Un mot de passe fort pour votre dossier infirmier informatisé.

Un mot de passe fort est un mot de passe qui est difficile à retrouver, même à l'aide d'outils automatisés. La force d'un mot de passe dépend de sa longueur et du nombre de possibilités existantes pour chaque caractère le composant. En effet, un mot de passe constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres est techniquement plus difficile à découvrir qu'un mot de passe constitué uniquement de minuscules.

Un bon mot de passe est un mot de passe fort, qui sera donc difficile à retrouver même à l’aide d’outils automatisés mais facile à retenir. En effet, si un mot de passe est trop compliqué à retenir, l’utilisateur mettra en place des moyens mettant en danger la sécurité du système informatique, comme par exemple l’inscription du mot de passe sur un papier collé sur l’écran ou sous le clavier où l’utilisateur doit s’authentifier.

Pour ce faire, il existe des moyens mnémotechniques pour fabriquer et retenir des mots de passe forts.

Méthode phonétique
Cette méthode consiste à utiliser les sons de chaque syllabe pour fabriquer une phrase facile à retenir. Par exemple la phrase « J’ai acheté huit CD pour cent euros cet après midi » deviendra ght8CD%€7am.
Cette méthode sera très appréciée des amateurs de sms (texto) qui jonglent avec le langage phonétique.

Méthode des premières lettres
Cette méthode consiste à garder les premières lettres d’une phrase (citation, paroles de chanson...) en veillant à ne pas utiliser que des minuscules. Par exemple, la citation « un tiens vaut mieux que deux tu l’auras » donnera 1tVmQ2Tl’a en alternant une majuscule et une minuscule ou à l'inverse 1TvMq2tL'A.

Les utilisateurs d'un système d'information doivent être sensibilisés à l'utilisation de mots de passe forts afin de comprendre pourquoi le risque d'utiliser des mots de passe faibles peut entrainer une vulnérabilité sur le système d'information dans son ensemble et non pas sur leur poste uniquement. Mot de passe initial Le mot de passe initial doit être de préférence fourni sur un canal sûr. Lorsque ce mot de passe initial est fourni par l'administrateur du système ou lorsqu'il est communiqué sur un canal non confidentiel, il doit être changé dès la première connexion de l'utilisateur. Renouvellement des mots de passe Les mots de passe doivent avoir une date de validité maximale. A partir de cette date l'utilisateur ne doit plus pouvoir s'authentifier sur le système si le mot de passe n'a pas été changé. Ceci permet de s'assurer qu'un mot de passe découvert par un utilisateur mal intentionné, ne sera pas utilisable indéfiniment dans le temps. Les critères prédéfinis pour les mots de passe Plusieurs critères peuvent être définis et mis en œuvre dans de nombreux systèmes pour s'assurer de la qualité des mots de passe. Ces critères sont, par exemple : – une longueur minimum prédéfinie (au minimum 10 caractères) ; – l'impossibilité de réutiliser les n derniers mots de passe ; – le nombre de tentatives possibles ; – la manière de déverrouiller un compte qui a été bloqué (pour éviter les dénis de service liés au blocage de tous les comptes sur un système d'information, il peut être intéressant que le déblocage des comptes se fasse de manière automatique après un certain délai) ; – l'utilisation sur le poste de travail ou sur une application particulière de la mise en veille automatique avec un déblocage par un mot de passe. Confidentialité du mot de passe Un mot de passe sert à s'authentifier sur un système. Dans ce but il est important de veiller à ne pas divulguer son mot de passe. Un mot de passe ne doit jamais être partagé ni stocké dans un fichier ni sur papier. Cependant, il est possible que la politique de sécurité demande aux utilisateurs d'un système d'information de stocker les mots de passe sur papier dans un lieu sûr (enveloppe cachetée dans un coffre ignifugé) pour le cas ou un problème surviendrait. Configuration des logiciels Une large majorité de logiciels comme par exemple les logiciels de navigation Internet proposent d'enregistrer les mots de passe, par le biais d'une petite case à cocher « retenir le mot de passe », pour éviter à l'utilisateur la peine d'avoir à les ressaisir. Ceci pose plusieurs problèmes de sécurité notamment lorsqu'une personne mal intentionnée prend le contrôle de l'ordinateur d'un utilisateur, il lui suffit de récupérer le fichier contenant la liste des mots de passe enregistrés pour pouvoir se connecter sur des sites à accès protégé.

Ces recommandations sont extraites d'une note d'information rédigée par le CERTA d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) qui est un service rattaché au Secrétariat Général de la Défense Nationale Française. Ni plus, ni moins ;o) Si vous êtes intéressés par la sécurisation des systèmes informatiques, nous vous recommandons la lecture des articles, avis et notes de ce service.