On te donne ici des conseils pour avoir la sécurité maximale, mais bien sûr, tu n’es pas tenu de tous les appliquer. C’est à toi de voir suivant la criticité de tes informations : conserver le mot de passe général du serveur hébergeant un site internet de ton mouvement nécessite plus de sécurité que pour le mot de passe d’un compte d’un site internet sans enjeu.

Les conseils donnés ici sont tirés de recommandations usuelles dans le domaine de la sécurité informatique et de notre expérience. Ils sont adaptés à un usage personnel ou pour des domaines non critiques. Ils n’ont pas vocation à remplacer une vraie politique de sécurité informatique dans un cadre professionnel concernant des données et des systèmes critiques. Nous ne sommes pas experts en sécurité informatique et ne sommes pas responsables dans le cas où malgré nos conseils, quelqu’un arrivait à avoir accès à tes mots de passe.

Comme tu as beaucoup de comptes, et de mots de passe, tu as tendance à choisir des mots de passes faciles à retenir... mais ils peuvent être vite cassés (=devinés).
Une autre solution consiste à choisir des mots de passe plus complexes mais du coup compliqués à retenir... alors tu es tenté de les réutiliser un peu partout, et finalement si par maladresse tu l’écris quelque part, c’est tous tes comptes qui sont affectés !

Quelle est la bonne solution, alors ? Comment avoir des mots de passe suffisamment complexes et diversifiés, sans les oublier ? Quelle chance, il existe des logiciels et applications faits pour se rappeler de tes mots de passe à ta place !

Mais si je mets tout mes mots de passe au même endroit c’est idiot, ça fait qu’un seul endroit à attaquer !

Oui, effectivement, si on arrive à ouvrir ta base de données (c’est comme ça qu’on appelle le fichier où ils sont stockés, mais pas de panique, de ton côté ce sera pas compliqué à gérer), tous tes mots de passe sont compromis et c’est pas cool. Mais la plupart des gestionnaires de mots de passe stockent leurs données sur ton ordinateur, où normalement tu es le seul à avoir accès.
Et même en ayant accès à ton ordinateur, l’accès à la base de données est protégé par un mot de passe. Pour le coup celui-ci tu as intérêt à ce qu’il soit bien difficile à casser et tu peux le changer régulièrement (cf après).
De plus, la base de données est chiffrée (codée) de façon à ce qu’elle ne puisse être ouverte sans mot de passe qu’après des temps supérieurs à plusieurs fois la durée de l’univers. Tu devrais donc être tranquille.
Tu peux aussi rajouter une protection avec un fichier que tu peux déposer sur un support amovible (par exemple, une clé usb qu’il faut brancher sur ton ordinateur pour ouvrir ta base de données) ou encore en le couplant à une application qui change le mot de passe toutes les minutes (comme Google Authenticator et ses concurrents).

En bref : tu as les moyens de sécuriser le stockage de tes mots de passe, augmenter la qualité de tes mots de passe, tout en facilitant leur utilisation.

Ok alors comment ça marche ?

Il existe de très nombreux gestionnaires de mots de passe. Dans un autre article nous t’expliquons comment en utiliser un, Keepass :

Comment choisir un bon mot de passe maître ?

Le mot de passe maître est celui qui te permettra de sécuriser tous les autres. C’est celui qui donne accès à ta liste perso de mots de passe. Comme c’est le mot de passe qui te permettra de sécuriser tous les autres, on peut se permettre qu’il soit un peu compliqué à écrire (tu n’auras vraiment que celui-ci à retenir). Mais malgré tout, une des choses les plus importantes pour ton mot de passe, ce n’est pas forcément qu’il soit très compliqué, puisqu’il en serait d’autant plus compliqué à retenir, mais surtout qu’il soit long (une BD en anglais sur ce sujet).

Ne note surtout pas ce mot de passe où que ce soit. Ce serait dommage de prendre autant de précaution pour que n’importe qui puisse ouvrir ta base de données juste en retournant ton clavier ou en lisant le post-it sur ton écran !

En effet, lorsque des personnes malveillantes vont chercher à deviner ton mot de passe, elles vont essayer d’abord des combinaisons très connues (admin, motDePasse,123456, azertyuiop) puis toutes les possibilités de a à z puis de aa à zz et ainsi de suite. Plus le mot de passe est long plus il sera long d’arriver à la bonne combinaison. Et plus il utilise de caractères spéciaux plus le pirate devra élargir les possibilités.

Tu peux par exemple accoler plusieurs mots sans rapport côte à côte (et pourquoi pas rajouter un ou deux caractères spéciaux dedans). Par exemple : érableChaiseSweatPost-ItLampeChat prendrait, au rythme actuel de calcul des ordinateurs, 10^54 (c’est à dire, 1 suivi de 54 zéros) années pour être deviné en essayant tous les mots de passe les uns après les autres. C’est en fait 10^44 (1 suivi de 44 zéros) fois le temps qui s’est écoulé depuis le Big Bang. Bref, des chiffres inimaginables avec juste 6 noms communs : ce sont des durées colossales qui te laissent un peu de marge, même en prévoyant l’augmentation de la puissance de calcul des ordinateurs, qui alors pourraient tester plus de combinaisons dans le même temps.

Tu peux aussi choisir une phrase, prendre les initiales de chaque mot et faire quelques modifications. Par exemple si tu choisis la phrase "Un sourire est une clef secrète qui ouvre bien des cœurs" ça donnera 1Sé1C$QoB1DC. é au lieu de est, $ au lieu de S, B1 au lieu de bien... essaie de trouver des substitutions un peu moins évidentes, si possible.

Pour plus d’informations, tu peux consulter la page dédiée sur le site de l’ANSSI, l’Agence Française chargée de la sécurité des systèmes d’informations. Ou tu peux aussi lire cet article.

Enfin nous avions écrit un article à ce sujet il y a quelques années, il reste relativement actuel :

Pour tester la force de mots de passe, il existe de nombreux sites, par exemple celui-ci (qui est celui d’un autre gestionnaire de mots de passe, attention, la traduction française est défectueuse, pour lui un billion=un milliard en français : 1 000 000 000).