Il semble que nous vivions à une époque où nous devons penser à de nouveaux mots de passe chaque semaine. Dans le bon vieux temps, vous pouviez naviguer sur un site web, même commander des trucs, sans avoir à vous créer une identité au préalable. Aujourd'hui, tous les sites veulent que vous vous créiez une identité, dans l'espoir qu'ils puissent diffuser plus d'informations sur vous et que vous ayez plus de chances de revenir à l'avenir. Mais le choix des mots de passe est difficile. Il existe de nombreux articles sur le Web sur la façon de choisir un bon mot de passe. Mais nous savons tous que c'est beaucoup trop de travail. Les gens sont fondamentalement paresseux, n'est-ce pas ? Voici quelques règles pour vous faciliter la vie. Je vous prie de m'excuser si votre mot de passe actuel est couvert par l'une de ces règles. Désolé de vous avoir fait perdre votre temps ; vous avez déjà prouvé que vous savez être paresseux.
1. Votre mot de passe est le même que votre adresse électronique, ou une partie de celle-ci. Félicitations, vous avez atteint le summum de la paresse !
2. Votre mot de passe utilise un de vos noms (premier, deuxième, dernier, surnom). Toujours aussi paresseux. Un attaquant doit maintenant essayer 2 ou 3 mots de passe, au lieu d'un seul comme avec la méthode précédente.
3. Votre mot de passe est une astucieuse séquence de touches. C'est de la paresse avec une fine verneer d'intelligence maquillée en effort. Vous gagnerez probablement un prix de l'association des surfeurs d'épaule vous remerciant d'avoir choisi un mot de passe facile à glisser. Après tout, ils peuvent être paresseux lorsque votre mot de passe est "qwerty" ou "q1w2e3" ou "abc123".
4. Votre mot de passe est "password", "secret", ou "123456". Excellent ! Non seulement ces mots de passe sont paresseux, mais ils sont le signe d'une personne paresseuse sans imagination !
5. Votre mot de passe est votre animal de compagnie, film, livre, chanson, athlète, équipe ou ville préférés. Vous gagnez le prix "Facebook Friendly Password". Au lieu d'un milliard de personnes capables de deviner votre mot de passe, comme avec les méthodes précédentes, seuls vos 300 amis Facebook ont maintenant un indice.
6. Votre mot de passe est le nom de votre conjoint, enfant, petite amie, petit ami ou parent. Voir le point 5 ci-dessus.
7. Votre mot de passe est une phrase super-intelligente, comme "letmein" ou "ihaveadream". Je parie qu'il vous a fallu 100 millisecondes pour trouver cette phrase. Bon travail.
8. Votre mot de passe est un mot du dictionnaire. Ouah ! Cela a demandé un certain travail. Pas beaucoup, mais plus que les autres méthodes.
Comment s'est passé votre mot de passe ? Vous êtes-vous retrouvé sur cette liste ? Si oui, vous avez un mauvais mot de passe. Félicitations !
Maintenant, passons aux choses sérieuses. Examinons les inconvénients d'un mauvais mot de passe.
Le ver Conficker, qui a fait des ravages sur Internet il y a quelques années, s'appuyait sur une liste codée en dur de plusieurs centaines de mots de passe couramment utilisés. C'est un bien triste commentaire sur l'état de la sécurité. C'est la preuve que la paresse l'emporte sur la sécurité pour de nombreux utilisateurs.
Si vous pensez que les problèmes de sécurité ne viennent que de l'extérieur, détrompez-vous. Je connais plusieurs cas où un employé mécontent a décidé de faire des ravages dans les systèmes. Plutôt que d'utiliser son propre identifiant de connexion pour cette corvée, il a volé le mot de passe d'un collègue. Je parie que le collègue n'était pas ravi de se retrouver sous le coup de soupçons. Avant que cela ne vous arrive, sachez qu'avec un peu de travail, il n'est pas trop difficile de déchiffrer les premières lettres d'un mot de passe en regardant simplement les mains de quelqu'un. Même la connaissance d'une ou deux lettres peut être très utile pour comprendre comment le reste du mot de passe est probablement orthographié. Si quelqu'un vous voit taper 7 touches qui commencent par "jan", il n'est pas trop difficile de deviner que le mot de passe pourrait être "january".
Plutôt que de répéter ce que d'autres ont dit sur le choix de bons mots de passe pour vous-même, je préfère que vous appeliez votre navigateur web préféré et que vous cherchiez "comment choisir un bon mot de passe".
Si vous êtes administrateur d'un système VOS ou OpenVOS, vous pouvez ajouter la commande privilégiée set_password_security à votre fichier module_start_up.cm pour limiter la forme des mots de passe que vos utilisateurs peuvent choisir. De cette manière, vous pouvez réduire considérablement l'utilisation de mots de passe paresseux et faciles à deviner. Vous pouvez interdire l'utilisation de voyelles, ce qui éliminera la plupart des mots du dictionnaire. Vous pouvez interdire la répétition des caractères, ce qui éliminera les mots de passe comme "aardvark" ou "aaaa". Vous pouvez interdire l'utilisation du nom d'utilisateur d'une personne (ou son inverse, ou un anagramme) comme mot de passe. Vous pouvez interdire la réutilisation d'un des 5 mots de passe précédents. Vous pouvez empêcher une personne de changer son mot de passe trop souvent (et donc de faire échouer le contrôle du mot de passe précédent). Vous pouvez exiger que le mot de passe soit composé d'au moins deux mots alphanumériques séparés par un caractère de ponctuation. Vous pouvez fournir un tableau des mots de passe interdits et ainsi empêcher les gens d'utiliser l'équipe sportive locale, ou le nom du mois, ou le nom de la société, comme mot de passe. Pour ce faire, créez un fichier de saisie (table input) nommé forbidden_passwords.tin. Chaque ligne consiste en une entrée de la forme "/ =mot de passe chicago", où "chicago" est un mot de passe interdit. Compilez le fichier en utilisant create_table, et copiez forbidden_passwords.table dans le répertoire (master_disk)>system. Utilisez l'option set_password_security -forbid_passwords_in_table pour l'activer. Vous pouvez exiger que le mot de passe contienne à la fois des caractères alphabétiques et numériques. Vous pouvez interdire les mots de passe qui mettent les chiffres au début ou à la fin du mot de passe. Enfin, vous pouvez exiger que les personnes changent leur mot de passe pour s'éloigner du mot de passe fourni par l'administrateur lors de leur première connexion.
J'ai créé un exemple de fichier "forbidden_passwords.tin" et l'ai placé sur le site FTP anonyme d'OpenVOS. Voir ftp://ftp.stratus.com/pub/vos/doc/reference/forbidden_passwords.tin. Jetez un coup d'œil et faites-moi savoir ce que vous en pensez dans la section commentaire, ci-dessous.