Aller au contenu

Bien gérer ses mots de passe

Killator
 Partager

Messages recommandés

  • Réponses 75
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Thoriak
Thoriak

Comme le dit @dbodin , Keepass est un gestionnaire de mot de passe qui à rempli les exigences de sécurité de l'ANSSI (pour la version 2.10 portable). La liste de tout les logiciels certifiés ANSS

Images postées

Killator Mentor

Killator

Posté(e)
  • Auteur
Posté(e)

Effectivement, je venais de la retrouver :yes:

Pour le fun, je viens de checker le mot de passe UNIQUE que j'utilise pour le forum...
... Qui n'est qu'une déclinaison de la règle que j'utilise partout sur internet...

Bilan:

CONGRATULATIONS! It would take about 469 years to crack your password.

Perso, je trouve ça suffisant... Et vous ? :ane:

Par contre, pas d'idée pour la notation faible de mot de passe "soi-disant" fort... Tu aurais des exemples concrets ?

:chinois:

Lien vers le commentaire
Partager sur d’autres sites
Killator Mentor

Killator

Posté(e)
  • Auteur
Posté(e)

Le nombre de caractères conditionne beaucoup la robustesse du mot de passe (cas d'une attaque brute force): 8 caractères c'est devenu un minimum syndical :roll:

Perso, le mien fait 13 caractères: 4 digits de préfix, 7 caractères invariants, 2 digits en suffixe...

Et je le tape les yeux fermés sur n'importe quel site avec ma méthodo :yes:

:chinois:

Lien vers le commentaire
Partager sur d’autres sites
PoSKaY Vétéran

PoSKaY

Posté(e)
Posté(e)

Mon mdp fait 9 caractères, aucun mot du dico, caractères totalement aléatoires, 2 chiffres, majuscules/minuscules mélangées (mot de passe unique pour chaque site, adapté au site suivant la méthodologie que tu as proposé), et d'après ce site il tiendrait 23h... :craint:

Lien vers le commentaire
Partager sur d’autres sites
Florent_ATo Nouveau

Florent_ATo

Posté(e)
Posté(e)

@Killator: Effectivement, autant pour moi (j'ai lu la première page en diagonale j'avoue).

Cependant, plus les appli' se plieront à UTF-8, plus les utilisateurs de caractères exotiques auront des mots de passe forts.

Cependant, en voyant vos échanges sur la durée théorique nécessaire au cassage d'un mot de passe, il ne faut pas oublier de mentionner le type d'attaque. En l'occurence, il semble s'agit de brute force. Mais un mot de passe de 8 caractères composé d'un prénom + date de naissance sera plier en quelques secondes via une attaque par rainbow table.

IMO, la longueur doit être privilégiée à la complexité. Mieux vaut un mdp [a-z][A-Z][0-9] de 15 caractère qu'un truc impossible du genre #P0&C%1 (7 caractères).

Et cet article semble confirmer ma pensée: http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

Lien vers le commentaire
Partager sur d’autres sites
PoSKaY Vétéran

PoSKaY

Posté(e)
Posté(e)

D'ailleurs, comment ils font le calcul ?

Parce que si on considère un mot de passe de site web, souvent au bout de plusieurs mauvais résultats il y a un temps pendant lequel on est "banni" puis il faut compter les temps de chargement, etc...

Je vois pas trop comment on peut casser un mdp en brute force sur un site internet ?

Lien vers le commentaire
Partager sur d’autres sites
  • 1 mois après...
Edtech Grand Maître

Edtech

Posté(e)
Posté(e)

Et hop, Apple aussi a été attaqué :

Last Thursday, an intruder attempted to secure personal information of our registered developers from our developer website. Sensitive personal information was encrypted and cannot be accessed, however, we have not been able to rule out the possibility that some developers’ names, mailing addresses, and/or email addresses may have been accessed. In the spirit of transparency, we want to inform you of the issue. We took the site down immediately on Thursday and have been working around the clock since then.
In order to prevent a security threat like this from happening again, we’re completely overhauling our developer systems, updating our server software, and rebuilding our entire database. We apologize for the significant inconvenience that our downtime has caused you and we expect to have the developer website up again soon.

Il ne disent pas si des données ont été perdues ou si des apps ont été vérolées...

Lien vers le commentaire
Partager sur d’autres sites
  • 6 mois après...
  • 2 ans après...
Mithiriath Mentor

Mithiriath

Posté(e)
Posté(e) (modifié)

Qu'est-ce que je peux détester les sites qui ont une longueur maximale de mdp ridicule surtout quand je m'en rend compte qu'après avoir valider le formulaire et que je tente de me connecter. Tiens pourquoi le site me dit que mon mdp n'est pas valide ? Réinitialisation du mdp par email puis c'est lorsque je suis dans le formulaire en faisant cette fois attention que je me rend compte de la limite.  :mad:

 

Les sites qui n'acceptent pas les signes de ponctuation (qui sont à la fois fr et en) et monétaire sont aussi casse bonbon. Il peut être donc judicieux comme l'a dit Killator de ne pas en mettre.

 

Il y a aussi les sites qui envoie par email le mdp en clair (après l'inscription j'entend bien pas lors d'une réinitialisation). :incline:

 

Sinon la technique décrite par Killator est bonne. Il faudra faire attention à avoir, une fois la construction du mdp finie, une longueur suffisamment grande (au moins plus de 12?). Si l'utilisateur est prêt à faire un effort en plus, il faut (comme décrit) avoir 2 ou 3 types de "clefs fixes" suivant le degrés de confiance que vous accordez aux sites. Par exemple les sites sans https ou susceptible d'avoir une chaîne de sécurité faible ne devraient pas avoir le même type de passphrase que votre boite mail qui permet de réinitialiser vos mdp.

 

Après le risque zéro n'existe pas, on en a la preuve tous les jours que ce soit avec des petits sites ou des mastodontes. Il faut "juste" faire en sorte de minimiser le risque en pratiquant une bonne hygiène de vie sur internet sans trop se mettre de contrainte forte au risque de pas l'appliquer tout le temps.

 

Tout le monde ne s'appelle pas Snowden donc en utilisant ces méthodes, nous devrions être assez bien protégé. 

 

J'en profite pour mettre une vidéo de la chaîne PointSécu (même si je ne suis pas d'accord avec tous les points) qui a abordé la thématique du mdp :

 

Modifié par TheBlackPearl
Lien vers le commentaire
Partager sur d’autres sites
  • 1 mois après...
  • 1 an après...
dbodin Nouveau

dbodin

Posté(e)
Posté(e)

Et un gestionnaire de mot de passe en local ou sur une clé USB comme KeePass ,

Les mots de passes sont générées aléatoirement : seul inconvénient aucun moyen de s'en souvenir mais l'outil est sûr (apport ANSSI) et propose d'autres services pour gérer votre activité en ligne ...

Lien vers le commentaire
Partager sur d’autres sites
  • 11 mois après...
Krapace Vétéran

Krapace

Posté(e)
Posté(e)

Le plugin keepassHTTP et l'extension pour Chromium chromelPass rempli tout seul les champs.

J'ai pas migrer tout mes mdp perso mais j'en suis a 100 (tout pile)

Comme les login+pass sont remplis automatiquement, je me rends pas forcement compte de ce qui vient de la bdd Keepass ou de ce qui vient de chromium...

Lien vers le commentaire
Partager sur d’autres sites
  • 3 mois après...
Thoriak Explorateur

Thoriak

Posté(e)
Posté(e)
On 28/10/2017 at 19:57, dbodin a écrit :

Et un gestionnaire de mot de passe en local ou sur une clé USB comme KeePass ,

Les mots de passes sont générées aléatoirement : seul inconvénient aucun moyen de s'en souvenir mais l'outil est sûr (apport ANSSI) et propose d'autres services pour gérer votre activité en ligne ...

Comme le dit @dbodin , Keepass est un gestionnaire de mot de passe qui à rempli les exigences de sécurité de l'ANSSI (pour la version 2.10 portable).

La liste de tout les logiciels certifiés ANSSI sont disponibles ici.

Personnellement j'utilise Keepass sur une clé USB chiffré (Corsair Padlock 3) et je sauvegarde ma base de données sur d'autre support.

Autre info, keepass a déjà été hacké grâce à un logiciel libre sur GitHub KeeFarce. Le hack exige une intervention local du hacker (votre session déverrouiller). L'article ici.

Vous pouvez craindre un hack de votre bdd mais après il suffit de ne pas allez sur n'importe quel site, ouvrir n'importe quel mail, ne pas insérer de clé USB trouver par terre, etc...

Les hacks contre des particuliers sont majoritairement dû au particulier eux mêmes.

 

  • Aime 2
Lien vers le commentaire
Partager sur d’autres sites
  • 3 ans après...
digital-jedi Mentor

digital-jedi

Posté(e)
Posté(e)

🔔👻

Salut,

Bon, je n'ai pas trouvé d'icône de déterrage de topic 😄

J'ai supprimé mon compte Lastpass et suis passé sur Keepass + KeepasHTTP.

 

Le 10/10/2018 à 13:35, Krapace a dit :

Le plugin keepassHTTP et l'extension pour Chromium chromelPass rempli tout seul les champs.

J'ai pas migrer tout mes mdp perso mais j'en suis a 100 (tout pile)

Comme les login+pass sont remplis automatiquement, je me rends pas forcement compte de ce qui vient de la bdd Keepass ou de ce qui vient de chromium...

Salut, es-tu passé sur Brave ou toujours sur Chromium ?

J'hésite pour le choix d'un nouveau navigateur

Lien vers le commentaire
Partager sur d’autres sites
  • 2 mois après...
00CashBack Nouveau

00CashBack

Posté(e)
Posté(e) (modifié)

Bonjour,

J'utilise Dashlane, dont je suis satisfait : Un mot de passe unique et complexe par site. Ils disent ne jamais avoir été piraté. Pas comme Lastpass.
En complément, plutôt côté pro, j'ai Keepass, mais sans saisie automatique.

Après, leur devenir, avec les PassKeys..., on verra.

Modifié par 00CashBack
Faute d'orthographe lol
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...