Le Trésor Des Kerguelen

Trucs & Astuces précédent…

Trucs & Astuces suivant…

567 Les mots de pass, encore et toujours…

     Il n'y a pas une séance de formation où je ne ne suis pas questionné sur ces fameux mots de pass (MdP). C'est vrai que l'on doit en mettre partout désormais et à la fin, on ne sait plus du tout comment en créer un nouveau, s'en souvenir et lequel employer avec tel identifiant…!

Cela devient une véritable galère ces MdP…

Alors je les redonne ici une nouvelle fois, voici des exemples de "méthodes", car c'est la seule manière de les retrouver sans être obligé de les apprendre par coeur... C’est-à-dire comment faire pour les créer au final et surtout les retenir (plutôt même mieux : savoir les retrouver) et ne pas s’emmêler les pinceaux avec tous ces sacrés mots de pass...

Personnellement j'en ai un peu plus de 250 MdP désormais et je suis bien incapable de dire quel MdP va sur tel site avec tel identifiant ! Cela vous paraîtra peut-être incroyable mais c'est pourtant vrai. Car….car j'ai une méthode infaillible pour savoir comment les retrouver, au moment où j'en ai besoin, tout simplement. Donc il n'est pas nécessaire de les retenir. C'est au moment où je vois la page, le site, sur lequel je dois le mettre que je sais alors "comment le re-fabriquer" ! Méthode que j'ai déjà donnée dans des articles précédents mais elle est peut-être aussi noyée parfois dans d'autre chose de plus général.

     Alors voici à nouveau, comment procéder pour se fabriquer "un bon mot de pass". MdP que l'on n'oubliera pas car on saura cette fois "le retrouver in situ" au lieu de le retenir. C'est aussi simple que çà !

Petit rappel sur les conditions que les sites et tous les serveurs (mailing ou pas...) nous imposent désormais pour mettre sur ce compte, un bon MdP…

Presque tous les sites sur lesquels on devra y mettre un MdP avec un identifiant au départ (qui sera presque toujours une adresse mail valide désormais...), nous impose un minimum de choses pour répondre à un bon niveau de sécurité anti-piratage sur leurs serveurs.

     Voici la liste minimum d'un MdP imposé…:

1) doit contenir au minimum 8 caractères (10 à 12 = mieux).

2) doit contenir au minimum une Majuscule (plusieurs = mieux).

3) doit contenir au minimum une minuscule (plusieurs = mieux).

4) doit contenir au minimum 1 chiffre (plusieurs, c-à-d un nombre = mieux).

5) doit contenir au minimum, un caractère spécial (mais pas des "car-spé" latins! - voir le nota)

Nota : il ne faut surtout pas employer dans les caractères spéciaux bien latins, à nous-autres les Gaulois comme les lettres accentuées, la cédille ou autre caractère qu'on ne retrouvera jamais sur un "Nordi (ou un Sudi) Zétranger"… Valable pour le "tilde" ou le point d'interrogation à l'envers des espagnols ou le "trëma" classique des pays nordiques aussi. Sinon, en étant à l'étranger sur un clavier autre, vous ne pourrez jamais "écrire" votre MdP ! J'en ai fait l'expérience à Singapore (en escale pour une journée) lorsque j'ai voulu allez voir mes mails dans un Cyber-Espace sur un clavier chinois. Les langues utilisables étaient chinois ou anglais, donc aucun caractère latin bien sûr et moi, bien coincé avec mon "c-cédille de chez Gaulois" dans mon sacré MdP…!

A contrario, on peut dire également que le MdP sera "bon à minima" si celui-ci ne correspond pas à l'un des items suivants (ou plusieurs – pire!) dans cette liste…

1) il est trop court (-de 8 caractères – mais refusé en principe désormais).

2) il correspond à quelque chose de familier pour vous, comme votre prénom, date de naissance, prénom des enfants, votre métier, N° de voiture ou phone, etc...

3) il est marqué en clair sur votre ordi ou un bout de papier sur votre bureau (ou carnet…).

4) Il est utilisé plusieurs fois à l'identique sur plein de sites différents.

Toutes ces choses seront vraiment néfastes pour en faire "un bon MdP".

Voici donc deux exemples de méthodes pour créer un "bon MdP" correspondant aux critères minimums et même en mieux…

     Première méthode…

Vous créez un Mdp qui vous rappelle le site sur lequel vous allez.

Exemple, je vais acheter quelque chose sur la Redoute. Je prends, c'est un ex mais il y a des tas de possibilités... les 3 ou 4 premières lettres du nom (Maj ou minus, paire ou impair, etc.../...). Donc par ex : LaRed. Ensuite je mets une suite de lettre et chiffres (ou nombre) qui me rappelleront "kekchose de bien à moi" par ex… des vacances super à Ibiza en juillet 2003. alors je vais ajouter à LaRed un extrait de çà (par ex, toujours…) : iza2003. Et là il manque encore un caractère spécial…mettons le $ (pour infos, il y en a une bonne trentaine sur un clavier).

Ce qui me donne au final comme MdP…: LaRediza2003$ Ceci sera donc un bon MdP qui correspond au minimum exigé et qui sera même très bon puisque 13 caractères au total.

Ensuite pour faire d'autres MdP, eh bien je reprendrai à chaque fois la fin de mon MdP c’est-à-dire la partie... Iza2003$ mais devant j'y mettrai des lettres avec Maj/et/minus correspondant à ce site-là et lui seul…

Un exemple tout bête… Cette fois je veux aller commander kekchose sur Leroy-Merlin…

Eh bien mon MdP pour ce site pourrait être… LeRoMeriza2003$

Voici un autre exemple purement fictif... Le drive d'Auchan...donnerait....LdAuciza2003$

Encore une fois, tous ceux donnés ici sont des exemples de ce que l'on peut faire en utilisant une astuce de ce type de construction de MdP. C'est à chacun de définir sa règle, une astuce, une règle simple à retenir, une sémantique en fait de construction, à l'instar de notre langue pour composer une phrase… C'est immuable avec sujet (je), verbe (vais), complément (à la pêche). Eh bien, là, ce sera pareil mais avec votre manière à vous de procéder.

     Deuxième méthode…

Elle ressemble un peu à la première mais néanmoins différente quand même.

Pour chaque site, il faudra construire une phrase qui vous rappellera ce site. Ensuite, c'est à partir de cette phrase que vous allez construire votre MdP. Exemple concret…

Je reprends le site de la Redoute avec mon compte perso. Je peux dire...

"J'aime bien la Redoute à Roubaix" (c'est un ex fictif…!)...

Eh bien je vais prendre (par ex…) la première lettre de chaque mot, comme on l'écrit !

Ce qui donne : JablRaR puis ensuite mon "complément-repère" bien perso que j'ai déjà utilisé, comme le suivant ici… Mon MdP final sera alors… JablRaRiza2003$

Vous avez-là avec cette seconde méthode un mot de pass bien robuste et qui répond encore une fois aux exigences de sécurité des serveurs modernes.

Résultat : le fait d'avoir 15 caractères le rend très difficile "à trouver par intuition" et cet exemple ne voudra sans doute rien dire "pour vous" mais pas pour moi qui l'ait construit, "mais/et seulement moi", car voici comment je l'ai créé. Ainsi, c'est la méthode pour se créer un MdP qui importe et pas le MdP lui-même. On n'aura donc pas besoin de le (les) retenir mais seulement de le(s) retrouver grâce à une phrase ou bien une méthode bien particulière et connue de moi-seul "à la vue du nom de ce site", afin de le re-construire mon MdP.

     On peut inventer une autre méthode pour ce faire, ce sera à chacun de faire "en son âme et conscience" en utilisant ses connaissances propres.

     Voici deux méthodes que l'on peut utiliser pour créer des MdP, mais chacun peut s'en inventer une autre, plus perso, bien sûr. Et c'est la vôtre qui sera la bonne car "très personnalisée" et surtout il ne faudra la confier à personne, ni jamais écrire vos MdP sur un bout de papier ou un "carnet rose"…! Et si vraiment vous voulez avoir votre carnet "pense-bête" (et j'ai le mien, en fait car c'est un fichier…mais il est crypté), eh bien il faudra crypter* ces choses écrites dessus – mais jamais mises en clair !

*Crypter : il faut apprendre à crypter – C'est simple, gratuit, rapide et inviolable (avec AxCrypt par exemple). Plusieurs chapitres y sont déjà consacrés pour diverses raisons et utilisations…

Voir dans les Trucs&Astuces...(328, 344, 353, 403, 426, 514, 547).

     Généralités sur les Mots de Passe...

     Sur les sites du gouvernement et de chaque Préfecture, on trouve des infos sur les MdP et des listes de MdP les plus usités en France. J'ai copié personnellement les 5000 premiers (seulement) pour les étudier… C'est très représentatif de ce qu'est un MdP standard, souvent utilisé & bien gaulois !!!!

Le pire MdP utilisé est 123456. Des études poussées sur le sujet l'ont trouvé utilisés 103 millions de fois sur des bases de données mondiales, sur un peu plus de 2 milliard de MdP !!!!

En France par exemple, idem, les MdP les plus usités sont encore 123456789 ou AZERTYUIOP, utilisés en totalité ou en partie seulement de ceux-ci ou encore à l'envers, mais ce qui fait peu de solutions au final si on fait un calcul factoriel de combinaisons.

Inutile de vous dire...que...c'est vraiment nul comme MdP, bien évidemment.

Sachez aussi que certains ordis (modernes) condamnent sur votre clavier, la partie numérique du clavier ou bien a contrario la partie alphabétique suivant que vous n'utilisez que des chiffres ou bien que des lettres dans votre MdP pour ouvrir votre session sur l'ordi. Si cela vous arrive, vous allez peut-être croire de suite à une panne de l'ordi (ou du clavier) au moment d'entrer le MdP si vous vous trompez ! Alors que ce n'est qu'une action de "prévue" et cachée dans l'algorithme du bios de cet ordi pour le démarrer. Encore une curiosité bizarroïde de certains fabricants d'ordis...

     Pour continuer un peu avec ces foutus MdP...

     Certains sites vont alors vous conseiller d'utiliser "un logiciel gestionnaire de MdP" ! Là, je dois dire à nouveau qu'on atteint le comble de l'idiotie... C'est pire que tout le reste !!!!:!

Utiliser un "gestionnaire de MdP", précaunisé sur le NeT, je vous le déconseille fortement car s'en remettre encore à un logiciel tiers inconnu, car ceux-ci sont toujours synonymes (pour moi) de fuite ou de piratage possible. C'est exactement comme les "clouds" pour conserver vos images, vos documents ou vos fichiers… Ce sont ces datas-centers qui se font pirater désormais le plus car cela donne (au pirate) d'un coup d'un seul, des millions de documents exploitables de suite pour du racket ou du ransomware en ligne, à savoir… Identifiants (mails) & pass !!!!!! Alors, non...merci. Et en plus.... tous ces Datas-Centers, que font-ils avec vos données persos...hein...??????

Il suffit tout simplement d'avoir un petit fichier écrit sous Notepad et de le crypter. C'est enfantin, rapide, gratuit et INVIOLABLE, je ne le dirai jamais assez...et cela : même si on vous "pique" votre ordi !

Nota... Une preuve que le cryptage est "plus que très utile", c'est que notre brave "1ière minist" (citation de Coluche) a obligé l'an dernier ses ouailles de "minists" a utiliser OLVID (qui est un log de cryptage) pour toute leur correspondance ! Bon je ne vous le conseille pas car il est gratuit mais pour un mois seulement "en essai" et après çà : payant  par abonnement mensuel. Alors prenez donc mon bon vieux AxCrypt qui est gratos et tellement simple et efficace...

     Note spéciale concernant la fabrication d'une adresse mail…qui sera aussi associée à un MdP...

     Selon la déontologie du NeT/ Web, pour créer une adresse mail, tous les caractères du clavier sont valides et autorisés, c-à-dire "lettres" mais minuscule, de "a" à "z", les "chiffres" 0 à 9 - c-à-d "nombre" donc aussi, et tous "caractères spéciaux" sauf ceux-ci...:

- Les lettres accentuées, caractères chers aux latins (ç, à, è, é, ù, ï, ô, tilde, etc...).

- Les caractères multitouches de contrôle (CTRL +T(touche), ALT+T, Fn+T, Win+ T/ et tous

les raccourcis de touches multiples et/ou combinaisons pouvant être utilisés...).

- Et enfin l'espace qui est très spécial (car utilisé en progarmmation).

De plus, le nombre de caractères à utiliser dans "l'adresse" tout comme pour son "domaine" est limité... soit comme ceci...: adresse@domaine.com (.fr, .com, .net, .org, etc...).

Exemple…:

cmoileboss(64 caractères maxi)@monblogamoi.domaine.fr(255 caractères maxi).

Dans cet exemple d’ailleurs j'ai mis le nombre maxi de caractères possibles entre parenthèse car il est également possible de mettre des "commentaires" (normaux cette fois) dans une adresse-mail, mais obligatoirement écrits comme je l'ai fait ici, c-à-dire : (entre parenthèse & sans espace avant ou après les ().

Encore une fois, en programmation, c'est l'ESPACE qui délimite sécablement (balise) une adresse mail avec l'arobase qui certifie que c'est bien une "adresse-mail". C'est bien ainsi aussi que tous les robots du WeB les découvrent et les copient dans leurs bases de données sur le Net car ils en font la chasse H24/J7…! Business...is...businessssssss...

MàJ sup… Si vous voulez tester votre MdP, voici un site où on peut vérifier si ce MdP est déjà utilisé et donc connu sur le WeB dans un "dico de MdP"… site en GB mais facile à utiliser…:

https://haveibeenpwned.com/Passwords

Ne pas s'inscrire comme proposé sur une macro qui s'ouvre en tout premier, mais vous pouvez quand même tester le vôtre…il suffit de le rentrer sur la boiboite et clic sur "pwned?" (interro comme password needed ?). Le test s'effectue sur 8,4 milliard de MdP d'après le site donc assez fiable, quant aux résultats...

J'en ai essayé plusieurs, bien à moi et je suis assez satisfait car aucun n'est "retrouvé" dans cette base de données mondiales. Par contre pour les plus courants utilisés et bien connus, si vous testez… Oh là là, vraiment plus que mauvais ces MdP…!

Qu'on se le dise et bon vent…!