La scurit commence par un bon mot de passe

a scurit de tous dpend de la prudence de chacun.

La stratgie la plus frquente des malveillants qui cherchent prendre possession d un systme, consiste d abord usurper l identit d un utilisateur ; puis, dans un deuxime temps, utiliser les failles connues du systme pour devenir super administrateur sur une machine. Dans la plupart des systmes, en particulier sous Windows NT et UNIX, lorsque le pirate a russi la premire tape d usurpation, plus rien ne peut l arrter tant qu il n est pas dtect. Or, le systme d authentification par mot de passe, n est efficace que dans la mesure o chacun a conscience que celui-ci constitue un secret prcieux. La scurit de tous repose sur la capacit de chacun conserver consciencieusement cet important secret. Les trois lois fondamentales qu il faut connatre et appliquer pour que ce secret ne tombe jamais entre des mains qui ne vous veulent que du mal , sont graver dans le marbre.

n mot de passe solide :

Des techniques existent pour tenter de casser les mots de passe. La plus utilise consiste faire des essais systmatiques partir de dictionnaires : on connat l algorithme de codage des mots de passe, il suffit alors de l appliquer des dictionnaires choisis astucieuse-ment - sur internet, il y en a en de nombreuses langues - et de comparer le rsultat chacune des entres du fichier systme contenant les mots de passe, qu on a russi extraire au pralable. Par cette technique, on arrive casser en moyenne plus de 20% des mots de passe d un fichier en moins d une heure. La loi de composition d un bon mot de passe doit rendre cette technique inefficace, d o la rgle suivante :

Rgle 1 : Votre mot de passe ne doit pas pouvoir tre trouv dans un dictionnaire

Un mot de passe : 1. Solide tu le choisiras 2. Jamais tu ne le partageras 3. Souvent tu en changeras

Les deux autres techniques utilises, consistent essayer toutes les combinaisons possibles, soit sur un jeu rduit de caractres, soit en cherchant une chane de caractres de petite longueur. Pour faire chouer ces tentatives, il faut largir au maximum le champ des combinaisons possibles, ce qui conduit noncer les deux rgles suivantes :

Rgle 2 : Votre mot de passe doit contenir un mlange de caractres alphanumriques et de caractres spciaux (- + ! %, ...), Rgle 3 : Votre mot de passe doit faire au moins 8 caractres
(sur les systmes Unix, seuls les 8 premiers caractres sont pris en considration).

majuscules, un point-virgule, 2 minuscules, 1 majuscule, pour que la chane fasse 8 caractres. Rsultat : t,CE;feC . Certes, la mthode peut paratre complique au premier abord, mais, avec un peu d habitude on s y fait trs bien. Une version simplifie, consistant ne prendre que les premiers caractres de chaque mot du vers, est souvent utilise. Mais le rsultat est considr comme faible, ds lors que l attaquant connat votre mthode de mmorisation.

Un mot de passe est un secret entre vous et votre machine qui ne doit tre partag par personne d autre. Si vous le confiez quelqu un, mme votre tudiant, votre ami ou encore un proche, ce n est plus un secret et le mot de passe ne joue plus son rle d authentifiant. Vous mettez en chec la scurit du systme dans son fondement ; ds lors, toutes les mesures que vous pourriez prendre par ailleurs, ne servent plus rien. Il ne faut pas non plus crire votre mot de passe sur un support, proximit de la machine ou de manire qu un rapprochement puisse tre fait avec le systme qu il est cens protger. Les stickers sous le clavier ou le tapis de la souris, ne sont pas une bonne ide !

l ne faut pas prter son mot de passe

2) Mthode par substitution :

J apprends par c ur une chane {C} de caractres spciaux. Par exemple : {* + $ / ? }. Je prends un mot ou un nom que je peux retenir facilement. Par exemple : Robert. Je remplace les voyelles par les caractres successifs de la chane {C} . Je mets une majuscule chaque bout du mot et je le complte, si ncessaire, 8 caractres avec le reste de la chane {C} . Rsultat : R*b+rT$/ . Quand je change mon mot de passe, je ne change que la graine (ici Robert) et je garde toujours la mme chane {C} que je mmorise dfinitivement. Personnellement, cette mthode me plat plus que la prcdente. Avec un peu d entranement, l opration de composition du mot de passe se fait facilement mentalement. Les mots obtenus sont aussi trs robustes.

Les mots de passe circulent en clair sur les rseaux. Des techniques simples (sniffers, espions, chevaux de Troie ...), peuvent tre mises en uvre pour capter le couple (identifiant, mot de passe) l insu des utilisateurs et administrateurs. Ces dispositifs peuvent rester en place pendant des mois avant d tre dcouverts. Pendant ce temps, tapis l coute du rseau, ils captent tous les mots de passe qui circulent. C est pourquoi, mme robuste, un mot de passe doit tre modifi rgulirement - au moins tous les trois mois. Mais cette exigence pose un problme de mmorisation, qui devient insurmontable lorsqu on a plusieurs mots de passe se rappeler et qu on applique scrupuleusement les rgles ci-dessus. C est pourquoi un mot de passe ne peut tre un pur ala. Il faut avoir une rgle de constitution mnmotechnique. Je vous en proposerais deux, vous d en trouver d autres si le c ur vous en dit. Si l une de ces deux mthodes vous convient, servez-vous, il n y a pas de droits d auteur. Sinon, vous d en trouver une autre. Mais dans tous les cas, rappelez-vous que la scurit ne vous appartient pas, vous la partagez avec l ensemble de la communaut scientifique. Si vous tes laxiste dans ce domaine ou si, simplement vous vous laissez aller , vous portez tort tous vos collgues, y compris ceux qui acceptent - eux ! - de faire les efforts ncessaires.

l faut changer rgulirement le mot de passe :

1) Mthode potique :
Elle consiste apprendre un vers par c ur et constituer le mot de passe en prenant un caractre de chaque mot. Exemple : Tant va la cruche l eau qu la fin elle se casse . Pour chaque mot du vers qui possde plus de trois caractres, je prends le premier caractre. Les autres mots sont ignors. J alterne 1 minuscule, une virgule, 2