- Inscription
Langue : [automatic], [fr], [en], … | Allez on remonte !
« Retourner à la documentation

[Sécurité informatique] Mots de passe ultimes

Soyez prévenus; cet article n'est pas achevé.

Avant tout, j'aimerais répondre à cette question:
Q: Pourquoi avoir choisi la catégorie Société pour cet article ?
R: J'ai choisi de mettre cet article dans Société car je n'ai pas encore créé de catégorie appropriée et de toutes façons avoir un bon mot de passe est CAPITAL et pourtant ignoré par la majorité … c'est donc un problème de société.

Je vais malgré tout aborder des termes techniques que je tenterai de vulgariser si possible afin de ne pas larguer tout le monde.

Et j'aimerais aussi prévenir, que je ne suis pas un expert :D j'en sais juste un peu plus que la moyenne et j'aimerais pouvoir vous en faire profiter si vous ignorez ces choses.


------------------------------------------------------------------



Les causes des vols de comptes :


1) Il faut avouer qu'une majorité de la population utilise des mots de passes tout à fait pourris. N'ayons pas peur des mots, c'est ce qu'ils sont.

Un mot de passe de moins de 6 lettres, souvent ne comportant que des lettres minuscule ou des chiffres EST UN MAUVAIS MOT DE PASSE!
Utiliser le nom de votre enfant, sa date de naissance, le nom d'un groupe que vous aimez ou même un mot du dictionnaire EST UN MAUVAIS MOT DE PASSE!Sans parler des mots de passe azertyuiop et compagnie …

2) Tout n'est pas de votre faute non plus :) il y a aussi la part de responsabilité de celui qui stock ou reçoit votre mot de passe (que ça soit votre ordinateur ou le site sur lequel vous vous êtes inscrit)

À l'heure actuelle, il existe tant de failles et de moyens de récupérer vos infos (quand elles ne sont pas directement données/vendues évidemment … (Allô Facebook & co ?)).
Heureusement, il existe des moyens pour les développeurs (ceux qui vont créer les programmes qui vont traiter vos mots de passes) leurs permettant de nous protéger contre ces failles de sécurité.
Mais ces protections ne sont pas toujours facile à mettre en place (ça dépend desquelles, je parle de sécurité en général).

Même si elles l'étaient toutes, ça n'empêche pas d'avoir encore de bien trop nombreux sites ne même pas en respecter les fondamentaux. C'est juste inacceptable de voir encore ça en 2012.
Un exemple ? Un site web qui vous affiche ou vous renvoie votre mot de passe en clair EST ABERRANT !!.
(Je ne vais pas rentrer dans les détails techniques mais il existe plein de façons de crypter/hasher les mots de passes (dont certaines moins sures que d'autres à vrai dire) (en gros pour ceux que ça intéressent, il faut au minimum hasher les mots de passe et pas avec md5, plutôt sha256 au moins + salt))

En résumé, votre mot de passe aura beau être bon, si vous le donnez aux mauvaises personnes, ça pose problème quand même :) (bonjour la confidentialité!) (on viendra à une solution aussi)
Et c'est pire si vous n'avez qu'un seul mot de passe (ce dont parle le point suivant justement)!

3) Je mettrais quasiment ma main au feu qu'il y a fort à parier que vous utilisez soit le même mot de passe partout, soit avec peu de variante.

C'est aussi une des plus grosses failles niveau sécurité qu'on peut avoir.
Nombreux sont ceux que s'ils se faisaient voler leur mot de passe n'auraient sûrement bientôt plus accès à rien du tout :) (un des risques parmi d'autres).

Mais avant d'aller plus loin, j'aimerais quand même dire ne vous blâmer pas :) Nous sommes 98% passés par là et j'ignore combien n'y sont plus mais il ne doivent pas être très nombreux …
Je vous arrête tout de suite, j'en vois venir certains me dire "Eh oh on va quand même pas devoir retenir un mot de passe compliqué pour chaque site !?".
Heureusement non, il y a des astuces contre ça. J'y viendrai plus tard.

De plus, si vous voulez rester anonyme (on sait jamais), il faut savoir que deux comptes avec le même mot de passe ont une forte probabilité d'appartenir à la même personne (sauf pour les mots de passes débiles du genre toto évidemment). (C'est aussi ce qui va m'amener à poser une question plus tard : un bon mot de passe est aussi une façon plus facile de se faire identifier :o (toujours si on reste dans l'esprit qu'on ne veut pas l'être! Si on s'en fout, c'est plus simple))

4) Fausses croyances :

Un bon mot de passe n'est pas forcément un mot de passe compliqué.

On a entendu pleins de techniques pour avoir un mot de passe si bien "compliqués".
Oui, c'est mieux qu'un mot de passe générique comme ceux que j'ai cité au début de l'article mais ces mots de passes ont un tort.
Ils sont souvent (beaucoup) plus compliqués à retenir (parfois ils sont même aléatoires alors je ne vous le fait pas dire!) pour un ajout de sécurité minimale contre certaines attaques (comme la force brute quand elle est possible).

Quitte à choisir, je préfère quand même cette solution personnellement. Mais les gens ne se rendant généralement pas compte de l'importance de leurs mots de passes préfèrent la simplicité (et ça reste encore compréhensible).

(à détailler)


Les solutions :



Un vrai bon mot de passe … est très facile à retenir !
Mais très long … en fait on parle plus généralement de passphrase.
Si on ne prend pas une phrase connue et qu'on suit quand même quelques petites consignes non contraignantes, ils sont bien plus efficaces que les mots de passes courts mais dur à retenir.

Le problème? Encore beaucoup de site web ne les supportent pas de différentes manières. Ça peut être une limitation sur la longueur, sur les caractères entrés (forçant ou interdisant certains caractères)

Et, malus supplémentaire si on veut être anonyme, plus votre mot de passe est long, bon et sécurisé … plus souvent il devient en quelques sortes "unique" et donc il est plus facile de vous identifier si vous utilisez deux fois le même mot de passe ou la même technique (résultant qu'on peut reconnaître/deviner un style vous trahissant par exemple).

Alors il y a des justes milieux.
Premièrement je vais vous apprendre comment avoir des mots de passes durs à cracker (= un bon mot de passe) et comment, même facilement, avoir un mot de passe différent pour chaque site à partir de cette méthode.

Et déjà ça, ça serait un énorme bon dans la société :)

{description de la méthode évoquée à venir (je suis en rédaction !)}
{Petite ébauche}

1) Prenez une phrase -pas une phrase connue-, par exemple "Mon chat a mangé 3 chaussettes vertes".
2) Gardez en seulement les premières lettres (ou secondes, etc).
3) Rajouter des séparateurs ou non (bonne occasion de rajouter des caractères spéciaux). Ex: M-c/a-m/3-c/v (Vous pourrez remarquer qu'ici 'ai un peu fait mieux qu'un simple séparateur mais une alternance :))
4) Il peut être aussi intéressant de changer la casse de certaines lettres (càd minuscule/majuscule).
5) Vous pouvez aussi maintenant rajouter un nombre ou une date ayant une signification pour vous (insérer où vous voulez). Cette fois, ça a beau être facile à retenir, ça ne sera pas facile à craquer.

6) BONUS: La personnalisation du mot de passe par site ou comment avoir un mot de passe unique par site.

À vous de choisir une méthode original :)
Voici quelques idées:
L'astuce est de prendre le nom du site (par exemple), en prendre quelques ou toutes les lettres (les mélanger ou pas ?), rajouter des séparateurs ou pas et vous pouvez même en fonction de certains paramètres défini par vous (par exemple si la première lettre est une consonne ou pas, si le nom a une longueur pair ou impair) changer une règle que vous appliquez d'habitude. Par exemple, si le nom commence par une consomme, vous mettez des "e" comme séparateur, sinon des "_". Vous n'avez plus qu'à choisir des idées parmis celle-ci, les combiner, les modifier, en ajouter :D

Bref vous n'avez réellement plus qu'une chose à retenir, une méthode/technique.
Une phrase inventée facile à retenir, un nombre qui représente quelques chose pour vous, le nom du site (par exemple), le tout formant un beau mot de passe facile à retenir mais compliqué à craquer grâce à une méthode de votre cru (laisser parler votre imagination).

{…}

Pour finir, je voudrais étudier un côté un peu plus technique avec mes compatriotes (programmeurs, développeurs, amoureux de sécurité, etc) sur la façon idéale de générer de vrais bon mots de passes, mais vous pouvez aussi lire si cela vous intéresse.

(à détailler)

1) Le mot de passe aléatoire très compliqué à partir d'un mot de passe simple (comme ceux-ci dessus c'est mieux)

2) Si on cherche l'anonymat, tentative de créer des générateurs de mots de passes universels restants bons mais ne permettant pas l'identification (par votre style de mot de passes)

{…}


Liens utiles et sources :


Vous pouvez aussi consulter la méthode de tookdrums qui a l'air assez intéressante aussi : http://lehollandaisvolant.net/index.php?d=2013/03/13/14/57/57-il-leur-faut-des-mots-de-passe-forts-au-moins-4-chiffres#id9a0903

A compléter.
Dernière modification le 14/03/2013 à 20h38
» Commenter cet article / 1 commentaire(s)