Jump to content

Bien gérer ses mots de passe


Recommended Posts

Effectivement, je venais de la retrouver :yes:

Pour le fun, je viens de checker le mot de passe UNIQUE que j'utilise pour le forum...
... Qui n'est qu'une déclinaison de la règle que j'utilise partout sur internet...

Bilan:

CONGRATULATIONS! It would take about 469 years to crack your password.

Perso, je trouve ça suffisant... Et vous ? :ane:

Par contre, pas d'idée pour la notation faible de mot de passe "soi-disant" fort... Tu aurais des exemples concrets ?

:chinois:

Link to comment
Share on other sites

Le nombre de caractères conditionne beaucoup la robustesse du mot de passe (cas d'une attaque brute force): 8 caractères c'est devenu un minimum syndical :roll:

Perso, le mien fait 13 caractères: 4 digits de préfix, 7 caractères invariants, 2 digits en suffixe...

Et je le tape les yeux fermés sur n'importe quel site avec ma méthodo :yes:

:chinois:

Link to comment
Share on other sites

Mon mdp fait 9 caractères, aucun mot du dico, caractères totalement aléatoires, 2 chiffres, majuscules/minuscules mélangées (mot de passe unique pour chaque site, adapté au site suivant la méthodologie que tu as proposé), et d'après ce site il tiendrait 23h... :craint:

Link to comment
Share on other sites

@Killator: Effectivement, autant pour moi (j'ai lu la première page en diagonale j'avoue).

Cependant, plus les appli' se plieront à UTF-8, plus les utilisateurs de caractères exotiques auront des mots de passe forts.

Cependant, en voyant vos échanges sur la durée théorique nécessaire au cassage d'un mot de passe, il ne faut pas oublier de mentionner le type d'attaque. En l'occurence, il semble s'agit de brute force. Mais un mot de passe de 8 caractères composé d'un prénom + date de naissance sera plier en quelques secondes via une attaque par rainbow table.

IMO, la longueur doit être privilégiée à la complexité. Mieux vaut un mdp [a-z][A-Z][0-9] de 15 caractère qu'un truc impossible du genre #P0&C%1 (7 caractères).

Et cet article semble confirmer ma pensée: http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

Link to comment
Share on other sites

D'ailleurs, comment ils font le calcul ?

Parce que si on considère un mot de passe de site web, souvent au bout de plusieurs mauvais résultats il y a un temps pendant lequel on est "banni" puis il faut compter les temps de chargement, etc...

Je vois pas trop comment on peut casser un mdp en brute force sur un site internet ?

Link to comment
Share on other sites

  • 1 month later...

Et hop, Apple aussi a été attaqué :

Last Thursday, an intruder attempted to secure personal information of our registered developers from our developer website. Sensitive personal information was encrypted and cannot be accessed, however, we have not been able to rule out the possibility that some developers’ names, mailing addresses, and/or email addresses may have been accessed. In the spirit of transparency, we want to inform you of the issue. We took the site down immediately on Thursday and have been working around the clock since then.
In order to prevent a security threat like this from happening again, we’re completely overhauling our developer systems, updating our server software, and rebuilding our entire database. We apologize for the significant inconvenience that our downtime has caused you and we expect to have the developer website up again soon.

Il ne disent pas si des données ont été perdues ou si des apps ont été vérolées...

Link to comment
Share on other sites

  • 6 months later...
  • 2 years later...

Qu'est-ce que je peux détester les sites qui ont une longueur maximale de mdp ridicule surtout quand je m'en rend compte qu'après avoir valider le formulaire et que je tente de me connecter. Tiens pourquoi le site me dit que mon mdp n'est pas valide ? Réinitialisation du mdp par email puis c'est lorsque je suis dans le formulaire en faisant cette fois attention que je me rend compte de la limite.  :mad:

 

Les sites qui n'acceptent pas les signes de ponctuation (qui sont à la fois fr et en) et monétaire sont aussi casse bonbon. Il peut être donc judicieux comme l'a dit Killator de ne pas en mettre.

 

Il y a aussi les sites qui envoie par email le mdp en clair (après l'inscription j'entend bien pas lors d'une réinitialisation). :incline:

 

Sinon la technique décrite par Killator est bonne. Il faudra faire attention à avoir, une fois la construction du mdp finie, une longueur suffisamment grande (au moins plus de 12?). Si l'utilisateur est prêt à faire un effort en plus, il faut (comme décrit) avoir 2 ou 3 types de "clefs fixes" suivant le degrés de confiance que vous accordez aux sites. Par exemple les sites sans https ou susceptible d'avoir une chaîne de sécurité faible ne devraient pas avoir le même type de passphrase que votre boite mail qui permet de réinitialiser vos mdp.

 

Après le risque zéro n'existe pas, on en a la preuve tous les jours que ce soit avec des petits sites ou des mastodontes. Il faut "juste" faire en sorte de minimiser le risque en pratiquant une bonne hygiène de vie sur internet sans trop se mettre de contrainte forte au risque de pas l'appliquer tout le temps.

 

Tout le monde ne s'appelle pas Snowden donc en utilisant ces méthodes, nous devrions être assez bien protégé. 

 

J'en profite pour mettre une vidéo de la chaîne PointSécu (même si je ne suis pas d'accord avec tous les points) qui a abordé la thématique du mdp :

 

Edited by TheBlackPearl
Link to comment
Share on other sites

  • 1 month later...
  • 1 year later...

Et un gestionnaire de mot de passe en local ou sur une clé USB comme KeePass ,

Les mots de passes sont générées aléatoirement : seul inconvénient aucun moyen de s'en souvenir mais l'outil est sûr (apport ANSSI) et propose d'autres services pour gérer votre activité en ligne ...

Link to comment
Share on other sites

  • 11 months later...

Le plugin keepassHTTP et l'extension pour Chromium chromelPass rempli tout seul les champs.

J'ai pas migrer tout mes mdp perso mais j'en suis a 100 (tout pile)

Comme les login+pass sont remplis automatiquement, je me rends pas forcement compte de ce qui vient de la bdd Keepass ou de ce qui vient de chromium...

Link to comment
Share on other sites

  • 3 months later...
On 28/10/2017 at 19:57, dbodin a écrit :

Et un gestionnaire de mot de passe en local ou sur une clé USB comme KeePass ,

Les mots de passes sont générées aléatoirement : seul inconvénient aucun moyen de s'en souvenir mais l'outil est sûr (apport ANSSI) et propose d'autres services pour gérer votre activité en ligne ...

Comme le dit @dbodin , Keepass est un gestionnaire de mot de passe qui à rempli les exigences de sécurité de l'ANSSI (pour la version 2.10 portable).

La liste de tout les logiciels certifiés ANSSI sont disponibles ici.

Personnellement j'utilise Keepass sur une clé USB chiffré (Corsair Padlock 3) et je sauvegarde ma base de données sur d'autre support.

Autre info, keepass a déjà été hacké grâce à un logiciel libre sur GitHub KeeFarce. Le hack exige une intervention local du hacker (votre session déverrouiller). L'article ici.

Vous pouvez craindre un hack de votre bdd mais après il suffit de ne pas allez sur n'importe quel site, ouvrir n'importe quel mail, ne pas insérer de clé USB trouver par terre, etc...

Les hacks contre des particuliers sont majoritairement dû au particulier eux mêmes.

 

  • Aime 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...