Plus personne n'ignore de nos jours qu'il faut correctement protéger les divers accès aux services dont nous sommes les utilisateurs. Cependant, devant la multiplications des comptes en ligne, et la nécessité de changer régulièrement les mots de passe de chacun d'entre eux, beaucoup d'entre nous cèdent bien souvent à la facilité et font des choix minimalistes.
Il est important de garder à l'esprit quelques conseils de base pour éviter d'utiliser des mots de passe qui pourraient être découverts trop facilement et au contraire faire des choix qui correspondent beaucoup plus à des critères forts de sécurité:
- Éviter les mots utilisés régulièrement dans la vie courante,
- Éviter les suites de lettres tel le fameux "abcdef" ou encore constituées uniquement de la même lettre du style "aaaaaa",
- Éviter les suites de chiffres tel le fameux "123456" ou encore constituées uniquement du même chiffre du style "111111", tout comme les dates de naissance,
- Éviter les noms ou prénoms de l'utilisateur ou de ses proches, de ses amis, voire même de ses animaux de compagnie,
- Utiliser des suites de caractères alphanumériques qui mélangent chiffres, majuscules et minuscules d'une manière le plus possible aléatoire,
- On peut également utiliser la première lettre de chacun des mots d'une phrase code personnelle qui sera ainsi plus facile à mémoriser.
Il y a bien sûr d'autres possibilités de constituer des mots de passe forts, cette liste n'étant bien évidemment pas exhaustive.
Heureusement, il existe plusieurs programmes qui peuvent nous aider pour générer facilement des mots de passe qui offrent une plus grande sécurité.
GNU Privacy Guard (GnuPG)
L'outil GnuPG qui permet de crypter des données pour en assurer l'authenticité possède une options pour générer des nombres aléatoires. Une fois ce nombre aléatoire transformé en notation base64, on obtiens une mot de passe offrant un niveau de sécurité tout à fait convenable. Par exemple pour générer un mot de passe de 8 caractères:
gpg --gen-random --armor 1 6
Open Secure Sockets Layer (OpenSSL)
OpenSSL est un outil de chiffrement permettant de transférer des informations sécurisées sur un réseau informatique. de la même manière que la commande gpg on peux facilement générer des mots de passe offrant un bon niveau de sécurité. Par exemple pour générer un mot de passe de 8 caractères:
openssl rand -base64 6
Le générateur de nombres aléatoires
Sous Linux, le fichier spécial/dev/urandom sert de générateur de nombres aléatoires. On peux ainsi obtenir facilement une suite de caractères qui pourra servir de mot de passe. Par exemple pour obtenir un mot de passe de 8 caractère mélangeant des minuscules, des majuscules et des chiffres:
echo `tr -dc A-Z-a-z-0-9 < /dev/urandom | head -c 8`
Les dates
J'expliquais un peu plus haut qu'il ne fallait pas utiliser les dates de naissances, cependant, si l'on utilise la date du jour, en utilisant les fonctions de hachages ainsi que la notation en base64, on peut obtenir un mot de passe de bonne qualité, puisque qu'il y a relativement peu de chances que le moment où l'on génère le mot de passe au moyen de la date courante puisse être deviné.
Pour obtenir un mode passe de 8 caractères en utilisant l'algorithme de hachage md5:
echo `date | md5sum | base64 | head -c 8`
On peut également mélanger les algorithmes de hachages pour obtenir un mot de passe moins prévisible. Par exemple pour obtenir un mot de passe de 8 caractères haché par les algorithmes MD5 et SHA-2:
echo `date +%s | md5sum | sha256sum | base64 | head -c 8`
On peut donc constater qu'il existe des solutions très simple pour générer facilement des mots de passe qui offrent un bon niveau de sécurité.