Pourquoi et comment se fabriquer un mot de passe efficace ?

Vous avez sans doute entendu parler d’HeartBleed ou plus récemment de la fuite massive – est-ce encore le bon mot – de données de Yahoo ? Dans l’imaginaire de beaucoup ces fuites d’informations ne met pas en péril leur sécurité numérique. En réalité ce genre de brèche est un vrai danger pour chacun d’entre nous et c’est donc le bon moment d’expliquer comment se fabriquer un mot de passe efficace.

Le vol de mot de passe, les soucis d’intrusion, le piratage… Ça n’arrive qu’aux autres. C’est cette petite comptine rassurante qui trotte dans la tête de tous ceux qui lisent parfois qu’untel ou untel s’est fait pirater son compte sur un réseau social. Qu’un autre a perdu ses données ou qu’on a voulu lui soutirer de l’argent en cryptant son disque dur. Tous ces trucs là n’arrivent qu’aux autres, moi, je sais me protéger.

 Comment se fabriquer un mot de passe efficace ?

A quel point votre environnement est t-il sur ?

Comment se fabriquer un mot de passe efficace ? Ce n’est pas pour moi ça, moi j’en ai un super ! Jamais ils ne trouveront ! Cette première affirmation est très commune et pourtant souvent très fausse. Les listes qui fleurissent chaque année du top 10 ou top 50 des mots de passe les plus courants nous montre a quel point les machines sont peu sécurisées. Si face à ce délire de solutions totalement évidentes, on peut effectivement se senti à l’abri, ce n’est pas pour autant qu’un mot de passe apparemment plus complexe vous mettra forcément à l’abri.

Top 10 des pires mots de passe 2013 :
1: 123456 (+1 place)
2: password (-1 place)
3: 12345678 (classement inchangé)
4: qwerty (+1 place)
5: abc123 (-1 place)
6: 123456789 (nouvelle entrée)
7: 111111 (+2 places)
8: 1234567 (+5 places)
9: iloveyou (+2 places)
10: adobe123 (nouvelle entrée)

Et ne vous dites pas que ces mots de passe incroyablement évidents sont liés à un pays particulier, ils concernent toute la planète. La France est pas mal placée d’ailleurs puisqu’en 23 eme position on retrouve AZERTY. Un mot de passe qui correspond mécaniquement à la 4 eme position mondiale de ce top puisque c’est la version de QWERTY des mêmes touches simplement adaptée à notre clavier.

Comment se fabriquer un mot de passe efficace ?

Oui, les gens utilisent une suite mécanique de lettres situées devant eux comme mot de passe. Cela correspond en gros à laisser toute sa vie privée, l’accès à ses comptes et autres infos dans un gros classeur devant chez soi avec un petit post-it posé dessus où il serait indiqué : Privé ne pas ouvrir. Et encore, on pourrait imaginer fusionner les différentes suites de chiffres en une seule puisque si certains vont jusqu’au 8 ou au 9 c’est simplement parce que les applications ou les sites qu’ils utilisent les obligent à avoir 8 ou 9 lettres ou chiffres dans leur mot de passe. Sinon ça serait bien pire.

Alors évidemment, si votre mot de passe est quelque chose de plus compliqué, quelque chose de plus long mélangeant lettres et chiffres, vous pouvez vous sentir à l’abri. Enfin, vous pouvez seulement.

Comment se fabriquer un mot de passe efficace ?

Les pirates ne se lasseront pas d’essayer de percer votre code, ils ont leur temps et ils ont des robots.

Beaucoup de gens imaginent le pirate informatique comme un perceur de coffre. L’analogie est mauvaise, cela n’a rien à voir. Avec le perceur de coffre vient tout l’imaginaire du cinéma. Le travail dans l’ombre avec la lampe torche dans la bouche, le stéthoscope et la patience stressante de celui qui tente de réunir les 4 chiffres qui ouvriront la porte d’un seul coffre. Le stress filmé en gros plan, le gars qui sait qu’il peut réveiller le proprio ou la police qui va débarquer à tout instant. Je ne parle même pas de l’alarme ni du reste. La vie des cambrioleurs est difficile.

A des années lumière de celle d’un pirate en réalité. Le petit malin qui cherche à vous hameçonner, à récupérer vos infos ou à pénétrer votre réseau est probablement à l’autre bout de la planète, au calme et ne risque quasiment rien. Que peut t-il lui arriver ? Si vous remarquez une tentative d’hameçonnage ou une intrusion de votre machine, que se passe t-il pour lui ? Rien. Si un tiers se fait passer pour votre banque ou tente de récupérer le code de votre carte bleue, vous prévenez votre banque. Le pirate n’est même pas inquiété. Si vous remarquez une intrusion chez vous, il est probablement trop tard.

Mais le pire est probablement que ces pirates ne savent même pas qui ils visent, le gros de leur boulot et d’automatiser au maximum les opérations. Des “robots” – le terme est mal choisi il s’agit en réalité de programmes informatiques – sont mis en place et multipliés pour percer des défenses informatiques. Inlassablement et sans état d’âme. Ils vont à la pèche au mot de passe et tentent sans cesse de venir voler des données. Pas coffre par coffre mais par milliers de tentatives partout sur la planète à chaque minute.

Ils travaillent brutalement, sans jamais s’émouvoir et une fois une piste repérée, ils vont creuser le filon sans s’arrêter. La méthode est toujours la même, une fois la liste des mots de passe les plus fréquemment utilisés essayée, le robot s’attelle à tenter toutes les combinaisons possibles. Votre super combinaison de 16 chiffres et lettres mélangés sera donc efficace puisque le robot mettra du temps, beaucoup de temps à la trouver. Mais si on lui laisse le temps, il finira par la trouver. L’unique solution étant de changer cette combinaison régulièrement.

Ransomware

Ah mais je ne suis pas concerné ! Je suis pas connu, j’ai pas de serveur et je suis un utilisateur lambda !

“Mes données ne valent rien, pourquoi un pirate viserait t-il mon compte ? Qui va chercher à voir mes photos de famille ou mon manuscrit de roman que je n’ai jamais eu le courage d’envoyer à une maison d’édition ?” Rassurez vous, personne ne veut voir tata Raymonde souffler par le nez les bougies de son cinquantième anniversaire. Personne ne veut spécialement lire votre prose. En fait les pirates s’en foutent comme de leur première couche culotte.

Un seul truc est susceptible de les intéresser, l’argent. Or si les photos de tata Raymonde et les centaines d’autres clichés n’intéressent personne, elles vous intéressent vous. Une fois que votre PC est sous contrôle parce que le mot de passe tataraymonde n’est pas suffisant, une des techniques actuelle des pirates est de vous faire chanter au cryptage de données.  C’est ce qu’on appelle le Ransomware.

La méthode consiste à utiliser un algorithme puissant de cryptage qui rendra illisible toutes vos données personnelles. Une fois le cryptage effectué, le plus souvent à votre insu, un écran va s’afficher et vous demander un virement bancaire via une plateforme anonyme pour vous donner la clé qui permettra de retrouver vos données. Vous n’aurez que quelques heures pour le faire ou le décryptage ne sera plus accessible et la clé perdue. Ici ce n’est pas la valeur sur le marché de vos données qui entre en ligne de compte, mais la valeur que vous accordez à vos données personnelles. Tout le monde peut donc être visé.

Comment se fabriquer un mot de passe efficace ?

Si rien ne vous a choqué jusqu’ici dans ce billet, c’est qu’il y a un problème avec votre mot de passe.

Depuis le début de ce billet je vous parle d’un mot de passe efficace mais d’un seul. Hors n’exploiter qu’un seul mot de passe est finalement très peu sur. C’est ce que nous démontre l’affaire Yahoo et la fuite de plus de 1 milliard de mot de passe sur le web. Avoir un seul mot de passe c’est un peu comme si vous donniez un double de vos clés à tout le monde. Facteur, agents qui viennent relever les différents compteurs de votre maison, service télécoms… etc. Utiliser un seul mot de passe c’est multiplier le risque de voir vos sécurité fuiter exponentiellement. Entre les réseaux sociaux, les services de paiement en ligne, les sites auxquels vous vous abonnez, les sites de ventes et autres, ce sont des dizaines de sites à exploiter avec un seul et même mot de passe pour un pirate. Il suffit qu’un seul laisse entrevoir une brèche pour que tous les autres soient exploitables.

Et des histoires de sites qui se font voler des listes de login et mot de passe par centaines de millions, même les plus connus, il n’y a pas une semaine sans que cela n’arrive.

A partir de ces 2 clefs, votre identifiant (correspondant bien souvent à votre email) et votre mot de passe, un cyberfilou peut s’introduire alors dans des dizaines de services, lire votre page Facebook privée mais également accéder à votre compte Paypal ou autre et virer des fonds, voire payer des trucs avec vos sous. Avoir un seul et même login mot de passe c’est un peu comme filer les clés de la boite de Pandore des emmerdements.

Comment se fabriquer un mot de passe efficace ?

Mais alors je vais devoir gérer 50 mot de passe ?

Mais c’est horrible ! D’un côté je vois bien que c’est dangereux mais de l’autre je me vois mal réussir à retenir 50 mots de passe ! C’est tout le problème. Sur le net il n’y a pas la possibilité de compenser des lacunes personnelles par un gros amas d’argent. Chez vous, si vous êtes dans le genre peureux et que vous ne vous voyez pas vous défendre contre des cambrioleurs, vous avec la possibilité de débourser de grosses sommes pour coller 20 verrous sur vos portes blindées, acheter une alarme de maison et un service de télésurveillance. Vous payez pour votre sécurité.

Sur Internet il n’y a pas moyen de payer pour votre sécurité, il y a moyen de choisir des éléments matériels plus ou moins sûr pour votre équipement perso, des machines avec des fonctions de cryptage ou des routeurs vraiment sécurisés. Mais face à un service dans les nuages on est tous logés à la même enseigne et c’est votre cerveau qui entre en jeu et non pas le montant de votre compte en banque.

Alors, oui, il va falloir utiliser un petit peu de matière grise pour vous protéger.

Comment se fabriquer un mot de passe efficace ?

Reprenons, il faut un mot de passe par site web, un truc plutôt compliqué, au moins 8 lettres ou chiffres différents et le tout doit être le plus difficile possible. Et puis il faut s’en souvenir ! Pas facile !

En fait c’est plus simple qu’il n’y parait. Il faut simplement se construire une petite routine.

1 : D’abord on se choisi un nombre, par exemple un nombre de 4 chiffres comme “8421”. Ce nombre on va le disséminer dans la phrase choisie plus bas.

Comment se fabriquer un mot de passe efficace ?

2 : Ensuite on se choisi une phrase que l’on aime bien, un truc dont on se souviendra quoi qu’il arrive, par exemple : “Je marche dans les pas de mon père”. Cela peut être le titre d’une chanson, d’un roman, un vers de poésie, une citation familiale… Plus cette phrase est longue, mieux c’est.

3 : Enfin on ajoute un peu de piment en saupoudrant le tout de cryptodiversité histoire de créer des variantes.

Voilà ce que cela donne :

Je prend mon nombre 8421 et je me dit que j’ouvre mon mot de passe avec le premier chiffre, j’en colle un second après le premier mot de ma phrase de mot de passe et un autre après le premier mot et ainsi de suite. Cela donne :

  • “8je4marche2dans1lespasdemonpère”

Pas trop compliqué jusque là.

Pour crypter un peu plus tout cela on peu s’amuser a coller des majuscules au début de chaque mot

  • “8Je4Marche2Dans1LesPasDeMonPère”

Et on a un truc qui commence a ressembler à un mot de passe sérieux. Si vous êtes maniaque vous pouvez rajouter des éléments plus étendus comme remplacer les s par des $ ou autres combinaisons du genre.

Temps estimé pour casser un mot de passe suivant sa complexité et sa longueur

Il reste un problème, c’est un mot de passe unique, alors qu’on vient d’expliquer qu’il en fallait un par site web !? Oui mais il est impossible de retenir 50 mots de passe de ce type et il faut donc ruser pour arriver a différencier les mots de passe par site web. Par exemple, vous pouvez utiliser le nom de domaine du site que vous voulez rajouter à votre collection de services pour vous identifier.

Il suffit de découper les 2 premières lettres du site web ainsi que les 2 dernières lettres et de les ajouter au début et à la fin de la phrase de passe que vous avez créée.

Par exemple, sur Gmail.fr, votre passphrase ressemblera à :

  • “GM8Je4Marche2Dans1LesPasDeMonPèreIL”

Pour Facebook :

  • “FA8Je4Marche2Dans1LesPasDeMonPèreOK”

Pas besoin de changer de mot de passe entièrement suivant le site que vous visitez, cette petite clé en début et fin de votre mot de passe suffit.

Avec cette méthode vous avez un mot de passe correspondant à vos besoins, il est long et multiplie donc le temps de recherche nécessaire à un robot pour le trouver. Il est différent d’un site à l’autre et il est relativement facile à retenir puisque vous retenez une phrase et un nombre et surtout une méthode. Mieux encore il est facile à modifier puisqu’il suffit de changer de phrase pour transformer radicalement votre mot de passe. en cas de fuite de données de voter compte Yahoovous pouvez simplement transformer :

  • “YA8Je4Marche2Dans1LesPasDeMonPèreOO”

à

  • “YA8La4Mort2Vous1VaSiBienOO”

Et cela sans avoir à trop vous creuser la tête.

Comment se fabriquer un mot de passe efficace ?

Quelques autres conseils en vrac :

Si vous avez des services particuliers que vous n’utiliserez pas ailleurs que chez vous, des sites web liés à un usage sédentaire pour faire vos courses ou régler des factures, vous pouvez utiliser des mots de passe plus complexes et les enregistrer sur votre machine grâce à un logiciel de gestion de mot de passe efficace.

Comment se fabriquer un mot de passe efficace ?

Il en existe des tas, personnellement j’utilise KeePass sous Windows, un véritable couteau Suisse pour générer et stocker vos mots de passe. L’outil peut même détecter les champs à remplir et les remplit automatiquement. Attention cependant, en cas de plantage de machine, vous pouvez perdre tous vos mot de passe d’un coup. Sous MacOS il existe Dashlane et sous Linux KeePassX.

En cas de besoin de génération d’un mot de passe très fort en ligne, vous pouvez utiliser les services de Random.org et noter le mot de passe généré… sur un bout de papier en attendant de le rentrer dans ce type d’utilitaire. Évitez les mots de passe sur papier, collés sur un post-it sous le clavier du bureau, c’est dangereux.

Autre conseil important, ne pas utiliser comme email de connexion un email lié à un nom de domaine personnel mais préférez un service d’email plus générique : Gmail, Free.fr ou autre. Car si votre email et votre passe sont récupérés par un pirate, le fait de voir que le domaine vous appartient lui donnera l’opportunité de venir se frotter à votre organisme d’enregistrement et à tenter de récupérer vos données.

N’oubliez pas que sur le web, vous pouvez être le maillon le plus fort de votre chaîne de sécurité et que malgré tous vos efforts, des services tiers peuvent venir à bout de tous vos efforts en faisant preuve de laxisme. soit par une fuite de données comme l’affaire Yahoo, soit par une brèche comme HeartBleed, soit en étant simplement incompétent. L’histoire de Naoki Hiroshima et la  façon dont il s’est fait soutirer son compte Twitter @N est édifiante à ce propos. Si il a pu récupérer son compte c’est uniquement du au fait de la médiatisation de son histoire et de la mise en cause de différents services sur internet.

Note : Ce billet a été mis à jour suite à l’affaire Yahoo. Il a été publié précédemment en Avril 2014.

44 commentaires sur ce sujet.
  • 14 avril 2014 - 13 h 15 min
  • 14 avril 2014 - 13 h 18 min

    MOUAAAAAAHHHHHHH
    Je suis content, je fais ce même type de MDP depuis un petit moment.
    Le plus difficile est de convaincre ma femme de faire pareil ……..c’esp pas encore gagné

    Répondre
  • 14 avril 2014 - 13 h 37 min

    Très bien, sauf que le mot de passe “FA8Je4Marche2Dans1LesPasDeMonPèreOK”, d’une longueur de 35 caractères sera rejeté car trop long par bien des sites web. Certes, ça ne devrait pas arriver, mais avec un mot de passe de 14 caractères, je me fais déja assez envoyer bouler (et du coup j’oublie systématiquement ces mots de passes plus courts que d’habitude)

    On pourrait réduire en prenant les initiales de la phrase: FA8j4m2d1LPDMpOK

    Prochaine étape, militer auprès des sites et services qui tentent d’imposer des mots de passe sécurisés qui au final ne le sont pas:

    “Votre mot de passe doit contenir entre 6 et 10 caractères dont au moins deux chiffres
    – OK, alors ce sera raymonde82”

    Répondre
  • 14 avril 2014 - 13 h 39 min

    @tchikboom: Le soucis de cette méthode ce sont les sites qui demandent des mots de passe tous de formes et de tailles différentes!
    Alors oui il faudrait en théorie un MDP par site … mais franchement je n’ai pas le courage de faire et retenir tout cela!
    Et les logiciels de mot de passe sont une idée délirante, car confier à un logiciels tous ses mots de passe c’est finalement s’assurer qu’en cas de crack du dit logiciel tout est perdu!

    Répondre
  • 14 avril 2014 - 13 h 50 min

    @tchikboom: C’est un peu la même idée :)

    @Kenny: Je prétend pas avoir la solution ultime, juste faire comprendre le système de routine de password. Les initiales marchent très bien également.
    Les sites qui te forcent a choisir un mot de passe entre 6 et 10 sont des aberrations. J’en ai encore utilisé un hier et franchement, ca me gave autant que toi, je suis désemparé face à mes habitudes et ce n’est pas simple de s’en souvenir du coup. Quand je peux choisir entre 2 sites proposant le même service je choisi celui qui gère de vrais passphrase. Et j’écris au premier en disant que leur système est peu sécure et que je suis allé voir ailleurs.

    @youri_1er: Sauf que pour cracker mon logiciel de mot de passe il faut être devant ma machine et là, pour avoir le temps et la méthode pour cracker mon password, il faut se lever de bonne heure. On retombe face à la problématique du voleur et de sa goutte de sueur d’angoisse…

    Répondre
  • 14 avril 2014 - 13 h 56 min

    J’utilise une méthode similaire pour construire mes mots de passe. Et j’essaye également de sensibiliser famille et amis. Par contre, j’oblige l’utilisation d’au moins 1 caractère différents de chiffres et lettres. C’est pas la mort d’en avoir 1 et ça rends le mot de passe BEAUCOUP plus difficile à obtenir en brute force….

    Par contre, ce qui me fait bien chier quand on utilise cette méthode, ce sont les sites avec les vieilles méthodes de sécurisation comme par exemple office 365 que ma société utilise qui limite le mot de passe à 12 ou 14 caractères, qui empêche certains caractères non alphanumériques) et qui obligent à changer le mot de passe tous les 3 mois! Ce qui fait que j’ai utilisé pas mal de possibilité, j’arrive plus à un trouver et à m’en rappeler et j’ai été obligé à force de le stocker dans un fichier car je l’utilise pas assez souvent pour m’en rappeler :( Quelle plaie cette stratégie!!!

    Répondre
  • 14 avril 2014 - 14 h 07 min

    Bonne technique que j’applique déjà en partie.
    Perso je l’utilise pour mon Master Password de 1Password et une autre phrase pour quelques autres sites de confiance ou qui utilisent la double authentification, mais vraiment très peu.
    Pour la plupart de sites, je préfère que 1Password génère un mot de passe pour moi, car je ne suis pas sûr à quel point je peux faire confiance à un site qu’il enregistre le hash du mot de passe et non pas en clair et que s’il se fait piraté on dévie après les mot de passe des autres sites. J’espère que les andouilles du genre sont de plus en plus rares, mais on n’est jamais à l’abris.
    Et même si mon téléphone n’a plus de batterie et que j’ai plus accès à 1Password je peux y accéder en lecture seule dans mon compte DropBox.

    Répondre
  • 14 avril 2014 - 14 h 10 min

    @Philippe: Ahah ! Je suis dans la même mouise tous les trois mois ^^

    @Pierre: Effectivement, il n’y a pas de méthode parfaite, je voulais juste souligner que plus la phrase est longue, plus ça va être compliqué de l’utiliser sereinement. Ce qui m’effraie le plus avec ces sites qui limitent à un petit nombre de caractères, ce sont les motivations derrière cette limite. Je ne peux m’empêcher de me dire que c’est parce que les mots de passe sont stockés en clair.

    Répondre
  • 14 avril 2014 - 14 h 41 min

    Merci pour ces conseils salutaires ! Mais, arrêtez moi si je me trompe, le principe d’heartbleed c’est bien d’utiliser une faille du système d’identification pour, potentiellement, capter, en clair des infos confidentielles dont des mots de passe des utilisateurs précédents. Partant de là, en quoi le fait d’avoir un mot de passe robuste ou un gestionnaire de mot passe change quelque chose dans ce cas précis ?

    Répondre
  • 14 avril 2014 - 14 h 54 min

    @Smeablog: cela évite qu’en utilisant un mot de passe identique, on se retrouve totalement mis à nu. Imagine que l’on te pique ton mot de passe d’accès à un service de paiement peu ou mal sécurisé. A partir de cette info et de ton email il sera impossible de remonter jusqu’à ta page de réseau social ou de prendre contrôle de ta messagerie.
    Après le problème d’HeartBleed est justement dans l’apparition de mots de passe en clair et dans l’OBLIGATION de changer de mot de passe pour tous ses sites. dans mon cas j’ai changé de N° et de passphrase pour 80% de mes compte et j’en ai cloturé d’autres?. Ca m’a pris une bonne heure.

    Répondre
  • 14 avril 2014 - 15 h 21 min

    @Pierre Lecourt: Sans allez sur ton poste, si le logiciel en question à une faille tu est foutu, tout tes MDP si précieux sont dans la nature!
    Il n’y a qu’a voir les répercussions du Heartbleed, ça ne s’arrête pas aux serveurs web avec chiffrement!
    Perso ce genre de logiciels je ne leur fait aucun confiance, je prèfère avoir un nombre de MDP contenu qui correspond à un certain nombre de situation de MDP acceptables par les sites, comme ça de mémoire c’est bon et si jamais il y a un doute avec un des MDP j’ai toujours d’autres qui fonctionnent et qui restent dans ma tête et l’impact est limité à quelques sites.

    Répondre
  • 14 avril 2014 - 15 h 28 min

    @youri_1er: Oui mais cela veut dire qu’ils ont déjà réussi a s’introduire sur mon poste, réussi a lancer l’application et a la pirater non ? Balaise !

    Répondre
  • to
    14 avril 2014 - 15 h 31 min

    Le point faible c’est la messagerie, parce qu’une fois que le mechant accede a votre messagerie, il peut redemander pratiquement tous les mots de passe de tous les services auxquels vous etes abonne avec le service oops j’ai perdu mon mot de passe.

    Répondre
  • 14 avril 2014 - 16 h 10 min

    Le problème des initiales en début de mot de passe et de suivre un schéma pour chaque mot de passe, c’est qu’il suffit au pirate de trouver 2 mot de passe pour en déduire tous les autres.

    On fait vite le lien quand seulement deux lettres changent entre les mots de passe Facebook et Gmail, et que ces deux lettres sont à chaque fois comprises dans le nom du site. La technique est connue.

    Je conseille plutôt les gestionnaires de mot de passe de la seconde partie de l’article. J’ai personnellement opté pour LastPass depuis quelques années et ne me voit pas revenir en arrière.

    Répondre
  • 14 avril 2014 - 16 h 20 min

    @Plop: J’ai un copâin qui reprend un peu mon systeme mais en plus vicieux. il prend la touche a côté de la touche indiquée, par exemple sur un clavier AZERTY au lieu commencer son mot de passe PAYPAL par PA et de le finir par AL il écrit ^Z et ZM…

    Bon après arriver a déjouer la sécurité de 2 services différents pour un pirate cela ne présente pas vraiment d’intérêt, enfin le jeu en vaut ptet pas la chandelle.

    Un truc est sur, il faudrait vraiment que des solutions alternatives aux mots de passe arrivent et qu’un protocole de certification de mot de passe existe entre les différents sites web : Qu’on évite les pass de 8-10 lettres max par exemple

    Répondre
  • 14 avril 2014 - 16 h 31 min

    Merci pour cet excellent article Pierre.

    Pour ce qui est du logiciel qui retient tous les mots de passe, la faille est plus présente qu’on ne le croit. Si le logiciel est sur un PC portable et que je me le fais voler en déplacement, je perds tout, et le pirate n’aura pas besoin de transpirer. Et moi je suis coincé je n’ai plus tous mes mots de passe pour me logger et tous les changer (et peut être plus d’ordi !)

    A l’abri avec un PC fixe ? Un cambriolage et c’est tous les mots de passe dans la nature. C’est vrai que c’est moins fréquent que le piratage.

    Mais en soi, écrire quelque part les mots de passe est une énorme faille de sécurité.

    La meilleure solution reste la création personnelle d’une solution de cryptographie comme tu l’as expliqué dans ton article ou pourquoi pas, imiter la méthode de Moriarty dans Sherlock Holmes 2.

    Répondre
  • 14 avril 2014 - 16 h 56 min

    À noter que Keepass est aussi dispo sur Android.
    Couplé à un service de “Cloud” style Dropbox sur lequel je stocke ma base de données (cryptée donc), cela me permet de l’avoir à jour sur toutes mes machines et d’éviter un crash disque problématique.

    Je sépare ainsi le système de sauvegarde/cryptage du système de synchronisation/partage…

    Répondre
  • 14 avril 2014 - 16 h 58 min

    @Dliryc: En fait, pour accéder à ta base de données de mots de passe il te faut un mot de passe (et un seul) que tu peux “bétonner” (et changer régulièrement).
    Sans lui, tu n’as qu’un fichier crypté et inutilisable tans qu’il n’est pas “cracké”.

    Répondre
  • 14 avril 2014 - 17 h 12 min

    @Pierre Lecourt: pas spécialement ! Si le logiciel a une faire si donne accès aux MDP qu’il enregistré avec un malware que tu chope sur une page web a cause d’une pub malicieuse le mec prend pas contrôle de ton poste. Juste besoin de pomper un fichier et CN c’est fini!

    Répondre
  • 14 avril 2014 - 18 h 02 min

    Quel est le classement de ‘toto’ ? C’est pas bien comme mot de passe ?

    Répondre
  • 14 avril 2014 - 18 h 30 min

    Il y a aussi un système intéressant : pwdhash.com
    Existe en plugin pour firefox et autres

    En gros, il permet de calculer un mot de passe différents sur chaque site, à partir d’un mot de passe maître.

    Répondre
  • 15 avril 2014 - 2 h 55 min

    Il est assez étonnant que la CNIL ou le législateur ne se soit pas encore penché sur la question, il est plus que temps de dénoncer les sites qui limitent la longueur et la complexité des mots passe et qui les stockent en clair sur leurs serveurs.

    Répondre
  • 15 avril 2014 - 8 h 53 min

    Ou il y a PWDHASH… Un algo qui fonctionne avec un mot de passé maitre et un hash du domaine du site => mot de passe distinct par site web
    Et en plus il y un plugin Chrome et Firefox.

    Répondre
  • 15 avril 2014 - 14 h 03 min

    En fait, la biométrie serait la réponse ultime:
    Ouverture de session biométrique authentifierai aussi l’accès aux services les plus sensibles (messagerie). On peut imaginer que ce soit un service accessible à chaque fournisseurs de contenus afin de garantir la sécurisation des données?

    Répondre
  • 15 avril 2014 - 22 h 26 min

    Comme toi Pierre, j’utilise Keepass (V1 seulement, pour des questions de compacité comparé à la V2) mais pouce le vice a le mettre dans un volume crypté avec TrueCrypt. L’ensemble binaire + fichier est tout petit et portable (USB, …)

    J’utilise aussi un NAS et mes documents sensibles sont aussi dans un volume crypté présent sur ce NAS. Le top est que cela marche aussi via WIFI.
    Pour résumer, lorsque je dois accéder a ces documents, je “monte” le volume présent sur le NAS via TrueCrypt installé (en mode portable) sur le/les PC client windows .. et le démonte à la fin. Cela me permet d’y accéder depuis plusieurs PC (pas en simultané). J’y loge mes comptes (Money) et … Keepass :-)
    Ca ma rassure un peu en cas de cambriolage :-)

    Répondre
  • 17 avril 2014 - 22 h 16 min

    @youri_1er:
    Le souci avec ton argument c’est que ça marche aussi pour les mots de passe stockés nulle part : Si tu chope un keylogger sur une page web à cause d’une pub malicieuse, le mec prend pas contrôle de ton poste. Juste besoin de récupérer tes frappes clavier et c’est fini!

    Répondre
  • 22 avril 2014 - 17 h 42 min

    Merci Pierre, très intéressant et ça ouvre un débat pour lequel il n’y a pas de solution miracle mais ça aura le mérite de nous sensibiliser sur le sujet.

    Répondre
  • 26 avril 2014 - 13 h 38 min

    Moi perso j’utilise le logiciel Dashlane qui contrairement à ce qui est dit ici fonctionne aussi sur PC, Android, smartphones… il permet de gérer avec un seul mot de passe fort tous les autres mots de passes. L’avantage c’est que tout est crypté en ligne en AES-256. Dashlane ne connait pas le mot de passe principal et n’a donc pas accès à mes données personnelles . Les mots de passes sont retrouvés et synchronisés entre toutes mes machines (cloud) ou il est installé. Il rempli aussi tout seul les champs lors d’une inscription ou pour valider une adresse de livraison etc. Je l’utilise depuis 1 an et je ne saurais plus m’en passer. J’ai des mots de passes tous différents, forts… sauf bien sur le site de mon assureur qui lui a un mot de passe 4 caratères max !! lol https://www.dashlane.com/fr

    Répondre
  • 8 juillet 2014 - 21 h 58 min

    Lastpass regroupe tout ça à lui seul: compatible windows, MacOS, Linux, Android…, génère et stocke les mots de passe, synchronisable sur votre tablette, PC et smartphone donc pas de risque de pertes de mots de passe en cas de plantage; étanche contre heartbleed, il vous averti si un de vos mots de passe est touché par heartbleed et détecte les sites vulnérables… très multi-fonctionnel comme outil.

    Répondre
  • 22 décembre 2015 - 13 h 18 min

    […] En 3, 4 et 5 on retrouve Paypal, PayLib et MasterCard. Ce sont des organismes qui jouent le rôle de tiers de confiance. Ils ont vos coordonnées bancaires et sécurisent les transactions à votre place en évitant de dévoiler vos informations en ligne. C’est parfois pratique puisqu’il est possible d’apprendre un mot de passe par coeur plutôt qu’une série de chiffres compliqués. Mais cela suppose justement que ce mot de passe soit bon ! C’est à dire long, très long et évidemment différent des autres mot de passe que vous utilisez pour d’autres services. J’ai déjà évoqué mon propre système de mot de passe qui me permet de rester à l’abri en ligne. […]

  • 31 décembre 2015 - 10 h 56 min

    […] En 3, 4 et 5 on retrouve Paypal, PayLib et MasterCard. Ce sont des organismes qui jouent le rôle de tiers de confiance. Ils ont vos coordonnées bancaires et sécurisent les transactions à votre place en évitant de dévoiler vos informations en ligne. C’est parfois pratique puisqu’il est possible d’apprendre un mot de passe par coeur plutôt qu’une série de chiffres compliqués. Mais cela suppose justement que ce mot de passe soit bon ! C’est à dire long, très long et évidemment différent des autres mot de passe que vous utilisez pour d’autres services. J’ai déjà évoqué mon propre système de mot de passe qui me permet de rester à l’abri en ligne. […]

  • Ed
    16 décembre 2016 - 11 h 58 min

    Rien sur yubikey ?

    Répondre
  • 16 décembre 2016 - 14 h 02 min

    ni sur les systèmes de clefs? :p

    perso les mots de passe ça me gonfle donc un gros +1 pour Keepass qui peut automatiser la chose (en passant il me semble que KeePass sait aussi générer des mots de passe aléatoires avec taille et type de caractères à utiliser pour le générer

    PS: utiliser un système de clé ou un coffre fort comme KeePass ne dispense pas d’utiliser une passphrase solide pour délocker la clé maître

    Répondre
  • 16 décembre 2016 - 17 h 58 min

    Les conseils de cet articles ne sont pas nécessairement bons vu que l’accès à deux mots de passe en clair construits de la sorte permettrait d’en deviner d’autres et n’utiliser que des chiffres et des lettres va vite devenir problématique sur les sites qui réclament des caractères spéciaux alors que n’en voudront pas (si vous pouvez, inventez-vous une séquence comme +,,< ça renforcera considérablement le mot de passe), l'aspect longueur est indéniablement positif mais comme les sites imposent des restrictions arbitraires à ce niveau également on se retrouve souvent à devoir tronquer à des longueurs variables.
    Ci-dessous un article de Wired UK qui met en garde contre les mots de passe que l'on croit robuste mais en définitive trop simplistes : http://www.wired.co.uk/article/password-cracking

    Répondre
  • beu
    16 décembre 2016 - 19 h 13 min

    Je viens d’essayer la méthode. Cela marchait plutôt bien jusqu’à ce que j’arrive à Paypal qui n’accepte des mots de passe qu’entre 8 et… 20 caractères. Ce qui au final va m’obliger à créer une deuxième moulinette pour mdp court.
    C’est tout de même bizarre pour un site de type bancaire de limiter la taille des mdp (même s’il propose la double authentification).

    Répondre
  • 16 décembre 2016 - 19 h 25 min

    @beu: Oui l’absence de standardisation est un problème. A noter que pour des trucs aussi sensibles que Paypal ou autre, j’utilise un mot de passe complexe et “sur mesures” par compte.

    Répondre
  • 18 décembre 2016 - 20 h 34 min

    perso je change de mp tous les 3 mois (perso et pro, mon job me l’impose), je choisi donc une thématique, les dinosaures, les oiseaux, les auteurs, les séries tv… avec des codes universels le $ pour S et une logique majuscule / minuscule… je me trompe souvent (tant de mp à retenir !), il y en a des dinosaures! mais grosso modo, ça fonctionne !

    Répondre
  • 20 décembre 2016 - 10 h 32 min

    Sur Paypal (comme de plus en plus de services), on peut activer une double authentification, il ne faut surtout pas s’en priver, c’est le meilleur moyen pour ne jamais être emmerdé.

    Répondre
  • 20 décembre 2016 - 10 h 47 min

    Les truc$ comme un $ pour un S ou un 4 ou un @ pour un A sont connus des pirates, qui ont déjà des robots pour faire tout ça.

    un truc qui est toujours bon, c’est de faire des fautes dans sa phrases en clair. d’orthognraphe, de grammaire, de coquilles (permuter deux lettres par exemple). Ça, c’est beaucoup plus complexe.

    Quant aux majuscules, évitez de les mettres au début ou à la fin des mots, c’est encore trop simple.

    Perso, j’emploie des mots de passe complexes et jetables sur bien des sites. Et je soigne celui de mon mél de récupération de mots de passe. Et oui, paypal me broute fort avec ses limitations mais bon, je fais avec.

    Répondre
  • 20 décembre 2016 - 18 h 55 min

    Salut. Merci pour ce partage et pour tes conseils. Vu comme ça, ça a l’air beaucoup plus simple de créer un mot de passe long et sécurisé ! Je pense que je vais m’y mettre tout de suite.

    Répondre
  • 20 décembre 2016 - 20 h 43 min

    J’utilise un générateur de mot de passe (Pwgen, module de FF, paramètrable) (un clic dessus et c’est dans le presse papier), que je colle dans le champs ad-hoc et dans Locknote, un bloc note sécurisé par un … MDP.
    Mon Locknote est dans ma Dropbox et j’ai un lien dessus sur chaque machine. Les MDP son stockés et synchronisé dans l’option Sync de FF.

    En un clic, je viens de générer z>RgE$$:&[s;|[!

    C’est ce genre de MDP que j’utilise à chaque fois que je m’inscrit sur un nouveau site, un MDP par site.

    Répondre
  • 20 décembre 2016 - 21 h 49 min

    Gosh !
    qu’est ce que vous etes suceptibles des que l’on parle des mots de passe faciles.
    Je vous souhaite des belles fetes de fin d’annee en tot cas
    et une bonne et heureuse annee 2017, pleine de petits mots de passe bien difficiles !

    Répondre
  • Ano
    21 décembre 2016 - 2 h 31 min

    La première méthode décrite ne me semble pas si sûre que ça puisque si on réussit à obtenir un mot de passe pour un site il est possible de trouver les mots de passe des autres sites (soit en devinant le principe, soit en essayant toutes les possibilités, il n’y en a pas tant que ça, quelques milliers).
    Concernant la deuxième méthode utilisant les logiciels de gestion de mots de passe, j’imagine que s’ils le veulent, techniquement, les éditeurs de ces programmes peuvent prendre connaissance de vos mots de passe. Donc il faut vraiment avoir confiance en eux. Or, je n’ai pas extrêmement confiance…

    De même dans le système d’exploitation ou dans le matériel, il n’est pas impossible qu’il y ait des programmes espions introduits par le fabricant d’ordinateur ou l’éditeur du système d’exploitation… Sauf peut-être si le système d’exploitation publie son code source, comme Linux.

    Répondre
  • 23 décembre 2016 - 18 h 48 min

    Une fois de plus c’est NON, NON, NON et NON.
    Il n’y a AUCUNE technique de construction de mot de passe, AUCUN mot de passe faible ou je ne sais quoi encore.
    C’est de l’ENFUMAGE généralisé afin de rendre responsable l’utilisateur.
    Le VRAI responsable n’EST PAS l’utilisateur mais BEL ET BIEN les éditeurs de logiciels et les hébergeurs.
    Mais comme il y a là énormément d’argent et que cela couterait trop cher de modifier 3 bouts de code, il est bien plus économique de faire porter la responsabilité sur le TRÈS docile utilisateur.
    Mais c’est NON !

    En outre, cette notion de force ou de faiblesse n’a aucun sens sans préciser le référentiel. Comme c’est facile surtout lorsqu’on s’adresse à Mme Michu.
    Ce sont des notions colportées par des consultants en mal de reconnaissance. Et dieu sait s’il y en a. Ces mêmes consultants feraient bien mieux de travailler comme les experts à régler définitivement le problème en expliquant où est VRAIMENT CE problème c’est à dire du côté des Microsoft, des Google et autres FB.
    Quant on pense que l’Active Directory stocke toujours les mots de passe en SHA1 !
    Un non-sens et un algorithme qui n’a JAMAIS été fait pour stocker des mots de passe. Mais la connerie a été faite et d’autres ont fait la même mais aucun n’a compris son erreur et aucun ne veut reconnaître ses torts. Bien plus facile d’accuser l’utilisateur.
    Je vous rappelle que votre code de carte bancaire comporte 4 chiffres soit 9 999 essais possibles (le 0000 n’étant jamais utilisé). Est-il faible ou fort ?

    Je peux vous démontrer que sycuj89 est un mot de passe TRÈS résistant aux attaques dont les attaques par dictionnaire. Et moi, je précise le référentiel.
    Et je le démontre là : http://clusir-rha.fr/sites/default/files/upload/Lyon/SSI/SSI20142015/SSI%2021-1-2015-Mots%20de%20passe.pdf

    Quant à ceux qui veulent stocker des mots de passe en masse ce n’est PAS leur mémoire et je ne sais quelle règle à la con qui leur permettra de les retenir mais un COFFRE-FORT de mots de passe tels que KeePassx (allemand) et Dashlane (français).
    La règle à la con est une faille : il suffit d’obtenir 2 ou mots de passe pour trouver tous les autres. Et les services de renseignement comptent justement là-dessus !

    J’ai environ 300 mots de passe, ils sont tous dans un coffre-fort et ont tous été générés par celui-ci avec des longueurs variables de 6 à 39 caractères (pris parmi 96). 6 c’est pour les banques ou les assurances qui réclament au maximum 6 chiffres (et oui, elles en sont encore là), la plupart des sites acceptent désormais les symboles et des mots de passe de plus de 16 caractères.

    Désolé de vous gâcher votre réveillon mais cette thématique a réellement le don de m’agacer depuis de nombreuses années. Et dire qu’il y en a qui se font encore et toujours du fric en recommandant
    Et je suis prêt à en discuter (voire à en découdre) avec qui le souhaite.

    Ceci dit, excellentes fêtes tout de même.

    db

    Répondre
  • LAISSER UN COMMENTAIRE

    *

    *