Jump to content

Bien gérer ses mots de passe


Recommended Posts

Et tu retiens comment tes mots de passe ?

Perso, j'utilise LastPass. Il peut générer un mot de passe par site (aléatoire évidemment avec les caractères qu'on veut), il est capable de remplir automatiquement les champs login/mot de passe (ce qui fait que je pourrai mettre des logins aléatoires aussi).

Quand on est sur un formulaire de changement de mot de passe (3 champs mot de passe), il demande si c'est bien un changement de mot de passe et si lui dit oui, il peut mettre un nouveau mot de passe avec le générateur et mettre l'ancien dans le premier champ.

Il marche par plugin dans le navigateur, ce qui fait qu'il peut prendre la main sur le gestionnaire intégré dans le navigateur (en tout cas avec Firefox).

Par contre, ils disent qu'ils ne voient jamais les mots de passe en clair chez eux ni la passphrase, mais je n'ai que leur parole (bien qu'ils affirment avoir été audité par des sociétés de sécurité).

Par contre, ça me paraît une solution bien plus performante pour des utilisateurs lambda.

Link to comment
Share on other sites

Je suis pas un paranoïaque mais je me suis inspiré des conseils de killator pour augmenter la sécurité de mes mdp.

J'avais peur de galérer à retenir, mais finalement ça va, surtout qu'au boulot je n'enregistre aucun mdp donc je suis régulièrement amené à les retaper.

Par contre, même avec vos explications, je n'ai toujours pas la moindre confiance dans les gestionnaires de mot de passe ! Tout protéger par un seul mdp me parait totalement fou...

Par contre, ce que je me dis c'est qu'à moins de tomber sur quelqu'un qui nous en veut vraiment personnellement, un hacker/cracker/whatever qui voudrait casser du mdp doit pas vraiment aller chercher plus loin : si les mdp simples ne passent pas il doit passer à autre chose. Pas sur qu'il aille chercher plusieurs mdp, essayer de trouver l'algorithme qui permet de tous les retrouver, etc...

Au final dans mon système, les deux points d'entrée les plus simple sont mon Mac et mon iPhone : si vous avez le code de déverrouillage de l'un ou l'autre, vous avez accès à ma boîte mail... Mais bon ça laisse un nombre de possibilités de combinaisons assez énorme !

Link to comment
Share on other sites

  • 3 weeks later...

Mot de passe sur un word sur clé usb...

:transpi: Le jour où tu perds la clé...

J'utilise LastPass pour la plupart des mdp (très pratique parce qu'il permet de passer d'un navigateur à l'autre sans perdre ses mdp). J'ai aussi mes mdp dans un fichier au cas où LastPass ne soit pas dispo ou ferme boutique.

Pour créer mes mdp, j'ai utilisé

-un mot simple ou plusieurs déformations d'un même mot pour tous les sites simples (forums,...).

-un mot de passe composé de lettres et chiffres aléatoires que j'ai retenu par coeur pour des sites plus sensibles

-des mots de passe générés par LastPass quand je voulais un truc vraiment sécurisé sans me prendre la tête à chercher.

C'est pas idéal mais bon, j'ai pas envie de refaire tous mes mdp pour avoir une logique commune.

Merci quand même pour ce topic, l'idée est bonne :chinois:

Link to comment
Share on other sites

  • 3 weeks later...
  • 5 weeks later...

D'accord avec les passphrases dans la pratique, mais ce n'est pas viable en pratique à cause des restrictions techniques imposées par certains sites (taille du mot de passe, espaces interdits, ...)

Je suis en plein période d'hésitations sur les mots de passe et c'est vrai que la méthode de Killator me semble un bon compromis... Je me tâtais à utiliser un logiciel mais le fait de ne pas pouvoir retrouver mes pots de passe de tête me gêne plus que la faille du mot de passe maître.

Link to comment
Share on other sites

  • 4 weeks later...

Je relaye ici un tweet TRES à propos de Tristan Nitot, président de mozilla Europe...

Pourquoi il faut utiliser un mot de passe différent pour chaque site (et un master password dans Firefox) - http://t.co/iMWszcl7

Piqure de rappel: il ne faut pas oublier que sur Internet, votre vie privé est parfois entre les mains de personnes qui ne sont pas assez sensibilisés sur la sécurité... Des gens dont ce n'est pas le coeur de métier... Car oui, la sécurité informatique est un métier à part entière ! :ouioui:

Et un piratage bien ciblé sur un site faillible peut rapidement tourner au cauchemars... :| Petite pensée pour Sony en début d'année d'ailleurs :roll:

:chinois:

Link to comment
Share on other sites

  • 4 weeks later...
  • 7 months later...

2 petites actualités croustillantes :

:arrow: Les mots de passe des utilisateurs de Figaro.fr référencés en clair par Google (lien)

:arrow: Et 420 000 mot de passe compromis chez Formspring (lien)

Beaucoup trop d’utilisateurs utilisent le même mot de passe partout laissant, dans des cas comme ceux-là, une marge de manœuvre énorme aux personnes mal intentionnées… :roll:

Donc « piqûre de rappel », il est important de bien choisir ses mots de passe ! :yes:

:chinois:

Link to comment
Share on other sites

Ce topic mériterai d'être épinglé ;)

J'avais peur de galérer un peu au début avec cette technique, finalement c'est nickel ! On s'y fait très rapidement, et pour les sites que l'on utilise régulièrement on le fait les yeux fermés !

Link to comment
Share on other sites

Epinglé ! :yes:

Et merci pour ton retour… Il m’a presque fait chaud au cœur :oops:

Beaucoup de personne à qui j’explique la méthode bottent_en_touche de peur d’un truc trop complexe… Et pourtant :roll:

J'avais peur de galérer un peu au début avec cette technique, finalement c'est nickel ! On s'y fait très rapidement, et pour les sites que l'on utilise régulièrement on le fait les yeux fermés !

Question bonus: tu utilises ça au quotidien depuis lgt ?

:chinois:

Link to comment
Share on other sites

J'ai plus la date en tête mais ça date d'il y a environ 1an, suite à ce topic ;)

L'idée de changer mes mdp me trottait dans l'esprit depuis quelques temps avant que tu fasses ce topic mais je n'avais pas les "clés" en main pour faire quelque chose de propre et vraiment efficace.

Link to comment
Share on other sites

  • 3 weeks later...
  • 6 months later...

Ptite infos en passant, le site de l'Agence Nationale de la Sécurité des Systèmes d'Information (aka ANSSI) édite sur son site quelques règles pour la génération et la gestion des mots de passes :D

Marche aussi bien pour les entreprises que pour les particuliers. Pour les entreprises les règles sont un peu plus pointu stout :D

Et quelques pages d'aide au choix d'un mdp :

http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/mot-de-passe.html

http://www.securite-informatique.gouv.fr/gp_article45.html

http://www.securite-informatique.gouv.fr/gp_article193.html

Accessoirement y'a aussi un coffre certifié pour les mdp, stocké en local sur le poste :

http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/certificat_cspn_2010_07.html

J'espère que je suis pas hors sujet, j'essaie de coller au premier poste du topic.

Link to comment
Share on other sites

  • 2 weeks later...

Un autre système de mots de passe est de prendre la première lettre de mots et écrire contenir des chiffres et le but est de se souvenir de la phrase.

Exemple simple: "Manger cinq fruit et légumes par jour" donnerai => M5FELPJ

Mais si vous prenais une phrase bien plus longue et personnaliser vous avec un mot de passe plus sur

Exemple: "Je Mange cinq Chiens Tout Les Matin Et Je Le Vie Bien. C'Est Grave Docteur ?" => JM5CTLMEJLVBCEGD?

Vous pouvez aussi mètre les mot cour en minuscule le reste en majuscule

Exemple: "Je Mange cinq Chiens Tout Les Matin Et Je Le Vie Bien. C'Est Grave Docteur ?" => jM5CtlMejlVBceGD?

Pour plus de caractère spéciaux vous avec les caractères accentuer.

Et pour les grand malade vous avec les majuscules accentuer mais allez taper sa sur smartphone...

Je ne sais pas se que vous en pensez mais sa permet de se souvenir de mots de passe relativement complexe sans le rendre vraiment faillible.

Edited by lielos
Link to comment
Share on other sites

Slt lielos,

J'explique exactement la même chose dans le tuto pour composer "l'invariant" d'un mot de passe :ouioui:

Seulement, il reste à déterminer une syntaxe variable pour que ton mot de passe devienne unique pour chaque service où tu l'utilises :roll:

Relis bien... ;)

:chinois:

Link to comment
Share on other sites

  • 4 weeks later...

Il y a quand même une limite à la méthode "universelle" : les sites qui n'acceptent pas non plus les lettres. Et c'est pas les moins importants, ça concerne la plupart des banques en ligne, la sécu, la CAF...

A titre perso j'utilise un système similaire de partie fixe + variable, et j'ai pas non plus trouvé mieux. Je mémorise la chose dans Firefox avec un mot de passe principal. Franchement taper un pass à chaque site, ça me saoulerait. Et pour les sites empêchant l'enregistrement (banques), système mnémotechnique.

Sinon comment vous faites avec vos proches un peu âgés ou hermétiques à l'ordinateur ? Perso mes vieux mis à part leur faire noter sur une feuille...

Link to comment
Share on other sites

  • 1 month later...

Bonjour,

Un aspect qui je crois n'a pas été exposé et s'applique principalement (mais non exclusivement) aux Mac users.

Sur Mac, à l'aide de la touche "alt + caractère", il est aisé d'ajouter des caratères spéciaux qui, sous Windows, nécessitent l'usage de combinaison "alt + pavé numérique".

Ceci a pour avantage de limiter grandement les tentatives humaines, qui plus est si l'attaquant est sous Windows. En utilisant des caractères de la table ASCII étendue, on augmente grandement la résistance aux attaques, qu'elle soient de type brute force, par dictionnaire ou analyse fréquentielle.

Effet négatif possible: sur certain sites (ne gérant pas ou mal unicode), certains caractères sont échappés par mécanisme de data sanitization, rendant votre mot de passe inopéranat. Le problème peut-être d'autant plus souroie si les mécanismes sont différents selon si on s'authentifie via une interface web ou une API (l'API d'authentificaition du serveur XMPP de Facebook est un bon exemple. Je parle d'expérience.).

Mon conseil (à débattre): plutôt que d'utiliser les caractères spéciaux "classiques" accessibles directement sur votre clavier, privilégiez l'emploi du couple "alt + chiffre/nombre" (Windows) ou "alt + charactère" (Mac).

Attention cependant, cette manipulation peu rapidement s'avérer complexe quand appliquée à un clavier de pc portable.

Quelques liens utiles:

{En} http://etc.rmnl.net/macshortcuts/

{En} http://www.ascii-code.com/

{Fr} http://assiste.free.fr/Assiste/Mots_de_passe_Formes_d_attaques.html

Link to comment
Share on other sites

Bonjour,

J'aborde le sujet dans ce point:

:lock:Attention aux caractères spéciaux...

D'expérience personnelle, faites très attention à l'utilisation des caractères spéciaux ! Vous tomberez forcément sur un site/service qui ne prendra en charge qu'un jeu limité de caractères spéciaux... Et là vous pouvez dire adieu à l'aspect universel de votre belle méthodologie de construction... :pleure:

Pire encore, la version web supporte très bien vos caractères spéciaux MAIS l'appli mobile ne les supporte pas ! Quote, single quote, dollars sont des écueils redoutables pour les développeurs... J'ai eu le cas très souvent, donnant lieu a de joli plantage sur mon smartphone :|

Sur ce point, sachez que j'ai abandonné: je me concentre sur de l'alpha-numérique étendu aux majuscules (a~z, A~Z et 0~9), ce qui est suffisant avec des mot de passe de 13 caractères (dans mon exemple) :ouioui:


Bref l'utilisation de caractères spéciaux/accentués, qui n'est absolument pas conditionné par l'OS utilisé, génère trop de problèmes nuisant à la mise en place d'une règle simple et universelle de gestion de mot de passe...

C'est donc d'expérience que je suis moi même revenu à de "l'alpha-numérique étendu aux majuscules (a~z, A~Z et 0~9)"... Ce qui est déjà très bien beaucoup mieux face à une attaque au dico si on part du principe que les gens n'avaient pas de politique de mot de passe au départ et si les règles de reconstitution ne génèrent pas de "pass-phrase" compréhensible... :roll:

Bref, c'est ce que je conseille dans le cadre de ce "tuto" :yes:

:chinois:

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...