Stratégie pour une gestion de mots de passe sans Post-it et efficace

La problématique

Trois grands problèmes reliés à la gestion de mots de passe sont:

  • Les mots de passe trop complexes – Tout le monde l’a déjà vécu : une multitude de systèmes et une marée de sites web exigent un mot de passe. Parfois, on vous impose même des règles de complexité dignes de la NASA qui vous entraînent trop souvent à apposer un Post-it sur votre écran ou à ajouter un petit papier de plus dans votre porte-feuille – anéantissant ainsi la raison d’être du mot de passe complexe…

  • Les systèmes qui n’exigent pas un mot de passe hypercomplexe alors qu’ils le devraient – Ce n’est pas parce qu’un système n’impose pas de règles de complexité que vous ne devriez pas en utiliser. Il est important d’évaluer les inconvénients qui résulteraient d’un vol ou d’une perte de données des systèmes que vous utilisez.

  • L’utilisation d’un mot de passe passe-partout – Dans mon article traitant des risques de l’infonuagique, je mentionnais que vous pourriez être victime de perte – ou même de vol – de données si votre mot de passe « passe-partout » venait à être découvert suite au piratage de l’un des sites où vous l’utilisez.

Stratégie pour une gestion de mots de passe sans Post-it et efficace

1. Catégoriser le site web selon son niveau d’importance

Catégoriser chaque site selon leur niveau d’importance basé sur le type d’information qu’il contient:

  1. Haute importance – Tout site donnant accès à une partie importante de votre vie ou de votre compagnie et où un piratage impliquerait une longue et pénible démarche de réparation. Par exemple:

    • site bancaire ou d’investissement
    • compte courriel personnel ou d’entreprise (Gmail, Hotmail, Yahoo Mail, etc.) 
    • site permettant de mettre la main sur des informations confidentielles comme votre numéro d’assurance sociale qui, combinées à d’autres informations, pourraient mener au vol d’identité.
  2. Importance modérée – Tout site où un piratage pourrait causer des désagréments fâcheux, mais facilement réparables et non catastrophiques, par exemple: 

    • Tout site de commerce électronique où vous avez une carte de crédit préenregistrée qui permet d’acheter facilement en votre nom (ex. : Amazon, iTunes, Archambault, etc.) 
    • Tout site de médias sociaux, forum ou communauté où un piratage pourrait compromettre votre vie privée ou endommager votre réputation ou celle de votre entreprise 
    • L’accès à l’administration de votre site ou celui de votre entreprise
  3. Basse importance – Tous les autres sites qui vous demandent un mot de passe.

2. Selon la catégorie du site, créer ou réutiliser un mot de passe approprié

Ensuite, il suffit d’appliquer les règles correspondant au niveau d’importance identifié pour le site.

  1. Haute importance – Chaque site doit avoir un mot de passe unique et complexe. Le but est de créer un mot de passe assez complexe pour le rendre virtuellement impossible à pirater sans toutefois nécessiter de papier et crayon pour s’en souvenir. Voici quelques trucs tirés de l’article Hacked – traduits et bonifiés:

    • Choisissez une longue séquence de mots familiers, mais sans lien évident avec le site ou vous-mêmes. Si le site le permet, utilisez les espaces et ponctuations comme vous le feriez dans une phrase normale. Par exemple : « Les cordes à linge sont pratiques! » ou « Est-ce que ce gazon est bleu? ». Vous pourrez vous rappeler une phrase du genre mais un pirate n’y verrait qu’une chaîne de caractères longue et rebutante. 

    • Choisissez une chaîne de caractères des plus obscures – ex. : « $(‘@Tc7 V fRg+,3uq/a » – et utilisez un utilitaire de gestion de mots de passe. J’utilise et recommande KeePass, un outil gratuit, au code source libre qui fonctionne sur Windows, Mac et Linux. Roboform ou LastPass sont d’autres alternatives intéressantes mais que je n’ai pas utilisées.

    • Longueur visée : plus de 12 caractères

  2. Importance modérée – Partagez de 2 à 3 mots de passe de complexité modérée. Le but ici est de créer un mot de passe légèrement plus court et plus simple à mémoriser. 
    • Choisissez une séquence de mots plus courts qui ne sont pas des mots français ou anglais. Par exemple, un mélange de noms de lieux, monuments ou villages lointains que vous avez déjà visités sera plus facile à mémoriser: « ubon bogor » ou « rovigo fabro ».  

    • Longueur visée : 8 à 12 caractères

  3. Basse importance – Ayez 1 ou 2 mots de passe passe-partout simples. Les critères minimaux sont :

    • Éviter les mots ou séquences génériques (ex. : Password, Pass, 0123456, ou qwerty) et toute référence à des données personnelles telles que votre date de naissance, votre numéro de téléphone ou votre adresse.

    • Éviter toute référence à des données personnelles telles que votre date de naissance, votre numéro de téléphone ou votre adresse.

    • Longueur visée : 6 à 10 caractères

Vous connaissez d’autres trucs pour la gestion de vos mots de passe? N’hésitez pas à les partager ci-dessous!