Mots de passe et authentification
Définition
Un mot de passe est une chaîne de caractères secrète qui permet de vérifier l'identité d'un utilisateur lors de la connexion à un compte ou un système. L'authentification est le processus global de vérification de l'identité. L'authentification multifacteur (MFA) ajoute une couche de sécurité en combinant plusieurs preuves d'identité.
| Facteur d'authentification | Type | Exemples |
|---|---|---|
| Ce que vous savez | Connaissance | Mot de passe, code PIN, question secrète |
| Ce que vous avez | Possession | Smartphone, clé USB de sécurité, carte |
| Ce que vous êtes | Biométrie | Empreinte digitale, reconnaissance faciale |
Contexte
IC3 insiste sur les bonnes pratiques de mots de passe et l'authentification comme première ligne de défense. Le candidat doit savoir créer un mot de passe robuste, comprendre le MFA et connaître les risques liés à la réutilisation des mots de passe.
Détails techniques
Critères d'un mot de passe robuste
| Critère | Mauvais exemple | Bon exemple |
|---|---|---|
| Longueur | abc123 (6 car.) |
MonCh@t-Mange-Des-Cr0quettes! (30 car.) |
| Complexité | password |
Mélange majuscules, chiffres, symboles |
| Unicité | Même mot de passe partout | Un mot de passe unique par site |
| Imprévisibilité | Jean1990 |
Pas de données personnelles |
Méthode de la phrase de passe (passphrase)
Phrase mémorable : "Mon chat mange 3 croquettes à 8h"
Mot de passe : McM3c@8h!
Alternative (phrase complète) : Mon-Chat-Mange-3-Croquettes!
→ Long, mémorable et très résistant au bruteforce
Temps de craquage estimé (brute force)
| Mot de passe | Temps estimé |
|---|---|
123456 |
Instantané |
Soleil21 |
Quelques minutes |
Tr0ub4dor&3 |
Quelques heures |
Mon-Chat-Mange-3-Croquettes! |
Des millions d'années |
Gestionnaires de mots de passe
| Outil | Type | Avantage |
|---|---|---|
| Gestionnaire du navigateur | Intégré (Chrome, Firefox) | Simple, synchronisé |
| Bitwarden | Application dédiée | Open source, multi-plateforme |
| 1Password | Application dédiée | Interface élégante, entreprise |
| KeePass | Application locale | Hors ligne, contrôle total |
Authentification multifacteur (MFA)
Connexion avec MFA :
1. Entrer identifiant + mot de passe (facteur 1 : connaissance)
2. Recevoir un code par SMS ou application (facteur 2 : possession)
3. Scanner son empreinte digitale (facteur 3 : biométrie, optionnel)
→ Même si le mot de passe est volé, le compte reste protégé
Astuce IC3 : Activer le MFA (souvent appelé "vérification en deux étapes") sur tous les comptes importants : e-mail, banque, réseaux sociaux. C'est la protection la plus efficace contre le vol de compte.
Exemple concret
Un utilisateur utilise le même mot de passe Azerty123 pour son e-mail, Facebook et sa banque. Une fuite de données sur un site compromet ce mot de passe. Les attaquants testent automatiquement la combinaison e-mail + mot de passe sur d'autres services (credential stuffing). Résultat : tous ses comptes sont compromis. Avec un gestionnaire de mots de passe et le MFA activé, seul le site initialement compromis aurait été touché.