Posted inInformatique Web

Gérer simplement ses mots de passe

Gérer simplement ses mots de passe

Aaaa les mots de passe, je crois bien que c’est le point dans l’informatique qui créera toujours des controverses, et sera toujours un point très important du système d’information. C’est pourquoi il est important de sensibiliser les utilisateurs sur les risques encourus lors de l’utilisation de mots de passe simples.

Je suis d’accord, la gestion de mots de passe forts (par fort, on entend difficile à deviner) peut devenir compliquée, mais cela est nécessaire pour limiter le risque que le mot de passe ne soit trouvé.

Je rappelle qu’en informatique, le risque 0 n’existe pas. En revanche, nous pouvons nous en approcher

Rappel des règles de base concernant les mots de passe

Normalement ces règles sont censées être connues (surtout en 2025), mais il est bon de les rappeler:

  • Ne jamais partager son mot de passe à des tiers (connaissance, hotline, etc)
  • Choisir un mot de passe ne contenant pas d’informations personnels
  • Choisir un mot de passe sans mot du dictionnaire
  • Utilisez un mot de passe différent pour chaque site internet
  • Changer ses mots de passe régulièrement

Il est bon de rappeler ces règles de manière régulière pour limiter le risque de mots de passe faible.

Trouver une stratégie de mot de passe

Un mot de passe sécurisé contient:

  • Au minimum 1 minuscule
  • Au minimum 1 majuscule
  • Au minimum 1 chiffre
  • Au minimum 1 caractère spécial
  • Au moins 8 caractères au total
De plus en plus il est conseillé de mettre 12 caractères au lieu de 8 dans les mots de passe

Une des méthodes pour composer un mot de passe complexe est de définir une logique de mot de passe. Nous pouvons prendre une phrase quelconque et l’utiliser pour définir son mot de passe. Il ne reste plus qu’à mémoriser cette phrase pour se rappeler de son mot de passe, ce qui est plus simple.

Bien entendu, ne réutilisez pas les exemples ci-dessous. Sachant qu’ils sont dans cette article accessible publiquement, il n’est pas impossible qu’ils se retrouvent dans des listes de mot de passe connus

Par exemple, nous pouvons prendre la phrase:

Mon serveur a planté à l’instant où 23 personnes se sont connectées

Le mot de passe sera: Msapàl’io23pssc

Une autre stratégie est de se rappeler d’un ensemble de caractère complexe, et de rajouter à la fin le nom du service où est utilisé ce mot de passe.

Ainsi, nous obtenons par exemple:

  • rziTRE123.Youtube
  • rziTRE123.Steam
  • rziTRE123.Bluesky

On a ainsi un mot de passe différent pour chaque service, et il y a une logique qui facilite la mémorisation.

Le gestionnaire de mot de passe

Autrement, si vous voulez générer des mots de passe forts, aléatoires, mais éviter de devoir vous en rappeler, vous pouvez vous tourner vers un gestionnaire de mots de passe.

Il suffit de se rappeler du mot de passe pour déverrouiller la base de données, et ensuite d’accéder aux mots de passe stockés dedans.

Si vous oubliez le mot de passe principale, il sera très difficile (voir impossible) d’ouvrir la base de données, et tout le contenu sera perdu

Il existe plusieurs logiciels pour la gestion des mots de passe. Personnellement j’utilise KeePass (et son portage Linux KeePassXC) pour une utilisation personnelle. Pour un usage professionnelle, il en existe bien d’autres qui ont des avantages (restriction d’accès à certains mots de passe, connexion AD, etc)

A noter que la plupart des navigateurs modernes proposent de stocker les mots de passe, personnellement je ne suis pas très fan de cette option car si une personne a accès à votre profil utilisateur sur votre ordinateur, il peut récupérer le fichier de mot de passe qui n’est pas toujours bien sécurisé.

La double authentification

Cette option permet de rajouter une couche de sécurité à votre compte. De plus en plus de service en ligne forcent l’activation du 2FA (2 Factor Authentification. Même si un service ne l’oblige pas et le propose, je conseille fortement de l’activer.

Il en existe principalement 2 types: le code basé sur le temps, et le code envoyé par email, SMS, ou autre moyen de télécommunication.

Dans le premier cas, une clé privée est ajoutée sur un logiciel de génération de code pour importer la logique de génération des codes. Ces codes sont basé sur la date et l’heure actuelle, et ne nécessite donc pas de connexion internet pour fonctionner. En principe, le code change toutes les 30 secondes.

Il faut donc bien faire attention que l’appareil générant ces codes soit à l’heure, sinon les codes seront tous erronés.

La clé privée est générée en principe une seule fois. Si votre appareil est perdu et/ou supprime la clé, il sera compliqué de la récupéré, et vous devrez donc désactiver la fonction pour la rajouter

La seconde option est basique: envoi d’un code par mail ou SMS, et valide quelques minutes. Le fonctionnement est simple, et adapté en fonction du fournisseur qui l’utilise.

Si jour quelqu’un (même connaissance) vous contact pour avoir ce fameux code, c’est que c’est une personne qui tente d’accéder à votre compte. Ne donnez ce code à quiconque sous aucun prétexte.

Pour conclure

Les mots de passe est un aspect de la sécurité à ne pas prendre à la légère. Ils sont une clé pour accéder à des informations sensibles, ou moyens de paiement. Il est très important de sécuriser ses mots de passe, et de ne surtout pas les exposés à d’autres personnes.

Certes, le risque 0 n’existe pas en informatique, mais nous pouvons nous en rapprocher le plus possible.