Geek practices : les mots de passe

Je m'en vais tester une rubrique « Geek practices » afin de partager les méthodes et outils que chacun utilise, afin que la Terre soit plus belle, le ciel plus bleu et les petits oiseaux plus chantant.

Aujourd'hui, notre identité numérique, comme on dit dans les journaux, dépend beaucoup des mots de passe. Mail, musique, banque en ligne, opérateur mobile, tout est accessible via le web. Mais il faut bien se faire reconnaître, et en attendant le périphérique d'analyse ADN (qui apparaîtra bien un jour), on se contente d'une série de chaîne de caractères.

Niveau sécurité, la théorie exige d'utiliser un mot de passe différent pour chaque site, le changer régulièrement, ne surtout par le noter où que ce soit, et qu'il comprenne des symboles non-alphanumériques. Bref, inapplicable à moins d'avoir une mémoire eidétique. Il faut donc transiger :

• n'avoir qu'un mot de passe simple pour tout et s'en souvenir (n00b) ;
• n'avoir qu'un mot de passe complexe pour tout et s'en souvenir ;
• avoir x mots de passe simples pour chaque utilisation (ma_banque_youpi, mes_mails_à_moi) et s'en souvenir ;
• avoir x mots de passe complexes pour chaque utilisation, mais les noter quelque part (d'accessible, difficile à perdre, protégé (par mot de passe ?)) ;
• une solution précédente, avec un changement tous les mois.

À l'heure actuelle, je suis utilisateur de la quatrième solution. Même si elle présente des failles (notamment son lieu de stockage en ligne), je trouve qu'il s'agit d'un bon compromis (90 mots de passe sûrs, dont un qui les garde tous).

Une cinquième solution peut éventuellement être envisageable, mais j'ignore si elle est pratique.

J'ai lu récemment que les mots de passe compliqués comme k;>i4\+V5)[$ sont certes difficiles à percer, mais le sont moins qu'une petite phrase toute innocente du genre lancé de nains digiformes. En introduisant des mots inventés ou de l'argot pas forcément dans les dictionnaires, le temps de calcul pour casser ce code est suffisamment phénoménal (pour le moment) pour le considérer comme sûr.

Il faudrait donc associer une phrase à chacun des sites nécessitant un mot de passe, et l'argotiser afin de le rendre étanche aux recherches par dictionnaires (par exemple yahoo messenger c'est pourritissime ou amazon c'est alibabatesque).

Personnellement, je vais me contenter de mon coffre-fort virtuel et me remuerai peut-être les miches si jamais une annonce est faite comme quoi le verrou présente un défaut de fabrication à la random de Debian.