le dire simplement, la réponse ne devrait avoir rien à voir avec la question secrète. Nom de jeune fille de la mère? Diphénhydramine. Nom d'animal domestique? 1991.

Cependant, une telle technique, si elle est répandue, sera prise en compte dans les programmes correspondants. Les réponses absurdes sont souvent stéréotypées, c'est-à-dire que certaines phrases seront rencontrées beaucoup plus souvent que d'autres.

En fait, il n'y a rien de mal à utiliser de vraies réponses, il vous suffit de choisir judicieusement la question. Si la question n'est pas standard et que la réponse n'est connue que de vous et ne peut être devinée après trois tentatives, alors tout est en ordre. L'avantage d'être véridique est que vous ne l'oublierez pas avec le temps.

ÉPINGLER

Le numéro d'identification personnel (NIP) est un verrou bon marché auquel notre argent est confié. Personne ne prend la peine de créer une combinaison plus fiable d'au moins ces quatre nombres.

Maintenant arrêtez. À l'heure actuelle. En ce moment, sans lire le paragraphe suivant, essayez de deviner le code PIN le plus populaire. Prêt?

Nick Berry estime que 11% de la population américaine utilise 1234 comme code PIN (où ils peuvent le changer eux-mêmes).

Les hackers ne font pas attention aux codes PIN car le code est inutile sans la présence physique de la carte (cela peut justifier en partie la faible longueur du code).

Berry a pris les listes de mots de passe à quatre chiffres qui sont apparues après les fuites sur le réseau. La personne qui utilise le mot de passe 1967 est susceptible de l'avoir choisi pour une raison. Le deuxième code PIN le plus populaire est 1111, et 6% des personnes préfèrent ce code. À la troisième place se trouve 0000 (2%).

Supposons qu'une personne connaissant ces informations ait une carte bancaire entre les mains. Trois tentatives pour bloquer la carte. Des calculs simples montrent que cette personne a 19% de chances de deviner son code PIN si elle entre 1234, 1111 et 0000 dans l'ordre.

C'est probablement pour cette raison que la grande majorité des banques attribuent elles-mêmes des codes PIN aux cartes en plastique émises.

Cependant, de nombreuses personnes protègent les smartphones avec un code PIN, et ici la cote de popularité suivante s'applique: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Souvent, le PIN représente une année (année de naissance ou date historique).

De nombreuses personnes aiment créer des codes PIN sous la forme de paires de nombres répétées (de plus, les paires où le premier et le deuxième nombre diffèrent d'un sont particulièrement populaires).

Les pavés numériques des appareils mobiles affichent des combinaisons comme 2580 en haut - pour le taper, il suffit de faire un passage direct de haut en bas au centre.

En Corée, le nombre 1004 est en accord avec le mot « ange », ce qui rend cette combinaison très populaire là-bas.

Résultat

1. Allez sur random.org et créez-y 5 à 10 mots de passe candidats.
2. Choisissez un mot de passe que vous pouvez transformer en une phrase mémorable.
3. Utilisez cette phrase pour vous souvenir de votre mot de passe.