Introduction
Les mots de passe sont un système de sécurité assez faible, mais quand même suffisamment fiable pour qu'un amateur ne puisse pas pénétrer dans votre système facilement sans votre autorisation. Il va de soit que vous n'êtes pas en sécurité parce que vous avez un mot de passe. Les systèmes actuels sont assez bien construits pour que vous n'ayez pas trop d'ennui, toutefois le plus grand nombre de failles à ce niveau vient d'abord et avant tout de l'utilisateur, lequel ne comprend pas bien pourquoi c'est aussi important de bien s'appliquer à choisir un mot de passe convenablement. Enfin, si vous croyez que parce que vous n'êtes pas sur une liste noire d'un groupe de pirate, comme Anonymous par exemple, vous ne risquez rien, sachez que certains Hacker s'amusent à Hacker en vrac, à coup de 20000 noms sites à la fois par exemple. Donc, votre côté incognito ne pourra pas vous sauver pour cette fois ! De plus, vous devriez écoutez des films comme «Les Experts» (Sneakers) si vous croyez que vos mots de passe sont en sécurité dans une table par ce qu'ils sont encodés.
Mot de passe identique au nom d'utilisateur
La pire idée pour un mot de passe est sans nulle l'utilisation du même mot de passe que le nom d'utilisateur, car c'est la première chose qu'on essayera pour pénétrer votre système.
Les mots de passe trop courts
L'utilisation d'un mot de passe inférieur à 4 lettres est trop facile à trouver de nos jours ! Puisque les machines comptent jusqu'à un milliard par seconde, voir même plus, passer en revenue toutes les possibilités reliées avec un mot de passe de 4 lettres peuvent se faire en quelques instants seulement.
Les mots connus
L'utilisation de mot connu n'est pas une bonne idée non plus, car les Hacker ont tendance à utiliser un dictionnaire de mot et le tester sur votre système jusqu'à ce qu'il l'ait trouvé. Si vous utilisez un mot de passe comme le mot «bonjour», vous risquez donc d'être percé à jour en moins d'une semaine.
La faille de proximité
Une faille de sécurité que beaucoup de néophytes et maniaques de simplicité ont tendance à faire, c'est l'utilisation du même mot de passe partout dans tous les systèmes, à tous les niveaux (Application Web, Courriel, compte système,...). Cette approche est surnommée «faille de proximité». Pourquoi, est-ce une mauvaise idée ? Parce que le Hacker, cherchera le même mot de passe partout sur votre système, qu'il aura potentiellement découvert dans un sous-système moins bien protégé ou un serveur de développement. Ainsi, s'il tombe sur une table de base de données avec un mot de passe encodée en MD5, il cherchera le mot correspondant à clef MD5 sur Google et une fois qu'il l'aura trouvé, il testera chacun des systèmes avec se mot de passe en question. Si vous avez des tonnes de sites Web à surveiller comme moi et que vous n'avez pas le temps d'avoir les yeux partout, il est pour ainsi dire impossible que vous ne vous fassiez pas Hacker par cette technique un jour ou l'autre ! De plus, si vous travaillez pour une entreprise et que votre façon de gérer votre réseau est basée sur cette idée, vous êtes carrément une menace pour votre propre entreprise.
Enregistreur de frappe (keylogger)
Une des menaces les plus sournoise, est celle des enregistreur de frappe (en anglais keylogger) ! Il s'agit d'un virus installé à l'insu de l'utilisateur et enregistrant toutes les données tapées sur le clavier et naturellement également les mots de passe. De ce fait, peu importe les mesures de sécurité, et les questions secrètes, le propriétaire du virus pourra se connecter en votre nom avec vos bon mot de passe et le serveur n'y verra que du feu !
Et l'avenir ?
Les grandes entreprises et certains gouvernements cherchent des solutions plus fiables que cette technique archaïque. Les mots de passe se verront peut-être carrément abandonnés un jour. La reconnaissance de la rétine de l'oeil, la biométrie, la reconnaissance vocale ou même les habitudes comportementales d'un utilisateur risquent de remplacer les mots de passe en terme de protection.
Remarque
- Des mots de passe trop unique peuvent devenir une signature unique a travers les différents systèmes qu'un Hacker aurait accès. Il pourrait donc retracer, de cette manière, un individu à cause de critère de sélection de mot de passe trop zélé, ce qui devient également une faille de sécurité par le fait même.