Connexion
Abonnez-vous

Mots de passe : la CNIL trace ses lignes directrices pour une sécurité minimale

n9y25ah7

Mots de passe : la CNIL trace ses lignes directrices pour une sécurité minimale

Le 28 janvier 2017 à 14h30

Mode de conservation, longueur des mots de passe et protections associées. La CNIL vient de fournir toutes les clés pour protéger correctement les mots de passe des utilisateurs d'outils informatiques. Une liste d'éléments semble-t-il simples, mais que tous ne respectent pas encore aujourd'hui.

À la veille de la Journée de protection de la vie privée, la CNIL propose son « kit mots de passe ». Il contient un générateur de mots de passe forts, un poster avec des règles générales (PDF) et plusieurs fiches pratiques pour bien les gérer. La cible, bien entendu, est le commun des mortels. Mais la commission a un cadeau pour d'autres acteurs en cette journée.

Des lignes directrices pour les professionnels

Une délibération de la CNIL a été publiée au Journal officiel. Elle s'adresse aux entreprises et organismes qui gèrent des données utilisateurs, le plus souvent protégées par des mots de passe. Comme les 42 mesures de sécurité de l'ANSSI, ces lignes directrices donnent les indications minimales pour gérer correctement ces informations. Les recommandations sont générales et offrent une marge d'amélioration (très) large.

La commission constate, sans grande surprise, que les mots de passe sont toujours le moyen privilégié pour protéger un accès... et que les utilisateurs ont tendance à utiliser un code unique pour plusieurs services. Elle s'inquiète également que la multiplication des attaques et les fuites régulières de bases de données aident les pirates à connaître les habitudes des internautes. Il y a donc du travail.

Quelle longueur pour un mot de passe ?

Pour le gardien des données personnelles, la complexité du mot de passe dépend directement des protections associées. Quand le compte n'est protégé que par ce moyen, il doit contenir au moins 12 caractères, avec des majuscules, des minuscules, des chiffres et des caractères spéciaux.

Quand une restriction d'accès est ajoutée, le mot de passe ne doit plus être au minimum que de 8 caractères, avec au moins trois des quatre types de caractères en question. Qu'est-ce qu'une de ces restrictions ? Il s'agit par exemple d'une temporisation après des échecs (plus d'une minute après cinq essais et 24 heures après 25 essais), d'une protection contre les soumissions automatisées (comme une attaque par force brute), comme un captcha, ou d'un blocage du compte après au maximum dix essais infructueux.

La longueur minimale passe à cinq caractères quand le mot de passe est accompagné d'une information complémentaire, fournie par le service. Cette information doit, elle-même, être composée d'au moins sept caractères et connue uniquement de lui et de l'utilisateur (comme un identifiant unique au service). Elle peut être accompagnée ou remplacée par un élément propre au terminal privé, à savoir une « adresse IP, adresse MAC, user agent, etc », révocable à tout moment. Cela peut être combiné à une restriction d'accès (temporisation, protection contre la force brute et blocage du compte après cinq essais).

Enfin, quand le mot de passe est combiné à un dispositif matériel, sa longueur peut passer à quatre caractères... ce qui peut s'apparenter à un code PIN. Le matériel en question ? Une carte SIM, une carte à puce ou un dispositif avec « certificat électronique déverrouillable par mot de passe ».

En clair, une clef U2F peut convenir, tout comme des outils plus spécialisés comme nous avons pu le voir avec les Yubikey afin de protéger l'accès à une machine sous macOS ou Windows. La contrepartie est que le dispositif doit être bloqué après trois mauvais essais.

Le chiffrement : algorithme public et séparation du stockage

En matière d'authentification et de chiffrement, les recommandations de base sont d'utiliser un algorithme public sans vulnérabilité connue, avec un certificat d'authentification du serveur si elle n'est pas exécutée en local, via un canal chiffré. La CNIL recommande également que les clés privées soient protégées. Rien de fou, donc.

Le mot de passe ne doit pas être stocké en clair, mais transformé avec un moyen non réversible et sûr, « intégrant l'utilisation d'un sel ou d'une clé ». Cette dernière ne doit pas être hébergée dans le même espace que le moyen de vérification du mot de passe.

Pour les organisations qui renouvellent périodiquement les mots de passe, la commission recommande qu'il le soit dans « un délai raisonnable », qui dépend notamment de sa criticité. En cas d'oubli, quand un administrateur doit intervenir, le mot de passe doit être ensuite changé par l'utilisateur à la première connexion. Si l'opération est automatique, le nouveau secret ne doit pas être transmis en clair et la session permettant de le changer ne doit pas être valide plus de 24 heures. Quand l'envoi passe par un numéro de téléphone ou une adresse postale, l'utilisateur doit être prévenu par ailleurs, pour éviter les usurpations d'identité.

Enfin, en cas de violation du mot de passe, la CNIL demande à ce qu'elle soit signalée dans les 72 heures, avec obligation pour l'utilisateur de le changer. Le délai est calé sur celui de notification des autorités en cas de fuite massive de données, introduit dans les derniers textes européens sur la vie privée.

Avec des recommandations aussi claires, il sera donc difficile pour un service de contester ces principes simples, comme ne pas stocker ou transmettre ces données en clair. En octobre, Cdiscount avait été épinglé par la commission sur de nombreux points, dont des mots de passe clients trop courts et parfois stockés en clair.

Sa mise en garde publique devait servir d'électrochoc pour les autres acteurs avec des pratiques similaires, qui ont désormais une base concrète sur laquelle se reposer.

Commentaires (64)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Boek69 a écrit :



J’ai deux mots de passe sympas : “ pas2mot2passe ” et “ jenesaispas ” avec “ 987 ” ou “ 321 ” à la fin. <img data-src=" />



Ne me remerciez pas si ça peux donner quelques idées à certains. <img data-src=" />





Faut pas mettre de chiffres à la fin. Mais au début ou au millieu. Statistiquement, 80% des mdp contiennent des chiffres à la fin et cette particularité est très utilisée dans les soft de bruteforce.



Ric@rd51 et 51ric@rD bien qu’ils soient de même longueur et de même tailles sont en fait très différent en terme de bruteforce. <img data-src=" />


votre avatar

Même plus la peine de hacker un compte, il suffit de suivre le gonze sur Twitter, comme le porte-parole de la Maison Blanche (qui a publié son mot de passe dans 2 tweet <img data-src=" />)

votre avatar

Voici le mien facile à retenir: “J’ai1super_mot2passe” 😅

votre avatar

valls49.3



fillon500000

votre avatar

En version deux mots avec les chiffres au milieu : Bismuth50000000Kadhafi

votre avatar

Arrêtez !!! <img data-src=" /> Il va falloir que je change mon mot de passe après !!!

votre avatar

perso je trouve qu’imposé des min, maj et chiffres c’est ridicule



car dans ce cas soit :




  • on inscrit le mot de passe quelque part (post it, fichier non securisé ou dans le meilleur des cas dans keepass)

  • on utilise PARTOUT le meme, car c’est chiant a retenir



    alors qu’une longueur minimum avec une seule variante (chiffre ou majuscule ou caractere special) suffirai



    ne pas oublier que souvent l’espace est accepté

    on peut donc facilement faire ce genre de mot de passe, tres simple a retenir

    “Je suis né le 10.10.1980”

    Majuscule a la premiere lettre car c’est une phrase ;)

    un accent donc caractere special ^^

    longueur 24

    pas besoin de postit ou de noté quelque part ;)&nbsp;

    ps: oui j’ai volontairement donné un exemple qui utilise maj, min, chiffre et special ;)&nbsp;

    &nbsp;

    le seul soucis c’est l’epineuse question des mots de passe réutilisé ailleurs …

    la, pas 50 solutions…

    soit un keepass (les services en ligne pour retenir le pass c’est comme donné un double de toutes ses clé a un inconnu)

    soit 2 ou 3 variantes du genre pour des sites sensible (email par ex) et les autres vairantes pour des sites dont en s’en fou un peu …

votre avatar

ou d’utiliser 4 ou plus mot aléatoire .

ex : moutarde/cornemuse/balzac/orange



soit 33 caractère facilement mémorable

&nbsp;



et surtout si vous ete responsable de site : &nbsp;n’oublier &nbsp;pas de bloquer &nbsp;apres n tentative, ou d’utiliser des double authentification cela resoud pas mal de pb

votre avatar

Sérieusement <img data-src=" /> ? Plus moyen de voir ça, les Tweets ont été supprimés je présume?

votre avatar

on en parle du social engineering ?

J’ai l’impression que vous êtes tous fiers de balancer vos mdp en clair dans les commentaires pour savoir qui a le plus long <img data-src=" />

Vous saurez jamais que le mien c’est azerty1234 d’ailleurs<img data-src=" />

votre avatar

Hélas non, que ca soit au début ou à la fin c’est la même chose, avec les bonnes règles pour John the ripper par exemple http://contest-2010.korelogic.com/rules.html : KoreLogicRulesAppendNumbers / KoreLogicRulesPrependNumNum). Et au milieu c’est à peine mieux, c’est ce qu’on test juste après si ça ne fonctionne pas. Le mieux reste la passphrase (non publique ou issue d’une oeuvre littéraire classique).

votre avatar

Oui enfin comme il est précisé sur le site, le brute force ne peut plus vraiment s’appliquer étant donné le blocage au bout de quelques tentatives, et il est statistiquement impossible de trouver le bon mot de passe en quelques essais.



🚀

votre avatar

Mince je voulais rajouter que les chats marchant sur les claviers étaient les meilleurs inventeurs de mots de passe sécurisés. Après bon je pense pas que je vais investir dans un chat pour être sûr… Sinon à l’œuvre ils sont doués.



😅😅😅😅

votre avatar







dylem29 a écrit :



Le miens fait 10







Un seul mot de passe pout tout ! C’est comme ne pas ne pas en avoir.


votre avatar







neves a écrit :



c’est ce qu’on test juste après si ça ne fonctionne pas.





J’aime bien le “si ça ne fonctionne pas” ;)

&nbsp;Le problème reste de savoir pourquoi ça ne fonctionne pas…

Le mot de passe proposé était Ric@rd51, jusqu’à quelle profondeur a-t-on analysé les mots de passe de 67 de long et combien de temps cela a-t-il pris ?


votre avatar

Et dire que si les services web mettaient un verrouillage de compte au bout de n tentatives (temporaire avec avertissement par mail), on n’aurait pas forcément besoin de tout ça. Surtout que dans 99.9999999999999999999999999999% des cas l’utilisateur va choisir de sauvegarder avec le navigateur.



Exemple simple : gestion des comptes en ligne de banque, souvent un truc à 6 chiffres hué par les pseudo-geeks expert sécu du Web. Mais tu te goures 3 fois, accès bloqué.

Le site de la FDJ encore mieux, tu verrouilles ton compte, tu dois attendre un courrier avec tes nouveaux accès.



Et comme dit par d’autres, plus un mot de passe est complexe et différent par service, plus il sera écrit sur un post-it / carnet / .txt sur le bureau, etc.

Et ne me dites pas que vous n’avez jamais vu d’entreprise qui gérait ses mots de passe admin de ses applications via un fichier excel.

votre avatar

&gt; je l’ai fabriquée en utilisant 2 mots de passe imposés, à l’époque du lycée



Pour peu que comme moi, le lycée ce soit plus de 10 ans, quelle est la probabilité que plusieurs de ses mdp soient dans la nature (ou que des hash en md5 ou autres le soient, ce qui revient au même). Je suis sûr que les mecs qui utilisent ces bdd sont capables de croiser les résultats pour attaquer d’autres services le plus efficacement possible. Et entre nous, je ne sais pas ce qu’est un «service important» mais on peut penser que yahoo et linkedin sont/ont été des services importants et ils ont quand même laissé filer des donnée. Donc je confirme, mdp aléatoires pour tous les services, keepass et autres sont là pour ça. Et quand tu l’as oublié, tu cliques sur «forgot password» et tu le changes…

votre avatar







Vser a écrit :



Pour peu que comme moi, le lycée ce soit plus de 10 ans, quelle est la probabilité que plusieurs de ses mdp soient dans la nature (ou que des hash en md5 ou autres le soient, ce qui revient au même). Je suis sûr que les mecs qui utilisent ces bdd sont capables de croiser les résultats pour attaquer d’autres services le plus efficacement possible.&nbsp;



&nbsp;&nbsp;

Pour rappel: des millions de gens utilisent azerty01 ou leur date de naissance comme mot de passe.&nbsp;

Et malgré ça, je ne crois pas que ces gens soient ruinés, détruits et chassés d’Internet.&nbsp;





Et

entre nous, je ne sais pas ce qu’est un «service important» mais on peut

penser que yahoo et linkedin sont/ont été des services importants et

ils ont quand même laissé filer des donnée.

&nbsp;

Un service important est un service pour lequel, si un inconnu vole ton compte, les conséquences pour ta vie sont non-négligeables.&nbsp;

&nbsp;

Linkedin: on s’en fout

Yahoo: si c’est ton adresse mail principale, ça peut gêner, si c’est celle que tu utilises pour te logger à des jeux, on s’en fout&nbsp;

&nbsp;

Important =&nbsp; ton adresse mail principale (et encore), ta banque, la sécu, un service de stockage Cloud, etc.&nbsp;

Moyennement important =&nbsp;&nbsp;adresse mail secondaire, facebook (si tu l’utilises réellement), etc

Sans importance = site de download, jeux, forums, etc

&nbsp;



Donc je confirme, mdp

aléatoires pour tous les services, keepass et autres sont là pour ça. Et

quand tu l’as oublié, tu cliques sur «forgot password» et tu le

changes…

&nbsp;

Keepass empêche-t-il un troyen (qui est quand même la principale technique de récupération de mots de passe utiles) de récupérer tes identifiants et mots de passe lorsque tu te connectes à un service ?

Keepass permet-il de se connecter sur n’importe quel ordinateur/tablette, même qu’on ne possède pas ?&nbsp;

&nbsp;

Tout ça pour quoi ? pour qu’on ne te pique pas ton accès à NextINpact ?&nbsp;


votre avatar







Vser a écrit :



Pour peu que comme moi, le lycée ce soit plus de 10 ans,





Les mots de passes, on est sensé les changer régulièrement, pas garder le même 10 ans…&nbsp;

&nbsp;



quelle est la probabilité que plusieurs de ses mdp soient dans la nature

(ou que des hash en md5 ou autres le soient, ce qui revient au même).



Les hash md5 d’à peu près TOUS les mot de passes possibles sont déjà disponibles (et bien plus encore, avec différents seeds, etc): ce sont les rainbow-tables.&nbsp;

&nbsp;



Donc je confirme, mdp aléatoires pour tous les services, keepass et

autres sont là pour ça. Et quand tu l’as oublié, tu cliques sur «forgot

password» et tu le changes…

&nbsp;&nbsp;

Au boulot, je ne peux rien installer sur mon poste, je ne peux même pas lire une clé USB, je fais comment ?&nbsp;

Quand tu pars en voyage, est-ce que tu as toujours accès à ton gestionnaire de mot de passe ?&nbsp;

etc…


votre avatar

&gt; Quand tu pars en voyage, est-ce que tu as toujours accès à ton gestionnaire de mot de passe ?&nbsp;



Non, je ne connais que le mdp (fort) de ma boîte mail principale. Et tous les services dont j’aurais besoin sont rattachés à cette boîte. Si je dois me reconnecter, je re-génère un mdp. Et j’avoue, je le fais tout le temps.



&nbsp;&gt; Les hash md5 d’à peu près TOUS les mot de passes possibles sont déjà

disponibles (et bien plus encore, avec différents seeds, etc): ce sont

les rainbow-tables.



Une rapide analyse sur les ordres de grandeurs me fait dire que c’est très peu probable au delà de 20 caractères aléatoires ^^



&nbsp;&gt; ton adresse mail principale (et encore)



Ce point là, je ne le comprends pas. Si j’ai accès à ta boîte mail personnelle, je peux a priori récupérer tous les comptes qui en dépendent (pour peu qu’il n’y ait pas de 2FA…). Pour moi, elle est même plus importante que le mdp keepass.

votre avatar







Vser a écrit :



Une rapide analyse sur les ordres de grandeurs me fait dire que c’est très peu probable au delà de 20 caractères aléatoires ^^&nbsp;&nbsp;



&nbsp;&nbsp;

Tous les mots de passe de taille raisonnable ;)&nbsp;





Ce point là, je ne le comprends pas. Si j’ai accès à ta boîte mail

personnelle, je peux a priori récupérer tous les comptes qui en

dépendent (pour peu qu’il n’y ait pas de 2FA…)

&nbsp;

C’est vrai, mais combien de services importants n’ont pas de 2FA ? (ou plus)


votre avatar







SebGF a écrit :



Et dire que si les services web mettaient un verrouillage de compte au bout de n tentatives (temporaire avec avertissement par mail), on n’aurait pas forcément besoin de tout ça.





Peut-on vraiment brute-forcer via une interface web ? (temps de latence, capacité de réponse du serveur, etc)


votre avatar

passwd de 24 char pour booter ma machine, une variante de 24 char pour deverouiller le disque data, aucun problème&nbsp;<img data-src=" />

votre avatar

En même temps, c’est difficile de faire autrement. J’ai pour l’instant 5 mots de passe complexes, et si je n’ai pas trop de mal à mémoriser, il faut se souvenir de quel mot de passe on a besoin sur tel site. Comme dit plus haut, certains sites coupent très vite, et ça m’est déjà arrivé sur le site de ma banque.

votre avatar

source



Ils les a supprimé depuis, mais c’était déjà trop tard <img data-src=" />

votre avatar

  1. Je comprends mieux maintenant le sous-titre de l’article.



    1. Mais comment ça peut arriver ça bordel… La bêtise humaine encore et toujours, impressionnant.


votre avatar

Tout est possible. Après tu n’es pas obligé de bombarder 45 000 logins à la seconde.



Un exemple simple : dans les logs de mon fail2ban, je vois des tentatives de connexion régulières, mais pas abondantes sur les différents accès qu’il surveille. Au contraire, faire un bruteforce trop rapide c’est un moyen de se faire repérer…



M’enfin, de toute façon le bruteforce ne sert à rien, vu que les 34 des éditeurs de services Web ont leur BDD en open bar sans aucune chiffrage. <img data-src=" />

votre avatar

Euh si ça peut arriver.

Tu te trompes de fenêtre pour le copier/merder ou encore la fenêtre qui reprend le focus à ce moment-là…

votre avatar







neves a écrit :



Hélas non, que ca soit au début ou à la fin c’est la même chose, avec les bonnes règles pour John the ripper par exemple http://contest-2010.korelogic.com/rules.html : KoreLogicRulesAppendNumbers / KoreLogicRulesPrependNumNum). Et au milieu c’est à peine mieux, c’est ce qu’on test juste après si ça ne fonctionne pas. Le mieux reste la passphrase (non publique ou issue d’une oeuvre littéraire classique).





Pour John the Ripper, peut-être. Mais ce n’est pas le seul brute-forceur, loin de là. <img data-src=" />


votre avatar







SebGF a écrit :



Un exemple simple : dans les logs de mon fail2ban, je vois des tentatives de connexion régulières, mais pas abondantes sur les différents accès qu’il surveille. Au contraire, faire un bruteforce trop rapide c’est un moyen de se faire repérer…&nbsp;





Oui, mais ce n’est pas du bruteforce.

Ca, c’est juste tenter des mots de passes courants (voir mot de passe par défaut)



D’où ma question initiale ;)

Peut-on réellement faire un bruteforce sur une interface web ?


votre avatar

De là à le publier… À mes yeux ça reste improbable.

votre avatar

Honnêtement, le copier/coller ou même la saisie accompagnée d’un “entrée” direct … Ca peut arriver à n’importe qui.



Je ne défend pas ce type, je sais pas qui c’est et m’en cogne, mais clairement ça peut arriver à tout le monde.









Faith a écrit :



Oui, mais ce n’est pas du bruteforce.

Ca, c’est juste tenter des mots de passes courants (voir mot de passe par défaut)



D’où ma question initiale ;)

Peut-on réellement faire un bruteforce sur une interface web ?







Il existe des outils de test de charge/test de fonctionnement qui jouent un scénario comme si c’était un utilisateur. Par exemple dans une ancienne vie, nous avions un robot de supervision qui faisait des actions comme se connecter à un compte client factice et faisait des actions courantes pour confirmer que l’espace client était opérationnel, exactement de la même manière que le ferait un humain.

Donc sur le principe, j’ai envie de dire oui.

Est-ce efficace, là je ne sais pas répondre.


votre avatar







SebGF a écrit :



Donc sur le principe, j’ai envie de dire oui.

Est-ce efficace, là je ne sais pas répondre.





En fait, je me posais plus la question coté serveur: un serveur web est-il capable d’encaisser un tel flux sans tomber, et est-il capable de répondre à chaque tentative de login pour que l’attaquant ait des réponses à chacun des mots de passe testé ?


votre avatar

Ben dans ce sens-là, pour moi c’est plus du DDoS que du bruteforce dans le cas où le serveur tombe sous la demande. En l’état, si ton bruteforce fait tomber la bécane, j’aurais envie de dire qu’il ne sert à rien <img data-src=" />



Si le bruteforce tente effectivement de casser/trouver le code en effectuant un très grand nombre de requêtes, perso je l’assimile aussi (peut-être à tort) aux attaques par dictionnaire qui tentent de deviner des mots de passe via les fameuses listes qui circulent un peu partout.



Dans le second cas, c’est là où le verrouillage de compte en cas de connexion erronée prend tout son sens… Ou des outils comme fail2ban aussi qui savent bien s’adapter.

votre avatar







SebGF a écrit :



En l’état, si ton bruteforce fait tomber la bécane, j’aurais envie de dire qu’il ne sert à rien <img data-src=" />





&nbsp; C’est aussi mon avis, c’est pour ça que je ne trouve pas que la résistance à un bruteforce ait la moindre importance pour du web. Parce qu’au final, pour faire du bruteforce efficace, il faut avoir accès aux données présents dans la base… et si c’est le cas ben… on a déjà les données qu’on voudrait récupérer !


votre avatar

Tu peux récupérer la base de données des mots de passes sans avoir les données stockées sur le compte.

Et donc faire une attaque par bruteforce sur la base en local pour ensuite te connecter sur les comptes avec des mots de passe faibles qui auront cédés en premier.

votre avatar







jeje07bis a écrit :



&nbsp;

<img data-src=" />



et c’est bien beau les mots de passe à rallonge, mais si c’est pour choper un keylogger ou un autre malware du genre, ça sert à rien de se prendre la tête avec des mots de passe de 30 caractères tordus.

ça fait presque 20 ans que j’ai uniquement des mots de passe relativement simples, voire très simples. Aucun problème. Ami lecteur, je t’invite à trouver le mot de passe de mon compte nextinpact <img data-src=" />









“jeje07bis” a été renommé en “challengeaccepted” <img data-src=" />


votre avatar

Pour le sous-titre j’hésite entre&nbsp;<img data-src=" />&nbsp;et&nbsp;<img data-src=" />.

votre avatar

Pour t’aider dans ton choix, souviens-toi de qui détient désormais les codes nucléaires <img data-src=" />

votre avatar



au moins 12 caractères, avec des majuscules, des minuscules, des chiffres et des caractères spéciaux.





Plus un mot de passe est long et plus il est probable qu’il soit facilement accessible quelque-part.

Généralement sur un post-it près de l’écran ou un fichier “motdepasse.txt” sur le bureau.



#SadButTrue


votre avatar

J’ai deux mots de passe sympas : “ pas2mot2passe ” et “ jenesaispas ” avec “ 987 ” ou “ 321 ” à la fin. <img data-src=" />



Ne me remerciez pas si ça peux donner quelques idées à certains. <img data-src=" />

votre avatar







127.0.0.1 a écrit :



Plus un mot de passe est long et plus il est probable qu’il soit facilement accessible quelque-part.

Généralement sur un post-it près de l’écran ou un fichier “motdepasse.txt” sur le bureau.



#SadButTrue



&nbsp;

<img data-src=" />



et c’est bien beau les mots de passe à rallonge, mais si c’est pour choper un keylogger ou un autre malware du genre, ça sert à rien de se prendre la tête avec des mots de passe de 30 caractères tordus.

ça fait presque 20 ans que j’ai uniquement des mots de passe relativement simples, voire très simples. Aucun problème. Ami lecteur, je t’invite à trouver le mot de passe de mon compte nextinpact <img data-src=" />


votre avatar







jeje07bis a écrit :



&nbsp;

<img data-src=" />



et c’est bien beau les mots de passe à rallonge, mais si c’est pour choper un keylogger ou un autre malware du genre, ça sert à rien de se prendre la tête avec des mots de passe de 30 caractères tordus.

ça fait presque 20 ans que j’ai uniquement des mots de passe relativement simples, voire très simples. Aucun problème. Ami lecteur, je t’invite à trouver le mot de passe de mon compte nextinpact <img data-src=" />





voila :&nbsp;<img data-src=" />&nbsp;lemotdepassedemoncomptenextinpact


votre avatar

Hollande.<img data-src=" />

votre avatar

il manque tout de même la recommandation la plus importante:





  • Comment se souvenir de son mot de passe de 12 caractères avec lettres/chiffres/symboles ?



    Et là, pas de réponse…

votre avatar

J’avoue que 12 caractère c’est chaud.



Le miens fait 10 et j’ai mit du temps à le retenir…

votre avatar

Faut associer deux mots et des chiffres, ça se retient facile.

votre avatar







Boek69 a écrit :



J’ai deux mots de passe sympas : “ pas2mot2passe ” et “ jenesaispas ” avec “ 987 ” ou “ 321 ” à la fin. <img data-src=" />



Ne me remerciez pas si ça peux donner quelques idées à certains. <img data-src=" />&nbsp;





J’aurais préféré “ pas2mot2passe ” et “ jenesaispas ” avec “ 49.3 ” <img data-src=" />


votre avatar







alain57 a écrit :



Majuscule a la premiere lettre car c’est une phrase ;)





A éviter aussi, un peu trop évident et donc facile pour les logiciels de bruteforce qui tentent des raccourcis ^^

Mieux vaut la mettre n’importe où ailleurs.


votre avatar

Perso, j’ai une fonction dans mon .bashrc:



# Generate a random password

#&nbsp; \(1 = number of characters; defaults to 32

#&nbsp; \)
2 = include special characters; 1 = yes, 0 = no; defaults to 1

function randpass() {

&nbsp; [ “\(2" == "0" ] &amp;&amp; CHAR="[:alnum:]" || CHAR="[:graph:]"

&nbsp;&nbsp;&nbsp; cat /dev/urandom | tr -cd "\)
CHAR” | head -c ${1:-32} | xclip -selection clipboard

}



(J’aime bien le petit xclip, c’est mon dernier ajout en terme d’utilisabilité. Pour tous les sites, un nouveau mdp que je génère avec un petit coup de randpass 64 0. Je le colle. Je n’ai pas besoin de le retenir, je ne l’ai jamais vu. Firefox le fait bien mieux que moi, avec un mdp maître généré en suivanthttps://xkcd.com/936/&nbsp; en utilisant un service de typehttp://listofrandomwords.com/ pour générer la liste de mot. Je ne connais que quelques mots de passe, celui de ma lvm chiffré (&gt;60 chars), mon mdp sudo (court pour le coup), mon mdp maître, la passphrase de ma clé GPG, et le mdp de ma boîte mail. Et ce n’est pas plus dur que d’apprendre les fables de la Fontaine à la communale :)

votre avatar

pwgen -ys 64 5 <img data-src=" />

votre avatar

Propre. Je ne connaissais pas.



&nbsp;J’avoue que je traîne cette fonction dans mon bash depuis de nombreuses années… En tous cas, j’aime beaucoup l’option:



-s génère des mots de passe complètement aléatoires, difficiles à mémoriser.



À défaut, ils génèrent des mdp non aléatoires? Je viens de jeter un coup d’œil aux sources. Elles sont assez propres&nbsp; mais je ne suis pas sûr que ça apporte qqch de supérieur à /dev/urandom.

votre avatar

Par défaut c’est aléatoire, mais ça reste « lisible » (beaucoup de caractères simples), alors qu’avec l’option -s, ça rajoute beaucoup de caractères spéciaux et de majuscules.

Exemple sans : zai9eephaethi0Sei3auwii%gaixugh;

et avec : a^Dl=4vL=V!LMq/+|pJA=A-Z0zUV|~o



Après je l’utilise juste parce que c’est super pratique.

votre avatar

Pense à | xclip -selection clipboard, ça facilite vraiment la vie ;)

votre avatar







Vser a écrit :



en utilisant un service de typehttp://listofrandomwords.com/ pour générer la liste de mot





Je prend note, cela fera une liste en plus de mes dictionnaires (physiques) <img data-src=" />


votre avatar







Ami-Kuns a écrit :



Hollande.<img data-src=" />





les pays bas ?


votre avatar







Boek69 a écrit :



J’ai deux mots de passe sympas : “ pas2mot2passe ” et “ jenesaispas ” avec “ 987 ” ou “ 321 ” à la fin. <img data-src=" />



Ne me remerciez pas si ça peux donner quelques idées à certains. <img data-src=" />





3ab.O.QP.H.I.é





votre avatar







jeje07bis a écrit :



<img data-src=" />



et c’est bien beau les mots de passe à rallonge, mais si c’est pour choper un keylogger ou un autre malware du genre, ça sert à rien de se prendre la tête avec des mots de passe de 30 caractères tordus.

ça fait presque 20 ans que j’ai uniquement des mots de passe relativement simples, voire très simples. Aucun problème. Ami lecteur, je t’invite à trouver le mot de passe de mon compte nextinpact <img data-src=" />





idem pour les mots de passe


votre avatar

qu’en est-il des mots de passe à 6 chiffres à placer sur un clavier virtuel ?



et le tatouage numérique et sténographie dans une photo ?

votre avatar

J’aimerais bien un retour sur ma technique perso pour élaborer des&nbsp;mots de passe convenables, car je ne la retrouve pas dans les différents articles qu’on peut trouver sur le sujet.







  • Partir d’une base de chiffres et de lettres&nbsp;





  • Compléter par un caractère spécial





  • Rajouter en majuscule plusieurs caractères en rapport avec le service en question





    Par exemple pour nextimpact -&gt; base%NEXT



    Cette méthode à l’avantage de produire des mp faciles à retenir dès lors que la base est connue.

    Pour ma part, je l’ai fabriquée en utilisant 2 mots de passe imposés, à l’époque du lycée pour ce connecter, à je ne sais plus quelle ENT&nbsp; <img data-src=" />

    Par contre, la possibilité d’intuiter tes autres mp à partir d’un mot de passe connu est peut-être un problème…<img data-src=" />

votre avatar

La CNIL reprends juste une partie des préco de l’ANSSI en matière de MDP finalement.



C’est ce qu’on trouve dans les RGS depuis 2010.

votre avatar

Le pb est que si j’obtiens un ou deux de tes mdp sur des bases volées (genre yahoo, linkedin ou d’autres), je n’ai aucun pb à trouver ton mdp pour d’autres services. Donc, non, cette méthode n’est pas acceptable <img data-src=" />

votre avatar

Ok!&nbsp;

J’ai bien fait de passer à keepass ;-)

votre avatar







Vser a écrit :



Le pb est que si j’obtiens un ou deux de tes mdp sur des bases volées (genre yahoo, linkedin ou d’autres), je n’ai aucun pb à trouver ton mdp pour d’autres services. Donc, non, cette méthode n’est pas acceptable <img data-src=" />





Mouais… alors, il faut que tu récupères au moins 2, voir 3 mots de passes de services importants (donc quand même plus sécurisés), les deux entre deux renouvellements de mots de passe (même en n’en changeant que tous les 6 mois/1 an, ça veut dire 2 failles majeures en moins d’un an…)



Et une fois ces bases retrouvées, il va falloir utiliser un algo spécifique pour identifier les mots de passes qui se ressemblent, et comprendre comment il a été généré (pas très compliqué, mais nécessite un minimum d’efforts et probablement une intervention humaine)

&nbsp;







Cadence a écrit :



J’aimerais bien un retour sur ma technique perso pour élaborer des&nbsp;mots de passe convenables, car je ne la retrouve pas dans les différents articles qu’on peut trouver sur le sujet.





&nbsp;Bref, pour peu que tu n’utilises ces mots de passe que pour les services importants, il n’y a pas à s’inquiéter.

Perso, j’ai 3 niveaux de mots de passe de ce genre: pour les sites importants, pour les sites intéressants, et pour le tout venant.

&nbsp;


Mots de passe : la CNIL trace ses lignes directrices pour une sécurité minimale

  • Des lignes directrices pour les professionnels

  • Quelle longueur pour un mot de passe ?

  • Le chiffrement : algorithme public et séparation du stockage

Fermer