Nous avons tous de plus en plus de mots de passe à retenir, il est donc tentant d’en choisir un seul et qui plus est, facile à retenir.
Il s’agit de deux mauvaises idées :
- Un seul mot de passe est très risqué car vous multipliez les chances qu’il soit divulgué par erreur par un des fournisseurs (c’est arrivé à Hotmail il y a quelques jours)
La bonne nouvelle c’est que la majorité des sites (y comprit Hellotipi) ne stockent pas votre mot de passe en clair mais un « hash » de celui-ci: Cela permet de valider que c’est le bon sans stocker l’original.
- « Facile à retenir » est souvent synonyme de « facile à trouver » : azerty, 123456, une date de naissance, votre pseudonyme, le prénom d’un proche etc.
Il existe pourtant une méthode très simple pour corriger ces 2 problèmes.
- Choisissez une phrase suffisamment longue et facile à retenir, par exemple « Quand les types de 130 kilos disent certaines choses, les types de 60 kilos les écoutent » (Dialogue du film 100.000 dollars au soleil)
- Vous allez prendre la première lettre de chaque mot, garder les chiffres et remplacer « de » par 2.
Cela donne « Qlt2130kdcclt260klé »
Facile à retenir et très difficile à trouver 
ps: Un dernier conseil: utilisez au minimum un mot de passe différent pour les services « clés » comme le mail ou l’accès à la gestion en ligne de la banque.
7 octobre 2009 à 12:53
Cet article tombe à pic, je réfléchissais justement à ce sujet ce matin. La chaine de caractère issu d’une phrase produit un mot de passe difficile à trouver, mais ne résout pas le casse-tête des multiples comptes que l’on possède : doit-on retenir une phrase par service ?
J’ai réfléchi à une méthode combinant une clé personnelle, combiné avec des éléments que l’on trouve sur le site (nom du service, url, thème traité…) => la combinaison de ces éléments dans un ordre précis donne un mot de passe unique pour le site, que l’on ne connait pas par coeur mais que l’on peut retrouver.
Un exemple au hasard: connexion à Hellotipi.com avec comme clé : 235764 => On prend la 2è lettre du nom du site, la 3e de l’extension, la 5e du slogan du site… Si un caractère n’existe pas (ex: pas de slogan), on remplace par un caractère spécial.
On peut également alterner les majuscules et les minuscules
Cela ralentit un peu la connexion au service, mais la sécurité est à ce prix ! Et avec l’habitude cela ne devrait pas être trop mal, à tester.
Qu’en pensez-vous ? Avez vous d’autres systèmes ?
7 octobre 2009 à 14:54
coreight> ton idée est pas mal en effet, reste à trouver un bon compromis entre la facilité pour retenir et celle pour deviner.
Si un de tes mots de passe tombe je peux assez facilement deviner la formule que tu as utilisé pour le créer -> donc trouver les autres, non ?
7 octobre 2009 à 15:47
moi, je mélange date et mot signifiants pour moi…
. Il y a sur certains sites des évaluateurs de sécurité.. ma formule a passé + que correctement le test à chaque fois…
je suis dans l’incapacité de retenir des chiffres qui n’ont pas de sens « humain » ! c’est peut-etre une infirmité, mais c’est comme ça
7 octobre 2009 à 16:26
@François :
Je ne crois pas qu’il soit facile de retrouver la formule utilisée, même en ayant un mot de passe : il faudrait connaitre la clé de départ utilisée + la « recette » appliquée pour obtenir le mot de passe.
En reprenant mon exemple précédent, on obtiendrait un mot de passe du style « emi#2eL »
=> difficile de comprendre d’où vient chaque caractère (et même de se douter que chaque caractère provient d’élément du site). Il faudrait à la limite obtenir les mots de passe de plusieurs comptes et faire une analyse statistique pour essayer de percevoir quelquechose !
Et mon exemple était assez simple pour expliquer l’idée d’une sorte de clé que l’on utilise pour créer de multiples mot de passe. En réalité on peut compliquer le système, mais bien sûr sans perdre de vue la facilité d’utilisation comme tu l’as rappelé.
Sinon l’OpenID est-il une solution ? Je ne suis pas encore convaincu (et là il suffit de se faire pirater un seul compte pour que les dégats soient énormes)
8 octobre 2009 à 10:35
attention quand on voyage à l’étranger les accents c’est pas une bonne idée si on n’emmène pas son ordi… difficile de les retrouver sur tous les claviers
9 octobre 2009 à 8:08
Merci François de nous aider à… réfléchir!