Aller au contenu

Bien gérer ses mots de passe


Messages recommandés

Sites d'informations, achats en ligne, blogs, messageries, forums, réseaux sociaux, chats... Ce n'est pas un scoop, nous passons de plus en plus de temps connectés au web... Ces activités sont très souvent conditionnées par l'utilisation d'un "précieux" couple de login/mot de passe, ces sésames devenant les garants de vos identités numériques, de votre vie privé et même parfois, de votre porte monnaie ! :roll:

Qu'il me soit permis de vous posez 2 questions très simples:

  • Toutes activités confondues, combien de comptes personnels avez-vous sur internet ? 10 ? 20 ? 30 ? Difficile de le savoir exactement, non ?
  • Parmi tous ces comptes, combien de mot de passe différents avez-vous ? 1 ? 2 ? 3 ?

Le mot de passe... C'est là qu'est la faille ! Parce qu'après tout, avec toutes les informations que l'on doit mémoriser au quotidien, pourquoi se torturer les neurones ? 'azerty', '123456', 'la_date_de_mon_anniversaire', 'le_nom_du_chien' sont des valeurs nettement plus faciles à retenir, non ? Mes exemples prêtent à rire, pourtant ils sont beaucoup plus fréquents qu'on le croit, poussant certains géants du web, comme Twitter, à bannir certaines valeurs par défaut. :|

Personnellement, j'ai pendant très longtemps utilisé un mot de passe unique pour tous mes comptes... Par la suite, j'ai ajouté un peu de complexité en ajoutant un caractère supplémentaire pour les comptes vraiment importants... Pour finalement me décider à mettre en place une stratégie de mot de passe complète.

:lock:Commençons par enfoncer les portes ouvertes...

Un mot de passe est considéré comme fiable que s'il est composé d'au moins 6 caractères mélangeant chiffres/lettres, majuscules/minuscules et symboles spéciaux... En théorie toujours, il faudrait avoir un mot de passe différents pour chaque compte, ne jamais le noter quelque part et le changer régulièrement... Bref, concilier toutes ces règles peut rapidement devenir un vrai casse tête :reflechis:

Le top du top serait de pouvoir respecter toutes ces règles sans même avoir recourt à certains logiciels ou services web se proposant de stocker vos mots de passe et vous permettre de les retrouver facilement... Car en cas de faille de sécurité ou de la découverte de votre mot de passe principal, c'est toute votre vie numérique qui sera mise à nue :roll:

Mais rassurez-vous, dernière cette "introduction" alarmistes, le but de ce topic est justement de vous expliquez comment respecter toutes ces recommandations sans vous arrachez les cheveux, à l'aide de règles mnémotechniques. Sachez auusi que je n'ai rien inventé, vous trouverez des explications similaires partout sur le web... La plus-value de ce topic réside dans l'ajout de mon retour d'expérience, enfin... Je l'espère :D

:lock:Comment composer un mot de passe intelligemment...

En appliquant les 2 règles suivantes:

:arrow: Commencer par choisir un bon invariant, une clef fixe: pour cela, prenez les initiales d'une phrase originale ou utilisez simplement le mot de passe le plus complexe que vous ayez actuellement.

:arrow: Ensuite: accoler un préfixe et un suffixe qui contiendront une syntaxe variable, déduite du nom du service ou de son URL, facilement mémorisable.

  • Exemple de syntaxe variable
    - Recopier un certain nombre de lettre de l'url (la première, la dernière, les deux premières, etc)
    - Compter le nombre de lettre dans l'url (Facebook = 8 lettres)
    - Compter le nombre de voyelles et/ou consonnes (Twitter = 2 voyelles, 5 consonnes)
    - Opérer un décalage alphabétique d'une lettre particulière ou de l'extension ( Le F de Facebook lettres devient H en ajoutant 2 lettres dans l'alphabet)
    - Opérer un décalage "visuel" d'une touche en rapport avec une lettre particulière ou de l'extension (Google > La lettre G devient F par un décalage à gauche d'une touche sur un clavier azerty)
    - Associer l'extension avec un caractère particulier (*.com devient $ / *.fr devient # / etc)
    - Jouer sur la casse avec certaines lettres
    - etc
  • Avantages :
    - Mot de passe unique pour chaque service
    - Mot de passe long et complexe qui reste pourtant très facile à retrouver pour son proprio.
    - Quasiment impossible à comprendre/mémoriser si jamais quelqu'un voit rapidement un de vos mots de passe.
    - Facile à modifier si un de vos mots de passe est compromis (on change la clef fixe ou les règles de construction)
    - Vous pouvez créer des "catégories" de mot de passe en possédant plusieurs clefs fixes: vous gardez les même règles de constructions dynamiques MAIS vous disposez d'une clef fixe pour les réseaux sociaux, une autre clef fixe pour les services eCommerce/paiement/banque, etc etc.
    - Pour changer vos mots de passes, il suffit de changer la clef fixe et/ou la méthode de construction. Pendant la période de transition, il n'est pas compliqué de retrouver un ancien mot de passe, le delta de composition étant "maitrisé".
  • Inconvénients:
    - Si vous optez pour des transformations très "visuels" sur votre clavier, il peut être délicat de taper votre pwd sur un clavier étranger.
    - Même remarque si vos règles de construction aboutissent à des caractères spéciaux absents des claviers étrangers (lettres accentuées, symboles, etc)
    - Composer des règles qui ne soient pas valable en toute circonstance (Nom de service trop court "free", pas de voyelle, un tiret dans l'URL "voyage-sncf", etc)
    - Faire attention pour les services qui exposent plusieurs URL (playsation, playsation network, playstation store)
    - Ne marche par pour le digicode de l'ascenceur :dd:
  • Exemple de composition
    Pour vous faire un exemple concret, j'ai choisit les règles de composition suivante:

    > Invariant: "j'ai rendez-vous à 6 heures demain" > gRDVa6h2M

    > Préfixe, digit 1: Nombre de voyelles du service

    > Préfixe, digit 2: Dernière lettre du service, en majuscule

    > Suffixe, digit 1: Décalage "visuel" à gauche de la 1ère lettre de l'extension (*.
    c
    om devient 'x' sur un clavier azerty)

    > Suffixe, digit 2: 1ere lettre du service, en majuscule


    Ce qui devient une fois appliqué: PP gRDVa6h2M SS

    Google.fr : 3E gRDVa6h2M dG > 3EgRDVa6h2MdG

    Facebook.com : 4K gRDVa6h2M xF > 4KgRDVa6h2MxF

    Twitter.com: 2R gRDVa6h2M xT > 2RgRDVa6h2MxT

    PcINpact.com: 2T gRDVa6h2M xP > 2TgRDVa6h2MxP

    Gandi.net: 2I gRDVa6h2M bG > 2IgRDVa6h2MbG


    La gymnastique n'est pas facile les 1ère fois, mais je vous promets qu'après 2 semaines, c'est très rapide à retrouver/taper ! (*)

:lock:Attention aux caractères spéciaux...

D'expérience personnelle, faites très attention à l'utilisation des caractères spéciaux ! Vous tomberez forcément sur un site/service qui ne prendra en charge qu'un jeu limité de caractères spéciaux... Et là vous pouvez dire adieu à l'aspect universel de votre belle méthodologie de construction... :pleure:

Pire encore, la version web supporte très bien vos caractères spéciaux MAIS l'appli mobile ne les supporte pas ! Quote, single quote, dollars sont des écueils redoutables pour les développeurs... J'ai eu le cas très souvent, donnant lieu a de joli plantage sur mon smartphone :|

Sur ce point, sachez que j'ai abandonné: je me concentre sur de l'alpha-numérique étendu aux majuscules (a~z, A~Z et 0~9), ce qui est suffisant avec des mot de passe de 13 caractères (dans mon exemple) :ouioui:

:lock:Attention à votre question secrète...

Très souvent, les gens choisissent mal leur question... Rien ne sert de peaufiner des mots de passe en béton armé si un minimum de social engineering sur votre petite personne permet de retrouver le nom de votre chien... Paris Hilton en a fait les frais... Le chargé de com' du compte Twitter de Barack Obama aussi... Méfiez-vous !

:lock:Et pour les plus paranos d'entre vous...

Afin de prendre TOUTES les précautions possibles (ce que je ne fais pas personnellement, mais au moins, c'est dit):

> ne mémorisez jamais vos mots de passe, que ce soit dans votre navigateur ou dans un logiciel spécialisé... Une fois stocké sur votre disque dur, il est toujours plus ou moins possible de vous les voler ou de les "perdre" en cas de problème... En plus, c'est le meilleur moyen pour oublier votre règle de composition à moyen terme...

> Configurez votre navigateur afin qu'il supprime automatiquement les cookies à la fermeture... Evitant de laisser des traces sur le disque, permettant d'accéder à vos comptes sans même utiliser votre mot de passe.

> Favorisez, dans la mesure du possible les connexions, en HTTPS aux services WEB.

____________________

Voilà, j'espère que mes explications et remarques vous aiderons à fiabiliser vos mots de passe. N'hésitez pas à me faire vos remarques/suggestions/propositions/critiques !

:chinois:

* = Pour un INpactien normalement constitué

:francais:

Lien vers le commentaire
Partager sur d’autres sites

Super intéressante ta méthode !

Jusqu'à maintenant j'utilisais 4 à 5mdp, de plus en plus compliqué pour mieux sécuriser certains sites mais effectivement il n'y a aucune logique là dedans ... Et en plus je me suis déjà fait avoir à plusieurs reprises avec des caractères accentués sur des claviers UK à ne pas arriver à me connecter à certains sites .... galère !

Par contre, ne pas enregistrer les mdp dans le trousseau je n'y arriverai jamais, bien trop branleur pour les taper à chaque fois... :transpi:

Faudrait que je revois en profondeur tous mes mdp ...

Lien vers le commentaire
Partager sur d’autres sites

Et si tu as deux comptes sur un même site ??

Ah, bien vu... Très bonne remarque ! :yes:

Et bien tu déclines une énième fois la méthodologie:

> Si ça t'arrive régulièrement d'avoir plusieurs ID pour un même service, utilise un digit dont la syntaxe variable sur base sur ton identifiant/login...

> Si cette subtilité est limité à un ou deux services, tu peux envisager un digit "spécial" qui fera le discriminant quand c'est nécessaire (2RgRDVa6h2MxT1 - 2RgRDVa6h2MxT2)

Si tu le permets, j'intègre ta remarque dans mon tuto ;)

:chinois:

Lien vers le commentaire
Partager sur d’autres sites

Hello,

Juste un conseil supplémentaire pour les plus paranos des plus paranos, dans vos bases de données, ne stockez pas l'intégralité de vos mots de passe.

Laissez une partie non écrite dont vous pouvez vous souvenir facilement.

De cette façon, même si la base est hackée, vos mots de passe ne seront pas dévoilés.

N'utilisez pas le même code caché pour tous les mots de passe, mais prenez plusieurs codes que vous prenez de manière aléatoire, mais logique pour vous.

C'est juste en complément de tous les très bons conseils déjà énoncés !

Good job les gars :yes:

:byebye:

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Merci !

Effectivement, les caractères spéciaux sont tuants, même les plus simples (PCI les refuse) mais il y a encore des sites qui refusent les minuscules ou qui limitent les mdp à 6 caractères.

Mais le pire, c'est le site qui t'envoie ton mdp en clair pour confirmer l'inscription (ça devient rare heureusement), sans bien sûr t'avoir prévenu avant. Là, t'es bon pour recommencer tous tes mots de passe. Quelqu'un a une solution ?

Lien vers le commentaire
Partager sur d’autres sites

Mon gestionnaire est dispo online donc je peux y accéder de n'importe où.

Après, je pense qu'il n'y a pas de méthode parfaite. Chacune a ses avantages et inconvénients.

Dans le cas du gestionnaire que j'utilise, j'ai l'avantage de n'avoir qu'un mot de passe à retenir et que le logiciel me remplisse pour moi les champs du site (ce qui fait que je ne suis pas attaquable avec key logger). De même, sur un pc inconnu, je peux me logger sur une page web avec un clavier virtuel. J'ai aussi l'avantage que je peux changer mes mots de passe facilement (c'est quand même plus sécurisé de changer ses mots de passe régulièrement, au moins pour sa banque).

Par contre, j'ai l'inconvénient que je dois faire confiance à la société qui édite le gestionnaire.

Dans le cas de ce tutoriel, on reste sensible aux attaques par key logger sur un pc inconnu, par contre, on est seul maître de ses mots de passe. Mais il faut s'adapter aux différentes conditions des sites (limitation du nombre de caractères, des types de caractères spéciaux autorisés ...). Et le mot de passe reste fixe dans le temps. Or par exemple, ma banque me demande de le changer tous les 3 mois.

Lien vers le commentaire
Partager sur d’autres sites

Mais après, pour avoir des mots de passe 100% aléatoire, il faut un gestionnaire de mots de passe (ce que je fais).
Mais se souvenir de tous les mots de passe générés, c'est tendu. :transpi:

Pas forcément... On peut avoir un mot de passe 100% aléatoire et ne pas avoir besoin de les retenir... Pour cela, on utilise un algo de cryptage...

EX: tu passes le nom du service concerné dans une fonction MD5 (par exemple) et voilà: Voyage-sncf >> 3012821d20b7b4e15917bbd738b6f6a9

Libre à toi de prendre toute la clef ou uniquement certains digits...

Perso, je préfere ne pas à avoir faire cette manip et savoir retrouver mon MDP seulement avec ma tête :roll:

:chinois:

Lien vers le commentaire
Partager sur d’autres sites

alors, non et non.

1°) non pour l'idée d'un mdp unique agrémenté de suffixe/préfixe suivant une logique : en pratique cela signifie que tu as UN SEUL mdp : il suffit de le trouver pour retrouver tout les autres.

2°) non pour l'utilisation d'un logarithme dans la création d'un mdp : par définition, tout règle logique peut être retrouvée.

par contre, il y a un élément que tu oublie totalement dans ton raisonnement. en fait tu fait abstraction de la moitié de la protection d'un compte : le login. la pire des solution pour sécuriser son environnement sur le web c'est de n'utiliser qu'un seul et même login sur tout les sites. dans l'idéal, le login ET le mdp doivent être unique.

inutile d'avoir un mdp de 15 caractères s'il suffit de pirater ta boite courriel pour tous les retrouver !

trouver un mdp aléatoire est relativement simple quand on y réfléchi. avec les 36 caractères commun ( lettre/chiffres ), on peut lancer un dé, prendre aléatoirement des lettres dans les mots d'un texte ou tout simplement varier de manière pifométrique notre mdp. l'idéal selon moi est de récupérer des blocs de caractères issus de mdp 'officiels ( clé de jeux vidéos, clés windows, etc... c'est comme ca que je gère mes mdp principaux : 5 caractères venant d'un clé cd de jeu puis 4 d'une clé cd windows : pouf un mdp de 9 caractères par exemple )

personnellement, je combine cela avec des logins variés et variables selon le cas : pseudo multiples ( j'ai globalement 3 pseudos sur les divers forums que je fréquente ), adresses courriels multiples ( 5 adresses sur gmail/laposte/hotmail dont 2 spécifiquement dédiées aux inscriptions sur des sites divers ) avec bien évidement des nom différents ( inutile d'avoir hebus@laposte + hebus@gmail + hebus@hotmail... )

mine de rien, avec mettons 5 mdp différents et 5 adresses courriel différentes, on a 25 combinaisons pour gérer son login/mdp** !! variér avec les cas ou le login est un pseudo, et on a largement ce qu'il faut sans se casser la tête. par ailleurs la démultiplication des adresses courriel rend difficile le piratage : si le mdp est cracké ou si la boite est piratée, le pirate n'a accès qu'a 20% des informations.

autre élément à prendre en compte : inutile d'avoir un mdp sécurisé sur un site qui ne l'est pas. par exemple ce forum est un bête forum en php, crackable en 5" par n'importe quel pirate en herbe. inutile de prendre rgH87g1Mkh7041Utf8 comme mdp* ici. un banal "azerty" fera aussi bien l'affaire ! il n'y a du reste aucun information fiable ou intéressante me concernant ici... ni nom, ni adresse, rien. le peu est bidon par principe. cela évite de s'encombrer de login/mdp sur 50 sites différents : réserver ses mdp/login sécurisés aux sites ou transitent des informations importantes est une évidence souvent oubliée.

troisième élément à prendre en compte : les niveau de sécurité : personnellement je fonctionne par 'cercles' de sécurité : pour les forums divers, mon login/mdp est toujours simpliste. pour les sites un peu plus important ( forum politisés, facebook , etc. ), je commence à utiliser des login/mdp sécurisés. enfin j'utilise une protection maximale dès que je tombe sur les sites de VPC et autres sites ou apparaissent mes coordonnées et/ou mon identité réelle. mes mdp sont hierarchisés en ce sens, avec le résultat suivant : si vous trouvez un mdp, vous n'aurez au plus accès qu'aux sites de niveau 'équivalent' : vous ne découvrirez donc rien de plus que ce que vous avez découvert la premiere fois.

* : comme quoi le pifométrique permet de faire de jolis mdp non ? ^^

** : au passage, cette idée est aussi redoutablement puissante pour créer des mdp différents : retenez 5 blocs de caractères, venant d'éléments différents. ==> en les mélangeant à votre guise, pour pouvez créer 125 mdp de 3 blocs différents ( soit des mdp de 12 caractères si les blocs en font 4 chacun ) ! un individu trouvant l'information d'un de vos mdp devra encore galérer pour trouver les autres.

Lien vers le commentaire
Partager sur d’autres sites

Mais on se remord la queue avec toujours un mot de passe pour les taper tous :francais:

C'est très résumé... Mais en même temps la réponse la plus courte et efficace, merci Amné :D

Il ne faut pas oublier qu'un des prédicats de départ de mon tuto était effectivement de ne pas avoir besoin de gestionnaire de mot de passe...

Un autre, le principal, était de répondre aux critères essentiels de complexité sans se torturer les neurones...

Donc, je ne dis pas pas qu'il s'agit de l'unique méthode, de la meilleure méthode ou de la plus pratique...

Mais c'est une méthode INtérressante et accessible pour des gens qui partent de "rien" ou presque ;)

1°) non pour l'idée d'un mdp unique agrémenté de suffixe/préfixe suivant une logique : en pratique cela signifie que tu as UN SEUL mdp : il suffit de le trouver pour retrouver tout les autres.

3EgRDVa6h2MdG > Ou est mon préfixe, ou est mon suffixe ?

En voyant ce SEUL mdp, tu n'es même pas capable de comprendre comment il est structuré... C'est pourtant un exemple du topic... :roll:

Par contre, au bout de 3/4 mot de passe mis côte à côte, je ne dis pas... Tu peux commencer à retrouver des choses...

Mais cela signifie qu'il y a un trou majeur dans la sécurité, un élément central a été compromis...

2°) non pour l'utilisation d'un logarithme dans la création d'un mdp : par définition, tout règle logique peut être retrouvée.

En forçant le trait, que ça soit une méthode mnémotechnique ou sur la base d'un algo type MD5, tout peut-être retrouvé...

Même avec une génération "pseudo"-aléatoire ! Le hasard n'existe pas vraiment dans un ordinateur, puisqu'il a été programmé... :ouioui:

Sinon, il y a des pistes INtéressantes dans ta réponse, hebus:

> Le login "unique"... Mais tu parles toi même de 3 pseudos et 5 adresses mails, donc un nombre bien fini... Mettre en place de manière cette règle de manière universelle reste assez complexe et revient à mettre en place un algo ou un gestionnaire...

> Inutile d'avoir un mdp sécurisé sur un site qui ne l'est pas ou qui ne contient aucune information sensible: c'est vrai... Sauf que mettre en place des exceptions complexifie la gestion mnémotechnique... Donc, tout le monde pareil...

> les niveaux/cercles de sécurité: c'est ce que j'implémente simplement en parlant de "catégories" avec des clef fixes différentes (§ 'avantages', 5ème point)

au passage, cette idée est aussi redoutablement puissante pour créer des mdp différents : retenez 5 blocs de caractères, venant d'éléments différents. ==> en les mélangeant à votre guise, pour pouvez créer 125 mdp de 3 blocs différents ( soit des mdp de 12 caractères si les blocs en font 4 chacun ) ! un individu trouvant l'information d'un de vos mdp devra encore galérer pour trouver les autres.

Séduisant... Mais c'est aussi une règle de construction qu'on peut retrouver... C'est toi même qui le dit, non ? :transpi:

Par contre, moi j'y vois un défaut... C'est que même si tu as un moyen pour retrouver le bon mot de passe (gestionnaire ou mnémo), tu as à nouveau un nombre fini de combinaison... Comme les anciennes plaques d'immatriculation ou le protocole IPv4... :roll:

A ta disposition pour échanger sur le sujet.

PS: Un grand merci à la team PC INpact pour la mise en lumière de mon topic sur le site ! :yes:

Lien vers le commentaire
Partager sur d’autres sites

Perso j'utilise un générateur gratos, 15 ou 20 caractères (Selon sites) avec majuscule, minuscule, chiffres et caractère spéciaux, j'ai un mot de passe par compte, et roule sur firefox avec l'addon "HTTPS Everywhere". Par contre supprimer les cookies et ne pas enregistrer les mots de passe, je ne le fais pas car étant tout le temps sr internet, ça devient vite très lourd de remettre à chaque fermeture de fenêtre le mot de passe....

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...