Des sites permettent d'évaluer la force de son mot de passe, ce qui implique de le renseigner. Pour pouvoir juger sa robustesse sans le donner directement, l'ANSSI a mis en place une approche basée sur la cryptographie.

Se doter d’un bon mot de passe pour protéger son compte est important pour éviter qu’il ne soit facilement devinable. C’est aussi très important qu’il soit unique, dans le cas où il est divulgué. Ainsi, seul un compte sera menacé. Enfin, il est grand d’activer partout où c’est possible la double authentification. Vous éloignerez ainsi un grand nombre de risques courants.

Il n’est pas forcément nécessaire de créer des mots de passe très complexes pour qu’ils soient efficaces. Il faut surtout allonger leur taille. C’est d’autant plus vrai que vous risquez sinon de ne pas les retenir, à moins de passer par un gestionnaire de mots de passe, qui les conserve pour vous dans un coffre-fort. Dans ce cas, vous pouvez imaginer des codes très compliqués.

Mais comment évaluer sans risque la robustesse d’un mot de passe ? Il existe des sites qui disent mesurer sa qualité, mais cela implique de l’inscrire quelque part. Or ici, la paranoïa n’est jamais loin : on peut se demander si le texte n’est pas conservé. Alors, que faire ? Exécuter ce test avec un mot de passe qui imite celui qu’on veut vraiment tester, avec la même disposition et le même type de caractères  ?

Pour cet exercice, l’Agence nationale de la sécurité des systèmes d’information propose une sorte d’entre-deux. Sur son site web, le cyber-garde du corps de l’État, dont le rôle est d’assister et protéger les services et les entreprises critiques de la nation, fournit un outil qui n’analyse pas directement le mot de passe, mais calcule sa force en fonction de ses critères (taille, symboles).

L’outil de l’ANSSI qui permet d’évaluer la robustesse d’un mot de passe.

Tester son mot de passe

La longueur que vous pouvez indiquer avec cet outil n’inclut pas les nombres impairs et va de 4 à 30, en ignorant certains paliers (dès lors, prenez celui qui est le plus proche du vôtre pour avoir un ordre d’idée). L’Agence calcule alors la taille de clé équivalente à votre mot de passe et détermine si elle est très faible, faible, moyenne ou forte.

Mais pourquoi parler de taille de clé équivalente ? En fait, « la force d’un mot de passe peut être estimée par comparaison avec les techniques cryptographiques », explique l’ANSSI. Dès lors, en tenant compte de ses recommandations en cryptographie, il est possible de savoir si un mot de passe est fort ou non selon l’estimation de la taille de clé et sa faculté à atteindre certains seuils.

Cet outil permet à cette occasion de se rendre qu’il est plus efficace de renforcer un mot de passe assez facilement en l’allongeant seulement de quelques caractères, plutôt que de le faire varier avec des majuscules et des minuscules. Bien sûr, dans les faits, il ne faut pas se priver d’un maximum d’options. Si vous pouvez mettre des chiffres, des majuscules, des minuscules et des symboles particuliers, alors banco.

mot de passe facebook
L’internaute fait partie de la chaîne de sécurité ; en conséquence, il doit aussi prendre garde à avoir de bonnes pratiques pour éviter d’être le maillon faible. Littéralement. // Source : Facebook

Un long mot de passe est préférable

Ainsi, un mot de passe de 16 symboles puisant dans une table de 36 caractères a une taille de clé de 83 bits ; ce score passe à 91 bits si l’on utilise un même mot de passe de 16 caractères qui a été créé via une table de 52 caractères (on tient compte des majuscules et des minuscules). Or avec une clé de 82 bits, le mot de passe a juste une solidité moyenne. Il faut atteindre 104 bits pour être qualifié de fort.

Si l’on opte pour un mot de passe fort de 20 symboles (donc quatre de plus que le cas précédent) en puisant toujours dans une table de 36 caractères (10 chiffres et les 26 lettres de l’alphabet), la taille de clé atteint 103 bits. Et en passant à une table de 52 symboles, le score atteint 114 bits. Le simple ajout de quatre caractères change assez radicalement la physionomie du mot de passe.

Reste maintenant à le mémoriser, ce qui n’est pas évident sans moyen mnémotechnique. Par ailleurs, l’inscrire au clavier peut vite relever du parcours du combattant s’il fait appel à des symboles rares. Dans ce cas, un bon compromis est la « phrase de passe », qui repose sur le même principe que le mot de passe, mais en ayant du sens pour l’utilisateur. Sinon, il y a le gestionnaire de mots de passe

Pour des conseils de création de mots de passe, il y a le guide de la Cnil. Il existe par ailleurs des services en ligne qui permettent de voir si l’un de ses mots de passe (et peut-être d’autres données) a fuité sur le net. Dans ce cas-là, c’est le moment de le changer sur le site en question, ainsi que sur tous les autres sur lesquels vous l’avez aussi utilisé. C’est seulement à ce moment-là qu’il faut le faire, d’ailleurs.

Article publié initialement le 12 mai 2018 et mis à jour le 16 mai 2021

Partager sur les réseaux sociaux

La suite en vidéo