1 Août 2011
Identifiants et mots de passe : les bonnes pratiques
Pour accéder aux fonctionnalités étendues d’un site Internet, vous devez tout d’abord vous connecter. Ceci se fait la plupart du temps par la saisie d’un identifiant et d’un mot de passe.
Selon les sites, les règles appliquées à la saisie de ces identifiants et mots de passe varient. Quelles sont celles que l’on rencontre ? Sont-elles sécurisées ? Quelles sont les meilleures ? Quelles sont les bonnes pratiques ? Lesquelles faut-il privilégier ? Voici un petit tour d’horizon. Analyse…
Les identifiants
Selon le type et le sérieux du site, la nature de l’identifiant peut être de plusieurs formes :
- un forum va privilégier la saisie d’un pseudonyme,
- un site d’E-commerce va plutôt utiliser l’E-mail,
- un site administratif ou bancaire va préférer un numéro de dossier composé uniquement de chiffres, plus rarement de lettres,
- un opérateur téléphonique choisira le numéro de téléphone de l’abonné,
- sur le site de Pole Emploi, en plus de ce numéro, il est demandé de saisir un code postal, les caisses étant différentes selon les départements.
Les mots de passe
Le type de mot de passe se déduit du type d’identifiant :
- si l’identifiant est un pseudonyme ou un E-mail, alors le mot de passe sera composé de lettres, en minuscules et en majuscules, de chiffres et de caractères de ponctuation,
- le nombre minimum de caractères à saisir pour le mot de passe est souvent imposé, de six à huit caractères selon les sites,
- si l’identifiant est composé d’une suite de chiffres, le mot de passe est généralement composé de chiffres lui aussi,
- les mots de passe numériques sont généralement composés de quatre chiffres comme pour les cartes bleues, mais la tendance est maintenant plutôt de six chiffres.
- Avec quatre chiffres, il n’y a que dix mille combinaisons. Pour réduire le risque de piratage, les sites limitent les tentatives en général à trois essais, parfois quatre. Au-delà, il faut appeler le service client pour faire débloquer son compte.
Quel type d’identifiant privilégier ?
On éliminera tout de suite les identifiants de type pseudonyme. Je m’appelle Franck, mon pseudonyme sera Franck ou ne sera pas. La plupart du temps, ce pseudonyme est déjà pris. Il faut donc en choisir un autre. J’ai passé l’âge de mes quinze ans où j’utilisais les pseudonymes Cobra ou Anaconda. Je vais encore moins choisir le nom de mon héros préféré. D’ailleurs, il faudrait que j’en ai un. Il ne me reste plus qu’à choisir Franck156, car il y a déjà 155 autres Franck qui ont déjà pris le même pseudonyme. Franck156 sur ce site, Franck72 sur un autre, Franck257 sur un troisième. Pas très enthousiasmant tout cela ! Sans oublier qu’il me sera impossible de les retenir. Ce qui m’incitera à ne jamais revenir sur ces sites. En plus, il ne faut pas l’oublier, je ne suis pas un numéro ! Tout au plus, je tolèrerais qu’on accepte mon pseudonyme Franck et, lorsque j’écris un message, que mon pseudonyme soit suivi automatiquement d’un numéro pour me différencier des autres. Mais cela voudrait dire qu’à l’identification, le mot de passe permettrait de différencier les personnes. Et si deux personnes avaient le même mot de passe ?
Les identifiants numériques ne sont, là encore, pas faciles à mémoriser. D’autant plus qu’un identifiant numérique correspond en général à un numéro de dossier, qui, par définition, est différent d’un site à l’autre. Ils sont pourtant massivement utilisés par les sites qui manipulent de l’argent : banques, administrations, sites de jeux… On gardera ce type d’identifiant pour un site administratif, pour faire sérieux et montrer la lourdeur administrative. C’est beaucoup moins justifié pour un site bancaire, sauf si cela correspondait à un numéro de compte. Mais la plupart des banques utilisent un identifiant numérique différent du numéro de compte. Dans le cas d’un opérateur téléphonique, cela reste justifié car l’identifiant peut alors correspondre au numéro de téléphone qui, normalement, est mémorisé par l’abonné. Dans tous les autres cas, ce type d’identifiant n’est pas justifié.
Le seul identifiant unique restant est donc l’adresse E-mail. Cela reste de loin le meilleur choix. Mais il ne faut pas oublier qu’un utilisateur peut changer d’adresse E-mail. Il faut donc lui proposer une interface le lui permettant et qui change automatiquement son identifiant. Dans l’implémentation, son identifiant est un id numérique calculé automatiquement et qui n’est jamais montré au client. Second avantage d’un identifiant de type E-mail : vous avez un moyen de le contacter.
Je ne consacrerais guère plus d’un paragraphe aux sites qui imposent à la fois l’E-mail et le choix d’un pseudonyme unique. C’est tout simplement imbécile !
Ce qui ennuie particulièrement les utilisateurs, c’est de devoir se reconnecter à chaque visite. Autant lui proposer de mémoriser ses paramètres de connexion. La durée de mémorisation et la nécessité de ressaisir le mot de passe dépendant de la criticité du contenu du site.
Existe-t-il un moyen d’avoir un identifiant unique pour tous les sites, le votre et ceux de vos concurrents ? La formulation de la question oblige à répondre non. Il existe certes quelques initiatives privées, mais aucune n’a vraiment percé. Notons toutefois Facebook, qui est très largement utilisé, et offre ce service. Ceci n’est en plus pas très compliqué à mettre en place. Cela peut être également un moyen d’avoir plus de visiteurs sur son site. Attention toutefois de ne pas proposer Facebook comme unique moyen d’accès au site. Ce sera par contre un bon moyen de complément.
Quel type de mot de passe privilégier ?
Le type de mot de passe varie en fonction de l’identifiant choisi.
Pour un identifiant numérique, le mot de passe est généralement numérique. Certains d’entre eux adoptent les mots de passe à quatre chiffres, comme pour les cartes bleues. Ces mots de passe sont de loin les moins sécurisés, même avec la limitation à trois essais. Avec seulement dix mille combinaisons, un hacker utilisera une technique toute particulière. Plutôt que de deviner en trois coups le bon mot de passe, il fera l’essai des mêmes mots de passe les plus souvent utilisés (0000, 1111, 1234, …) en force brute sur tous les comptes. Il trouvera statistiquement parlant un bon compte tous les 3333 comptes testés. Comme ils sont eux aussi numériques, avec en général un nombre de chiffres constant, il n’est pas compliqué de les trouver. Si par malheur derrière ce compte il y a de l’argent et qu’il est possible de faire un virement, je vous laisse deviner le pactole qu’un hacker peut se faire. Heureusement, la plupart du temps, pour pouvoir saisir un RIB, il faut saisir un autre code. Et la probabilité de trouver ce code en trois essais est extrêmement réduite.
Pour se protéger, les sociétés utilisant les mots de passe numériques proposent de saisir le mot de passe en cliquant à la souris sur un clavier virtuel plutôt qu’en tapant le code au clavier. Cette protection est adaptée contre les keyloggers, ces mouchards qui enregistrent tout ce que vous tapez sur votre clavier à votre insu, puis qui l’envoient au hacker qui a installé ce keylogger sur votre machine contre votre gré. Elle ne complique aucunement l’accès au site par un hacker.
Pour mieux se protéger, les banques utilisent de plus en plus les mots de passes numériques à six chiffres. Cela ne complique pas trop leur système d’information, mais cela réduit drastiquement les velléités des hackers. Avec un tel mot de passe, il y a un million de combinaisons. En force brute, il faudra essayer 333 333 comptes avant d’arriver à ses fins, ce qui est un risque raisonnable. Si à cela, on rajoute des analyseurs de tentatives de connexion afin de vérifier l’adresse IP d’origine des requêtes et, pour les plus futés qui changent d’adresse IP à chaque connexion, la régularité des essais, le risque devient alors quasi nul.
Un identifiant et un mot de passe numérique a un intérêt indéniable dans un cas bien précis : l’accès à un service via serveur vocal. Les touches du clavier du téléphone sont numériques et les gens ne sont pas habitués à utiliser les correspondances sous forme de lettres. Si votre service est basé sur l’utilisation d’un serveur vocal, les identifiants et mots de passe numériques sont un bon choix.
Dans tous les autres cas, le mot de passe doit être alphanumérique. Mieux, avec un mélange de majuscules, de minuscules, de nombres et de la ponctuation. Il est impératif d’avoir au minimum six caractères de deux voire trois familles de caractères différents parmi ceux qui viennent d’être cités. L’idéal est d’avoir au minimum huit caractères. D’ailleurs, certains sites obligent maintenant un minimum de huit caractères, ce qui peut gêner les personnes qui sont habituées à mettre un mot de passe à six caractères. Car, il faut le savoir, les gens utilisent quasiment toujours les mêmes mots de passe sur tous les sites. Plus il y a de caractères dans un mot de passe, mieux c’est. Pour ma part, j’utilise plusieurs mots de passe, selon les types de site. Mon plus petit mot de passe a six caractères. J’en ai un autre avec huit caractères. Mon mot de passe le plus complexe a quarante caractères.
Il est à noter que certaines banques, comme la Bred, qui ont un identifiant numérique, ont adopté des mots de passe à plusieurs familles de caractères. Un bon point vers la sécurité !
Franck Beulé
Chef de projet Agile, expert des technologies de l’Internet et en ergonomie du Web
Ajoutez un commentaire