De l'art
de choisir le bon mot de passe
Par le JDNet
Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0205/020527_bon_password.shtml
Lundi 27 mai 2002
Certains mots de passe sont infiniment
plus efficaces que d'autres. Quand on choisit bien le sien, le pirate
en est réduit à utiliser la puissance brute. De ce
côté là, les administrateurs réseau peuvent
se rassurer : il faudrait 66 ans à une machine spécialisée
pour casser un mot de passe de 8 caractères. Et pour cause :
8 caractères bien choisis parmi les 95 caractères
ASCII offrent 6,6 millions de milliards de combinaisons possibles.
Mode d'emploi du bon mot de passe :
Comment créer
un bon mot de passe ?
Avant tout, il faut bannir
tout ce qu'il y a d'humain dans un mot de passe : "il
faut éviter d'utiliser un prénom en y ajoutant un
chiffre, explique Gerard Peliks,
expert de sécurité qui travaille au marketing d'EADS.
Dans l'idéal, il faut exploiter au maximum les possibilités
d'une suite de huit caractères. Et pour celà, il n'y
a pas de secret, le mieux est d'utiliser une application qui génère
une suite de chiffres, de lettres et de symboles de façon
complètement aléatoire". Des applications de
ce type sont déjà utilisées par bon nombre
d'administrateurs réseau.
Un mot de
passe est-il créé une bonne fois pour toutes ?
Pour Serge
Druais - responsable des systèmes d'information chez Thales :
"il faut changer son mot de passe régulièrement.
Le mieux est d'adapter comme chez nous le nombre et la fréquence
des changements au niveau de protection requis pour chaque application".
Comment stocker
un mot de passe ? Sur un bout de papier ? Dans sa mémoire
?
Pour
Gerard Peliks, "l'idéal est de faire marcher sa mémoire.
Mais beaucoup d'utilisateurs y sont réticents, surtout lorsqu'il
s'agit d'un mot de passe contenant des caractères spéciaux
qui change tous les mois". Il existe pourtant
des solutions mnémotechniques qui permettent de retenir plus
facilement les longues séries de 8 caractères - ainsi,
8/a^&2+8 donnerait 'huit tordus à galurin et deux poux
fuient'. Quelques entreprises ont déja investi dans des formations
aux technique de mémorisation. Mais selon Gerard Peliks,
"il restera toujours des personnes rétives à
la l'apprentissage par coeur. Elles continueront de noter leur mot
de passe quelque part. L'essentiel pour ces personnes sera alors
de s'arranger pour que nul ne puisse accéder à leur
petite note". Serge Druais
renchérit : "Chez Thalès, nous ne sommes
pas dupes : nous ne croyons pas à la mémorisation.
Par contre, nous sommes intransigeants
sur la conservation du mot de passe : en aucun cas il ne doit
être dévoilé. Certaines personnes parviennent
très facilement à se faire passer pour des administrateurs
système. Ils prétendent que le mot de passe de l'utilisateur
est indispensable pour un acte de maintenance important, et repartent
avec les huit chiffres dans la poche ... Un mot de passe, ca ne
se dévoile pas".
Comment convaincre
les utilisateurs de respecter ces principes ?
C'est sans doute l'un
des problèmes les plus délicats. Pour Gerard Peliks,
"la plupart des administrateurs sont sensibilisés à
la problématique du mot de passe. Par contre, les utilisateurs
de leur parc informatique ne le sont pas assez". Manque d'information
en interne, ou problème de motivation des individus ?
L'exemple de Thalès est parlant : "Chaque fois
qu'un salarié rentre chez nous, il doit lire une charte de
sécurité comportant un certain nombre de plaquettes
informatives qui touchent notamment au problème des mots
de passe. Il est aussi chapeauté par le directeur de la sécurité
de sa division, qui doit contrôler sa façon de gérer
les mots de passe". Pour Gerard Péliks, on peut encore
faire mieux : "il faut former les utilisateurs aux problématiques
de la sécurité, puis conditionner leur accès
à l'internet à leur acceptation d'une charte bien
précise, qui les engage à respecter quelques consignes.
Proposer un accès à internet en échange d'une
signature, c'est sans doute la meilleure façon de motiver
un salarié. Quant à la sanction, elle ne doit intervenir
qu'en dernier ressort".
Un bon mot
de passe est-il suffisant ?
Non. Pour le simple et
bonne raison qu'un utilisateur peut très facilement le dévoiler
à une personne tierce, qu'un collègue peut le découvrir
en observant furtivement le clavier de son voisin, que le petit
bout de papier sur lequel on a noté son mot de passe peut
tomber dans les mains d'une personne malintentionnée, etc
...
Comment faire
mieux qu'un mot de passe ?
De nombreuses technologies
permettent de renforcer la sécurité d'un compte utilisateur
ou administrateur. Selon Gérard Péliks, "il existe
trois solutions : s'identifier par ce que l'on sait - un mot
de passe -, par ce que l'on a - une clé physique sur
port USB ou lecteur de cartes à puces - ou par ce que
l'on est - l'iris et l'emprunte digitale par exemple. Prises individuellement,
ses protections sont faibles : on peut toutes les déjouer.
Mais si on en utilise deux en même temps, on arrive à
un niveau de protection fort". Thalès utilise ce système
de redondance :"sur les postes administrateurs importants,
nous combinons un mot de passe et une clé physique. Nous
avons même commencé à utiliser les solutions
de biométrie - que nous commercialisons - pour renforcer
la protection des serveurs critiques". Quand à savoir
laquelle des trois technologies est la plus fiable, Gérard
Peliks confie que "La clé physique est la plus faible :
on la perd facilement. Le mot de passe est d'une efficacité
correcte. Quant à la biométrie, les systèmes
les plus évolués sont nettement plus efficaces encore".
En attendant la révolution de la biométrie comportementale,
qui permettra d'identifier un utilisateur par la façon de
frapper sur le clavier, de se déplacer ou d'appuyer sur son
stylo quand il signe.
[Nicolas Six, JDNet]
Pour tout problème de consultation, écrivez au Webmaster
Copyrights
et reproductions . Données
personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE
|
|
|