Ma stratégie de passwords Internet

Voici ma stratégie pour nos fameux mots de passe de sites Internet.

Les critères que je prends en compte pour le choix de cette stratégie :

• des mots de passe jugés "forts" (au moins 8 caractères, des mélanges imprévisibles de chiffres et lettres, etc)
• un mot de passe différent pour chaque site (pour éviter que si un site se fait dérober sa base de mot de passe, des hackers réutilisent mon mot de passe sur d'autres sites, ce qui est un classique)
• des mots de passe que je peux retrouver en toute autonomie sans avoir à les stocker dans un fichier ou dans mon smartphone (ce qui ne serait pas très sécurisé)
• des mots de passe qui n'utilisent pas de logiciels tiers de gestion de trousseaux, type 1Password etc

Intrigué qu'il existe une stratégie qui réponde à ce cahier des charges ? Voilà le mode d'emploi.

Tout d'abord, je choisi une chaîne de caractère que j'appellerai mon "aléa générique". Par exemple "abracadabra". Ce sera le même pour tous mes sites.

Ensuite lorsque je dois créer un mot de passe pour un site, par exemple pour "spotify.com", je vais me baser sur la chaîne de caractère "spotify.comabracadabra", en concaténant le nom de domaine du site et mon aléa générique.

Bien sûr ceci ne fait pas un bon mot de passe: si quelqu'un trouve que mon mot de passe spotify est "spotify.comabracadabra", il devinera que mon mot de passe runkeeper est "runkeeper.comabracadabra".

C'est là qu'intervient la notion de fonction de hachage. Je vais utiliser par exemple la fonction MD5. Peut-être pas la plus actuelle, mais rapide, efficace, et disponible sur les PC, les Mac, ainsi que sous la forme d'apps gratuites pour iOS, Android, WindowsMobile10, Blakcberry, etc.

Par exemple sur macOS, une simple fenêtre "Terminal" permet de taper

md5 -s "spotify.comabracadabra" Le résultat est le suivant:

MD5 ("spotify.comabracadabra") = a9a0b625b6f318c6990340259bcddcc7

Et là je décide (arbitrairement) que mon mot de passe sera le suivant: les 7 premiers caractères, avec la première lettre en majuscule, et auquel j'ajoute un "!".

Dans notre cas, le mot de passe spotify serait "A9a0b62!".

MD5 ("runkeeper.comabracadabra") = 378ad6e015b86b6b66dcdfd8dbd3e00a Et pour runkeeper, mon mot de passe serait "378Ad6e!".

Voyons maintenant si cette stratégie de mot de passe respecte le "cahier des charges" initial:

• mot de passe fort: j'ai un mélange aléatoire de chiffres et lettres, j'ai une majuscule et des minuscules, et un caractère de ponctuation. Remarque: il est très peu probable de tirer un mot de passe avec uniquement des chiffres ou uniquement des lettres, ce que refuseraient certains sites. En effet avec les 7 premiers caractères d'une chaîne MD5, la probabilité de n'avoir que des chiffres est de (10/16)^7, soit moins de 3%. Si vous estimez le risque trop grand, prenez 10 caractères ;-)
• un mot de passe différent pour chaque site : c'est bien le cas. Et même si un pirate récupère mon mot de passe spotify, il lui serait très difficile de deviner mon mot de passe runkeeper (la puissance des fonctions de hachage étant leur difficulté à être inversée).
• des mots de passe que je peux retrouver en toute autonomie : c'est bien le cas. Même sur un ordinateur ou un tablette en libre service, je peux retrouver mes mots de passe car il existe des sites calculant les empreintes MD5 en ligne (celui-ci par exemple).
• des mots de passe qui n'utilisent pas de logiciels tiers de gestion de trousseaux : voilà, les mots de passe avec cette stratégie ne sont stockés nulle part (enfin, nulle part ailleurs que sur chacun des sites, bien sûr ;-)