Tutoriel Bien gérer ses mots de passe

[Ti Gars du Nord]

voila

http://www.pcinpact.com/news/79500-combien-temps-faut-il-pour-casser-votre-mot-passe-intel-fait-calcu.htm

[Killator]

Effectivement, je venais de la retrouver

Pour le fun, je viens de checker le mot de passe UNIQUE que j'utilise pour le forum...
... Qui n'est qu'une déclinaison de la règle que j'utilise partout sur internet...

Bilan:

CONGRATULATIONS! It would take about 469 years to crack your password.

Perso, je trouve ça suffisant... Et vous ?

Par contre, pas d'idée pour la notation faible de mot de passe "soi-disant" fort... Tu aurais des exemples concrets ?

[Ti Gars du Nord]

ben pour les exemples, j'ai juste lu les commentaires ou en tapant juste "intelcestdeladaube" le mdp était soit disant fort

j'ai tester le mien qui à 8 caractères qui à des majuscules minuscules chiffres et caractères spéciaux à tenu 7h

[Killator]

Le nombre de caractères conditionne beaucoup la robustesse du mot de passe (cas d'une attaque brute force): 8 caractères c'est devenu un minimum syndical

Perso, le mien fait 13 caractères: 4 digits de préfix, 7 caractères invariants, 2 digits en suffixe...

Et je le tape les yeux fermés sur n'importe quel site avec ma méthodo

[Ti Gars du Nord]

c'est sur, j'ai encore la flemme de commencer une gestion des mots de passe, même si au fur et à mesure j'essaye de m'y intéresser

réaction typique : ben m'en fou c'est que mon compte mail ect ect, et à force je me dit que grâce à ça on peut tomber dans de sacré piege

[PoSKaY]

Mon mdp fait 9 caractères, aucun mot du dico, caractères totalement aléatoires, 2 chiffres, majuscules/minuscules mélangées (mot de passe unique pour chaque site, adapté au site suivant la méthodologie que tu as proposé), et d'après ce site il tiendrait 23h...

[Killator]

Moué... Effectivement...

Mais ça conforte l'idée que le nombre de digit conditionne l'estimation de manière exponentiel...

13 digits = 469 ans (moi)

9 digits = 23 heures (PoSKaY)

8 digits = 7 heures (Ti Gars d'euch'nor)

[Edtech]

Bon bah 13 pour moi aussi, vu que les comptes Microsoft bloquent à 14 max ! Et idem, ce ne sont pas des mots et ça contient de tout ! :)

[Ti Gars du Nord]

il faut donc que je monte le nb de caractères

j’étudierai le sujet plus tard

[Florent_ATo]

@Killator: Effectivement, autant pour moi (j'ai lu la première page en diagonale j'avoue).

Cependant, plus les appli' se plieront à UTF-8, plus les utilisateurs de caractères exotiques auront des mots de passe forts.

Cependant, en voyant vos échanges sur la durée théorique nécessaire au cassage d'un mot de passe, il ne faut pas oublier de mentionner le type d'attaque. En l'occurence, il semble s'agit de brute force. Mais un mot de passe de 8 caractères composé d'un prénom + date de naissance sera plier en quelques secondes via une attaque par rainbow table.

IMO, la longueur doit être privilégiée à la complexité. Mieux vaut un mdp [a-z][A-Z][0-9] de 15 caractère qu'un truc impossible du genre #P0&C%1 (7 caractères).

Et cet article semble confirmer ma pensée: http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

[PoSKaY]

D'ailleurs, comment ils font le calcul ?

Parce que si on considère un mot de passe de site web, souvent au bout de plusieurs mauvais résultats il y a un temps pendant lequel on est "banni" puis il faut compter les temps de chargement, etc...

Je vois pas trop comment on peut casser un mdp en brute force sur un site internet ?

[RaphAstronome]

Je vois pas trop comment on peut casser un mdp en brute force sur un site internet ?

On suppose que le pirate à réussi à récupérer la base de données mais que les codes ne sont pas écrits en clair dedans.

[Killator]

Pfiou... On a eu un triste combo récemment... Le forum Ubuntu US, le site developpeur Apple et la base cliente OVH europe

Donc plus que jamais, pensez à bien choisir vos mots de passe pour que si un des vos services se trouve compromis, il n'y ait qu'un minimum d'INpact pour vous

[CaseyN]

Moi 11 caractères : 6 jours.

[Edtech]

Et hop, Apple aussi a été attaqué :

Last Thursday, an intruder attempted to secure personal information of our registered developers from our developer website. Sensitive personal information was encrypted and cannot be accessed, however, we have not been able to rule out the possibility that some developers’ names, mailing addresses, and/or email addresses may have been accessed. In the spirit of transparency, we want to inform you of the issue. We took the site down immediately on Thursday and have been working around the clock since then.
In order to prevent a security threat like this from happening again, we’re completely overhauling our developer systems, updating our server software, and rebuilding our entire database. We apologize for the significant inconvenience that our downtime has caused you and we expect to have the developer website up again soon.

Il ne disent pas si des données ont été perdues ou si des apps ont été vérolées...

[Amnesiac]

Encore une raison pour bien gérer ses mdps : https://www.pcinpact.com/news/85672-les-comptes-yahoo-victimes-reutilisation-mots-passe.htm

[Mithiriath]

Qu'est-ce que je peux détester les sites qui ont une longueur maximale de mdp ridicule surtout quand je m'en rend compte qu'après avoir valider le formulaire et que je tente de me connecter. Tiens pourquoi le site me dit que mon mdp n'est pas valide ? Réinitialisation du mdp par email puis c'est lorsque je suis dans le formulaire en faisant cette fois attention que je me rend compte de la limite. 

 

Les sites qui n'acceptent pas les signes de ponctuation (qui sont à la fois fr et en) et monétaire sont aussi casse bonbon. Il peut être donc judicieux comme l'a dit Killator de ne pas en mettre.

 

Il y a aussi les sites qui envoie par email le mdp en clair (après l'inscription j'entend bien pas lors d'une réinitialisation).

 

Sinon la technique décrite par Killator est bonne. Il faudra faire attention à avoir, une fois la construction du mdp finie, une longueur suffisamment grande (au moins plus de 12?). Si l'utilisateur est prêt à faire un effort en plus, il faut (comme décrit) avoir 2 ou 3 types de "clefs fixes" suivant le degrés de confiance que vous accordez aux sites. Par exemple les sites sans https ou susceptible d'avoir une chaîne de sécurité faible ne devraient pas avoir le même type de passphrase que votre boite mail qui permet de réinitialiser vos mdp.

 

Après le risque zéro n'existe pas, on en a la preuve tous les jours que ce soit avec des petits sites ou des mastodontes. Il faut "juste" faire en sorte de minimiser le risque en pratiquant une bonne hygiène de vie sur internet sans trop se mettre de contrainte forte au risque de pas l'appliquer tout le temps.

 

Tout le monde ne s'appelle pas Snowden donc en utilisant ces méthodes, nous devrions être assez bien protégé. 

 

J'en profite pour mettre une vidéo de la chaîne PointSécu (même si je ne suis pas d'accord avec tous les points) qui a abordé la thématique du mdp :

 

Modifié le 20 juillet 2016 par TheBlackPearl

[Sans intérêt]

Pour l'anecdote, le manuel d'installation de la Livebox Play, à la page 23, semble suggérer le mot de passe « 12345678123456781234567890 » (sans les guillemets). Il y a encore du travail à faire pour éduquer les utilisateurs… et même les experts (?) en informatique.

 

[Soltek]

Puisque le topic a été déterré :

https://www.nextinpact.com/news/100871-choisir-bon-mot-passe-regles-a-connaitre-pieges-a-eviter.htm

[dbodin]

Et un gestionnaire de mot de passe en local ou sur une clé USB comme KeePass ,

Les mots de passes sont générées aléatoirement : seul inconvénient aucun moyen de s'en souvenir mais l'outil est sûr (apport ANSSI) et propose d'autres services pour gérer votre activité en ligne ...

[Krapace]

Le plugin keepassHTTP et l'extension pour Chromium chromelPass rempli tout seul les champs.

J'ai pas migrer tout mes mdp perso mais j'en suis a 100 (tout pile)

Comme les login+pass sont remplis automatiquement, je me rends pas forcement compte de ce qui vient de la bdd Keepass ou de ce qui vient de chromium...

[Thoriak]

On 28/10/2017 at 19:57, dbodin a écrit :

Et un gestionnaire de mot de passe en local ou sur une clé USB comme KeePass ,

Les mots de passes sont générées aléatoirement : seul inconvénient aucun moyen de s'en souvenir mais l'outil est sûr (apport ANSSI) et propose d'autres services pour gérer votre activité en ligne ...

Comme le dit @dbodin , Keepass est un gestionnaire de mot de passe qui à rempli les exigences de sécurité de l'ANSSI (pour la version 2.10 portable).

La liste de tout les logiciels certifiés ANSSI sont disponibles ici.

Personnellement j'utilise Keepass sur une clé USB chiffré (Corsair Padlock 3) et je sauvegarde ma base de données sur d'autre support.

Autre info, keepass a déjà été hacké grâce à un logiciel libre sur GitHub KeeFarce. Le hack exige une intervention local du hacker (votre session déverrouiller). L'article ici.

Vous pouvez craindre un hack de votre bdd mais après il suffit de ne pas allez sur n'importe quel site, ouvrir n'importe quel mail, ne pas insérer de clé USB trouver par terre, etc...

Les hacks contre des particuliers sont majoritairement dû au particulier eux mêmes.