J'utilise indépendamment “mot de passe” et “phrases de passe” dans le texte ci-dessous. L'idée est juste de pointer sur un “mécanisme permettant de demander une information que seul vous devriez connaître”.

A priori, même la plateforme sur laquelle vous vous connectez ne doit pas connaître ce mot de passe ; elle est juste sensée appliquer une fonction qui applique, pour une chaîne de caractères, un résultat alphanumérique, qui deviendra l'empreinte de cette chaîne de caractères. Cette fonction est appelée “fonction de hachage”. Ainsi, la plateforme sur laquelle vous vous connectez doit juste savoir que X@Y.org est associé à un mot de passe dont l'empreinte est ABCDEFGH, sans avoir à enregistrer ce même mot de passe.

Ceci limite déjà la surface d'attaque possible, puisqu'avoir accès à la base de données ne donne pas pour autant le mot de passe associé à chaque compte connu. Cependant, cette fonction de hachage :

1. Ne doit pas avoir de collisions (deux mots de passe ont la même empreinte : cela signifie qu'en entrant le mot de passe B à la place du A, vous pourriez quand même montrer patte blanche),
2. Ne doit pas permettre de recomposer le mot de passe initiale à partir de son empreinte,
3. Ne doit pas être trop rapide à calculer, sans quoi un attaquant pourrait tenter de trouver une combinaison, simplement en essayant plusieurs associations, notamment grâce à la puissance de calcul de nos machines actuelles.

Il est impossible d'avoir une bonne gestion de mots ou phrases de passe sans l'aide d'une application. Les machines tendent à avoir une puissance de calcul de plus en plus grande, et il devient de plus en plus facile de trouver un mot de passe, surtout s'il a été utilisé ailleurs.

De même, se baser sur un service en ligne peut être considéré comme une mauvaise pratique, dans la mesure où ce même service pourrait lui-même être piraté ou victime d'une fuite de données (Par exemple, la fuite rencontrée par LastPass fin 2022).

Le site Have I been Pwned permet de vérifier si une adresse s'est retrouvée dans la nature. Ainsi, en entrant une ancienne adresse, je peux constater qu'elle a été piratée dans le cadre de trois fuites de données :

1. La “Collection #1” qui date de 2019, et qui a vu fuiter 773 millions de combinaisons,
2. Une faille DropBox de 2012,
3. Exploit.in, qui date de 2016.

On peut aussi y trouver des failles LinkedIn (2016, puis 2021), Deezer (fin 2022), Gravatar (octobre 2020), … Ce qu'il faut retenir, c'est qu'au plus on utilise une adresse e-mail comme identifiant de connexion à une plateforme, au plus la probabilité grandit que cette adresse soit exposée.

• Choisissez un gestionnaire de mot de passe,
• Autant que possible, masquer votre adresse email.