Choisir un bon mot de passe n'est pas toujours simple, mais c'est un enjeu de sécurité toujours relativement important. Faut-il qu'il soit plutôt long ou qu'il contienne des caractères spéciaux ? Existe-t-il des techniques pour en générer qui soient facilement mémorisables ? Quelles sont les consignes à respecter ? On fait le point.
Au fil des mois, les annonces de fuites de données personnelles se multiplient, entrainant dans leur sillage les identifiants et mots de passe de millions d'utilisateurs. Il faut alors en changer.
Car la découverte d'un mot de passe peut vite faire boule de neige et avoir des conséquences importantes lorsqu'il s'agit du compte de messagerie ou que le mot de passe est utilisé sur différents sites. Le cas de Dropbox, dévoilé cette semaine, illustre d'ailleurs assez bien cette problématique dans un environnement professionnel.
Et bien que nombreux sont ceux qui cherchent à mettre à mort le mot de passe, en le remplaçant ou en le complétant par des liens générés à la demande ou de la biométrie, il est toujours là et devrait encore faire partie de notre quotidien pour de nombreuses années.
Se pose alors la question du choix d'un bon mot de passe et de l'hygiène numérique qui va avec. Nous avons décidé de nous pencher sur la question, de la création à la gestion de ces suites de caractères si importantes au sein d'un dossier qui sera diffusé tout au long du mois.
Un bon mot de passe, c'est quoi exactement ?
Avant d'étudier les différentes manières de choisir un mot de passe, il est important de définir ce que l'on appelle communément un bon mot de passe... et ce n'est pas chose aisée. Comme l'explique l'ANSSI, « en réalité, il n’existe pas de règle universelle » et de nombreux facteurs entrent en ligne de compte.
Le premier d'entre eux est certainement « sa force », ce qui correspond à sa capacité à résister à une attaque par énumération de toutes les combinaisons possibles. Plus le mot de passe est long et avec des caractères spéciaux, plus le nombre de combinaisons grimpe. Pour un code PIN à quatre chiffres par exemple, il n'existe que 10 000 combinaisons (de 0000 à 9999), alors qu'il y a en a plus de 450 000 pour un mot de quatre lettres (26^4) et plus de 7 300 000 si on ajoute des majuscules (52^4).
Pour vous faire une petite idée de la résistance d'un mot de passe à une attaque par force brute, l'ANSSI propose un petit outil. Il vous donne la taille de la clé équivalente (en bits), ainsi qu'une grille de lecture permettant de le situer (de très faible à fort). Pour avoir une bonne résistance, l'ANSSI recommande d'utiliser un mot de passe d'au moins 16 caractères dans un alphabet de 90 symboles (lettres, chiffres et caractères spéciaux).
Maintenant que les bases théoriques sont posées, passons à la pratique. Comme nous l'avons déjà expliqué, il n'y a pas de méthode universelle, juste un peu de bon sens et quelques astuces qui peuvent s'avérer utiles.
Résister à une attaque par force brute est une chose, mais il faut aussi que le mot de passe ne soit pas sensible à une attaque par dictionnaire. Pour cela, il ne doit pas s'agir d'un mot usuel de votre langue (et de n'importe quelle langue d'ailleurs). Par exemple, « password » est à proscrire, tout comme « catapulte ». Il ne faut également pas utiliser une suite logique telle que « 123456789 », « azertyuiop », « azeqsd123456 », etc.
Pour mieux cerner le problème, vous pouvez consulter la liste des pires mots de passe de l'année 2015 (Certains font d'ailleurs assez peur). Cette liste est basée sur les occurrences qui reviennent le plus souvent sur les bases de données qui ont fuité sur Internet, facilitant d'autant l'accès aux comptes des personnes concernées.
Sachez d'ailleurs que le site Have I Been Pwned permet de rechercher son identifiant/email dans les bases de données qui ont été publiées sur Internet. Le cas échéant, le site vous donne le service qui a laissé filtrer votre identifiant, la date à laquelle cela s'est passé et les autres données personnelles qui y étaient éventuellement associées.
Quelques recommandations à prendre en compte
Outre les éléments que nous venons d'évoquer, il y a tout un ensemble de règles qui peuvent être à prendre en compte dans la quête d'une bonne hygiène numérique :
- Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts
- Choisissez un mot de passe qui n’est pas lié à votre identité (nom de société, date de naissance, prénoms, etc.)
- Ne donnez jamais à personne votre mot de passe, sous aucun prétexte
- Ne tapez pas vos mots de passe sur une machine en laquelle vous n'avez pas totalement confiance
- Ne stockez pas vos mots de passe en clair sur votre ordinateur ou sur un post-it
- Ne vous envoyez pas vos mots de passe par email, SMS, pigeon voyageur, etc.
- Changez immédiatement vos mots de passe à la moindre suspicion de fuite
- Supprimez les emails de service qui envoient le mot de passe et/ou login lors de l'inscription
- Modifiez dès que possible les mots de passe par défaut de tous les systèmes/comptes
- N'utilisez pas d'expression simple comme « motdepasse » et/ou des suites de chiffres et de lettres
Pour les données sensibles (banques, correspondances privées, médicales, etc.) l'ANSSI va plus loin et recommande également de configurer vos logiciels et navigateurs (voir cette actualité à ce sujet) pour qu'ils ne se souviennent pas de vos mots de passe et de les changer tous les 90 jours. La récente fuite chez Opera ne peut que lui donner raison, les navigateurs ne stockant pas toujours les mots de passe de manière chiffrée localement.
- Accéder aux recommandations de l'ANSSI
- Accéder aux recommandations de la CNIL
- Accéder aux recommandations du CERN
Pour aller plus loin dans la sécurité informatique, sachez que l'ANSSI a publié l'année dernière un guide complet des bonnes pratiques à adopter.
Une simple phrase peut devenir un mot de passe compliqué
La CNIL recommande de son côté d'utiliser au minimum huit caractères et de piocher dans au moins trois types de symboles parmi les quatre existants : majuscules, minuscules, chiffres et caractères spéciaux. Pour d'autres, il est temps de passer à au moins dix caractères, tandis que l'ANSSI pousse jusqu'à 12 caractères, voire 16.
Mais comme nous l'avons déjà expliqué, la longueur d'un mot de passe ne fait pas tout et si c'est pour y coller « 123456789101112131415 » ou « aqwzsxedcrfvtgbyhn », cela ne sert à rien. La CNIL, rejointe par l'ANSSI et d'autres organisations, proposent des moyens mnémotechniques permettant de créer rapidement des mots de passe complexes à partir d'une phrase :
Vous pouvez évidemment adapter cette technique à votre sauce, avec vos propres règles. Il est d'ailleurs important de s'approprier une méthode unique et de ne pas reprendre celles que l'on peut trouver sur Internet sans aucun ajustement.
Poème, formule mathématique : le CERN déborde d'idées
Dans la même veine, le CERN explique que vous pouvez choisir quelques lignes d’une chanson ou d’un poème et utiliser la première lettre de chaque mot. Par exemple, « In Xanadu did Kubla Kahn a stately pleasure dome decree! » devient « IXdKKaspdd! ». Vous pouvez également utiliser une phrase de passe longue composée de l'ensemble des mots collés les uns aux autres. (InXanaduDidKublaKahnAStatelyPleasureDomeDecree!). Facile à retenir, avec une résistante importante et déclinable pour générer autant de mots de passe/passphrases que nécessaire.
Si vous êtes plus scientifique que littéraire, vous pouvez vous servir d'une formule mathématique comme mot de passe : « sin^2(x)+cos^2(x)= 1 » et « ax²+bx+c=0 » par exemple. Évitez par contre « e=mc² » qui est vraiment trop courte, ainsi que des formules sur lesquelles vous travaillez.
Décidément inspiré sur cette question, le CERN explique que vous pouvez aussi alterner les consonnes et les voyelles pour créer un mot de passe qui ne veut absolument rien dire, mais que l'on peut plus ou moins prononcer et retenir facilement. Quelques exemples pour ce faire une idée : « Weze-Xupe » ou « DediNida3 ». Un concept que l'on peut décliner à l'infini ou presque.
La méthode de Diceware : cinq dés et une liste de mots
Dans un registre un peu différent, une planche de xkcd revient souvent lorsque l'on aborde mot de passe. Elle rappelle que si le premier « Tr0ub4dor&3 » semble compliqué et difficile à retenir à première vue, il n'est pas forcément plus robuste que « correcthorsebatterystaple » qui est sûrement plus simple à mémoriser (il est construit en collant plusieurs mots les uns à la suite des autres) :
Cette technique, dérivée de la méthode Diceware, est mise en avant par plusieurs organisations comme le service de Fédération d'Équipement Informatique et Réseau de l'institut universitaire de Brest (Feiri) et l'Electronic Frontier Foundation (EFF).
Le principe est simple : vous lancez cinq fois de suite un dé à six faces, pour obtenir un nombre à cinq chiffres (de 11 111 à 66 666). Vous récupérez ensuite le mot correspondant dans la liste des mots du dictionnaire Diceware et vous répétez l'opération cinq fois de suite pour récupérer cinq mots qui, mis bout à bout, constituent votre mot de passe.
L'EFF a récemment proposé sa propre version mise à jour de cette liste (en anglais) afin d'y intégrer des mots un peu plus longs en moyenne. De son côté, le Feiri de Brest en propose une version française pour ceux qui préfèrent la langue de Molière. Si vous avez connaissance d'autres listes de ce genre, n'hésitez pas à les signaler dans les commentaires afin que le reste de la communauté en profite.
Mais cette méthode ne fait pas l'unanimité non plus. Pour le spécialiste Bruce Schneier, le fameux exemple « correcthorsebatterystaple » de XKCD n'est « plus un bon conseil » car les logiciels pour craquer les mots de passe planchent déjà sur ce système (et ce depuis quelques années maintenant).
Un indicateur intéressant à prendre en compte : l'entropie
Il n'est donc pas toujours facile de s'y retrouver, mais des techniques permettent néanmoins de se faire une idée un peu plus précise de la robustesse d'un mot de passe : l'entropie (exprimée en bits). Derrière ce nom, se cache un indicateur qui permet de mesurer plus finement la force et la résistance d'un mot de passe en ne se basant pas que sur sa longueur, mais sur le nombre de combinaisons possible.
Sur le blog de Dotnico on retrouve de plus amples détails sur la définition de l'entropie d'un mot de passe, ainsi que sur les formules mathématiques derrière cette notion. On retrouve de plus en plus cette méthode, sans forcément s'en rendre toujours compte. Par exemple, lorsqu'un service affiche des codes couleur en fonction du mot de passe que vous tapez (rouge, orange et vert), il peut se baser sur sa longueur uniquement, mais aussi sur son entropie. Ainsi, un mot de passe de 12 caractères peut être indiqué comme mauvais, alors qu'un autre de 8 sera validé.
En 2012, Dropbox diffusait sur GitHub le code d'un petit outil de test de mot de passe qui se basait notamment sur cette notion d'entropie (mais pas seulement) : zxcvbn. Celui-ci donne de précieuses informations sur le temps estimé pour le trouver, sa robustesse et, le cas échéant, propose des idées afin de l'améliorer.
Entrez « 123456789 » et il répondra qu'il faudra généralement moins d'une seconde pour le trouver et qu'il fait partie du top 10 des mots de passe les plus courants... bref, à éviter comme on peut s'en douter. Même chose pour la suite « aqwzsxedcrfvtgbyhn » qui demande entre quelques secondes et mois pour être cassée.
Avec l'exemple « correcthorsebatterystaple » proposé par xkcd, l'outil détecte bien qu'il s'agit de quatre mots collés les uns aux autres et indique qu'il faudrait 8 heures à un ordinateur capable de traiter 10 milliards d'opérations par seconde, alors qu'il ne faudrait que 10 secondes pour « Tr0ub4dor&3 ».
Si l'on prend l'exemple de la formule « sin^2(x)+cos^2(x)= 1 » proposé par le CERN, le temps de traitement passe à 31 ans alors qu'il faudrait des siècles pour venir à bout de la passphrase « InXanaduDidKublaKahnAStatelyPleasureDomeDecree! ».
Activer la double authentification... quand c'est possible
Il est possible d'aller plus loin et de renforcer la sécurité d'un mot de passe avec une double authentification. Pour cela, le service peut envoyer un code par SMS (mais cette méthode a ses limites) ou bien utiliser une application sur mobile. Ainsi, le mot de passe seul ne servira pas à grand-chose à un pirate.
Plusieurs grands services ont d'ores et déjà sauté le pas. C'est le cas d'Amazon (voire notre guide), Blizzard, Dropbox, Google, Twitter, GOG, etc. Pensez à faire de même sur vos NAS puisque Asustor, Synology ou encore QNAP proposent une telle fonctionnalité.
Dans la mesure du possible, il est recommandé d'ajouter une couche de sécurité supplémentaire. D'autant plus que les services permettent généralement de définir une machine comme étant fiable et n'ayant donc plus besoin d'une double authentification par la suite. Pratique pour son ordinateur de bureau par exemple (mais à éviter sur un portable qui peut facilement être perdu ou volé).
L'usage d'une clé USB U2F commence à se répandre
En plus des méthodes que nous venons d'évoquer, d'autres solutions se développent rapidement ces derniers temps. C'est par exemple le cas du standard U2F (Universal 2nd Factor) qui est géré par la FIDO (Fast IDentity Online) Alliance. Il s'agit pour rappel d'une fonctionnalité que nous avons détaillée dans cette actualité.
Dans la pratique, il suffit de brancher une clef USB U2F (on en trouve à moins de 10 euros) à votre ordinateur et parfois presser un bouton pour générer un code pouvant être vérifié par un service tiers. Par contre, pour que cela fonctionne, vous devez avoir lié une ou plusieurs clefs USB à votre compte. Un site de démonstration est disponible ici.
Plusieurs services comme Dropbox, GitHub ou Google les prennent en charge, tout comme certaines applications telles que Dashlane par exemple. Ce genre de clef peut aussi avoir d'autres usages, notamment dans le cas des Yubikey, pour peu que vous aimiez bidouiller un peu.
Privilégiez des services qui ont une bonne politique de gestion des mots de passe
Dans la mesure du possible, il faut privilégier des services proposant une connexion sécurisée (HTTPS) dès le formulaire de saisie du mot de passe pour éviter qu'il ne soit diffusé en clair, surtout si vous êtes sur un réseau Wi-Fi public ouvert (ce qui est à éviter). Problème, ce n'est pas toujours possible.
En outre, il faut éviter les services qui vous (r)envoient votre mot de passe en clair lors de l'inscription ou d'une demande de réinitialisation. Comme nous l'avions expliqué, cette pratique était encore répandue en 2012 et persiste toujours aujourd'hui. N'hésitez d'ailleurs pas à alerter la CNIL lorsque vous rencontrez pareils cas.
Attention aux outils en ligne pour tester et générer votre mot de passe
Que ce soit pour l'outil de l'ANSSI ou de Dropbox, il est important de préciser une règle importante : ne saisissez JAMAIS un mot de passe que vous utilisez sur un site en ligne qui se propose de vérifier sa solidité, même si celui-ci semble digne de confiance. Il peut très bien l'enregistrer dans une base de données et l'ajouter à son dictionnaire pour l'utiliser plus tard. Entrez un mot de passe qui lui ressemble dans la construction et la longueur, mais jamais le vôtre (ou trop proche du vôtre).
Il en est de même pour la génération d'un mot de passe. De nombreux sites se proposent de le faire pour vous, en prenant soin d'appliquer des règles strictes et fournir un mot de passe qui semble effectivement fort. Néanmoins, rien n'empêche de l'ajouter dans un dictionnaire maison afin de le garder au chaud pour plus tard.
Des solutions existent pour générer des mots de passe hors ligne
Il existe néanmoins des solutions qui permettent d'en générer localement sur votre ordinateur. Là encore, on recommandera d'être prudent et de passer par des solutions open source et/ou dont le code a été analysé de près par des experts indépendants.
C'est par exemple le cas de KeePass qui propose un générateur facile à prendre en main et performant (pensez d'ailleurs à ajouter de l'entropie via des mouvements de la souris ou des frappes aléatoires au clavier. Ce logiciel fait aussi office de gestionnaire de mots de passe, mais nous aurons l'occasion d'y revenir dans un prochain article.
Si vous avez GnuPG installé sur votre machine (voir notre dossier sur le chiffrement), vous avez aussi la possibilité de l'utiliser pour générer un mot de passe avec un nombre de caractères de votre choix via une simple ligne de commande. Voici par exemple ce qu'il faut taper pour générer un mot de passe de 30 caractères :
gpg --gen-random --armor 2 30
Faut-il changer régulièrement son mot de passe ?
Maintenant que vous avez trouvé un bon mot de passe, répétez l'opération autant de fois que nécessaire pour chaque service. Tout le monde s'accorde en effet pour dire qu'un mot de passe ne doit être utilisé que pour un seul service afin d'éviter une cascade de piratages en cas de fuite.
Mais la question qui vient juste après est de savoir s'il faut le changer régulièrement. Là, deux écoles s'opposent. La CNIL, l'ANSSI et le CERN par exemple, recommandent de le faire régulièrement, alors que d'autres comme Lorrie Cranor (technologue en chef à la FTC et membre du conseil d'administration de l'EFF) et le cryptologue Bruce Schneier prônent le contraire.
L'explication est en fait simple : oui changer son mot de passe régulièrement est une bonne idée, mais à condition de bien le faire. Il ne faut pas reprendre son ancien en appliquant simplement une petite modification (majuscule sur une des lettres, répétition d'un caractère à la fin, etc). Lorrie Cranor explique que les pirates sont au fait de ces techniques depuis longtemps et ont adapté leurs algorithmes en conséquence (voir cette étude).
Pour d'autres au contraire, changer de mot de passe régulièrement est important, notamment parce qu'une personne peut vous observer lorsque vous le saisissez ou bien arrive à le découvrir en fouillant sur votre ordinateur ou sur le réseau. Par exemple, si vous tapez accidentellement votre mot de passe à la place de votre nom d’utilisateur, il peut apparaitre dans les logs système sur certains serveurs. Pour les données sensibles, il est conseillé de le changer lorsque vous l'avez utilisé sur une machine qui n'est pas réputée « sure ». Bref, on n'est jamais trop prudent.
Tout le monde s'accorde par contre sur certains points. En cas de fuite de données (même simplement suspectée sans confirmation), il faut impérativement – et sans attendre – changer votre mot de passe. Idem si vous l'avez saisi sur une machine publique ou qui n'est pas réputée sûre. Un keylogger peut avoir été installé afin de récupérer l'ensemble des frappes au clavier.
Les gestionnaires de mots de passe pour éviter de devoir en mémoriser des dizaines
Bref, vous l'aurez compris, la sécurité est un point qu'il ne faut pas prendre à la légère et il vaut mieux passer du temps à trouver un mot de passe offrant une sécurité suffisante (à vous de trouver votre méthode), plutôt que des heures à jouer au pompier en cas de piratage, sans compter les possibles pertes de données.
Il n'est pas toujours facile de retenir des dizaines de mots de passe différents comportant chacun au moins 16 symboles et n'ayant aucun rapport les uns avec les autres. Pourtant, comme nous venons de l'expliquer, c'est une hygiène de vie que tout le monde devrait adopter pour renforcer sa sécurité.
Une solution pourrait donc être de passer par un gestionnaire de mots de passe, qui permet de les sauvegarder et de les synchroniser entre vos machines suivant les cas. La sécurité de votre « coffre-fort » est garantie par un mot de passe maitre qu'il faudra choisir soigneusement (toutes les règles que nous venons d'évoquer vous seront utiles). Il en existe plusieurs sur le marché (certains en open source avec un code audité), chacun avec ses avantages et ses inconvénients, mais nous aurons l'occasion de rapidement y revenir.
Comme toujours, vous pouvez également demander de l'aide via ce topic dédié sur notre forum. N'hésitez pas à non plus à publier vos trucs et astuces dans les commentaires afin d'en faire profiter le reste de la communauté.
Notre dossier sur la gestion des mots de passe :
- 1Password : un gestionnaire de mots de passe sorti de la sphère Mac
- KeePass : plongée dans un gestionnaire de mots de passe puissant, mais plus exigeant
- Dashlane : le gestionnaire de mots de passe qui veut séduire par son ergonomie
- LastPass : analyse d’un gestionnaire de mots de passe qui joue l’ubiquité
Commentaires (186)
#1
Je sais que c’est un long article, mais pour le bien de tous, je l’aurais mis en libre accès..
Bon, go le lire maintenant :)
#2
Il le sera ;)
#3
#4
tout comme « catapulte »
" /> à roulettes !!
Bon papier, à garder sous le coude pour évangéliser " />
#5
+1
Tiens, y’a le lancement de Franceinfo ce soir, faut envoyer l’article à Francis Zégut pour qu’il en parle s’il intervient aussi dans la version TV ^^
Pour haveibeenpwned, j’aimerais un peu moins les voir sur ma boîte mail (2x cette semaine - DropBox et InterPals)
#6
Joli et complet
tous mes mots de passe ont Majuscule et chiffre, 12-14 caractères.
Et caractères spéciaux pour les comptes important (genre paypal)
Je sais que c’est suffisamment fort comme ca - comparé à 12345678 " />
mais faut des moyens de s’en rappeler si on veut pas utiliser les appli pour ca
#7
Sinon, un mot de passe utilisant des mots (aléatoire, pas une phrase !) du dictionnaires mais de plus de 20 caractères restent fort.
#8
Super dossier, c’est cool que vous abordez le sujet de la Yubikey qui m’intéresse depuis un moment " />
#9
Je ne suis pas encore passé à keepass ou équivalent, j’essaye néanmoins d’avoir des mots de passe complexes (lettres minuscules et majuscules, chiffres, caractères spéciaux). Jusqu’à présent, je n’ai jamais eu de soucis. Je m’efforce surtout de ne pas avoir des tonnes de comptes, dès que je ne vais plus sur un site, je supprime ou demande la suppression de mes infos.
En aparté, ce serait bien aussi que les sites web ne gardent pas les mots de passe en clair. Et s’ils pouvaient aussi ne pas garder les emails en clair., ce serait pas mal. On dit souvent que la force de nos mdp tient par son maillon le plus faible mais à mes yeux, le maillon faible est très souvent un site qui a fait n’importe quoi plutôt qu’un méchant hacker qui aurait voulu s’en prendre à moi ou un bot qui aurait fait une bête attaque par force brute.
Ah, et toujours les sites, ce serait pas mal aussi de ne pas nous limiter, le nombre de fois où je ne peux pas utiliser de caractères spéciaux, j’ai même déjà été bloqué car mon mot de passe était trop long ! (une quinzaine de caractères)
#10
Le problème qui reste encore régulièrement c’est les sites qui n’autorise pas les mots de passe de + de 8⁄10 caractères ou refuse les caractères spéciaux… Du coup obligé de mettre des mots de passe “simple”.
#11
J’aime bien en général trouver une petite phrase et y mettre des majuscules, des chiffre et des caractères spéciaux, comme dis dans certaines recommandations.
Passer de “un petit chat se promène dans la rue” à “1PetitCHATSePromèn3DansLaRu3%”.
Même si la majuscule en début de mot est assez classique, c’est toujours un peu de complexité de pris.
#12
moi j’ai arrêté les conneries.
Keepass et voilà. je me fais plus chier à essayer de m’en souvenir, et j’ai des pass de roxxor de 30 caractères totalement imbitables.
maintenant les sites qui stockent en clair, en général c’est des sites ecommerce à 2 balles et j’y mets un pass… à 2 balles. Quand je reçois le mail de bienvenue avec mon mot de pass, en général je tape l’affiche publiquement au site et à son presta (sur twitter). par contre j’ai jamais su s’ils avaient corrigé. ^^
#13
#14
Ah ouiii !
Voilà un bon rappel. Un rien compliqué pour Madame Michu, mais qui permettra à celui qui tentera vaillament de lui expliquer les étapes à ne pas oublier.
Merci
#15
#16
Petite astuce pour compléter : en + de varier votre mot de passe, variez aussi votre adresse email avec des alias par exemple.
Pour les utilisateurs de GMail c’est assez facile, entre votre nom d’utilisateur et le @ vous pouvez rajouter un “+” suivi d’un texte.
Par exemple, si vous êtes [email protected], vous pouvez saisir [email protected] et les emails vous parviendrons tout de même.
A noter aussi que les “.” ne signifient rien, en enlever, en rajouter ou en déplacer produisent aussi des alias.
Pour les autres fournisseurs de messagerie je ne sais pas, mais cette astuce devrait INpacter pas mal de monde je pense.
#17
L’intérêt de la phrase, c’est que ça soit simple à retenir, avec un sens, contrairement au kamoulox ^^
Selon le site de test de mot de passe en lien, il faudrait des siècles pour découvrir ce mot de passe en exemple (si je l’avais pas écris, j’aurais pu l’utiliser :p ).
En plus on a la chance d’avoir une langue avec des accents, ce qui rend les mot de passe plus complexe naturellement (enfin, faire attention à l’utilisation d’un dico prenant le Français en compte).
#18
#19
Ah. J’allais mettre en lien le topic dédié du forum, mais il est en conclusion de l’article " />
Pour les logiciels type KeePass, je recommanderai de changer la clé de temps à autre (en faisant au préalable du backup), ça mange pas de pains et le jour où une bogue est trouvée dans le logiciel sur cette partie du code, on est déjà rompu à l’exercice :)
#20
Je pense que le mot de passe suggéré par xkcd n’est pas “correcthorsebatterystaple” mais “correct horse battery staple”, avec les espaces.
password:correct horse battery staple
guesses_log10:20.33003
score:4 / 4
function runtime (ms):12
guess times:
100 / hour:centuries(throttled online attack)
10 / second:centuries(unthrottled online attack)
10k / second:centuries(offline attack, slow hash, many cores)
10B / second:centuries(offline attack, fast hash, many cores)
#21
3ABoqpà#/3PIr²=3Qbc " />
#22
Pour avoir une bonne résistance, l’ANSSI
recommande d’utiliser un mot de passe d’au moins 16 caractères dans un
alphabet de 90 symboles (lettres, chiffres et caractères spéciaux).
Air France a encore quelques progrès à faire " />
Avec une rainbow table, on le trouve en combien de secondes ?
Qu’en pense l’ANSSI ? Et la CNIL, parce que nos données sensibles (toutes nos identités données à Air France) sont mal protégées ?
#23
Excellent article, merci !
#24
En tant que développeur nous incitons nos clients à mettre un peu de sous sur le e-commerce que nous leur faisons sur du fail2ban. x tentatives et ça ban l’autorisation d’accès au compte.
C’est du point de vue de l’éditeur de site le meilleur moyen, sauf que lors que c’est ban, tu te retrouve au tel avec le client pas content.
Je prône pour ma part l’utilisation de dashlane, avec un passe phrase d’accès très fort, et on génère à chaque site un mdp différent via dashlane. C’est à mon sens la seule vraie solution humainement tenable.
#25
Article salutaire. Merci !
#26
Je sais pas pour vous, mais les banques abusent un peu en france à ce niveau la … 6 caractères obligatoire, uniquement des chiffres …
A ce niveau la, on sent la différence en suisse… n’importe quel mot de passe + code basé sur un lecteur de carte bancaire qu’on doit valider avec notre carte et code pin.
Bon après, si je me fais voler, ils auront plutôt intérêt à rembourser, mais c’est quand même pas très secure.
#27
Un cas débile vu récemment : Piwigo. Par défaut, à la création du compte, une option est présente pour envoyer l’identifiant/MdP à l’adresse mail renseignée.
Il m’a fallu modifier le template de la page pour faire disparaître cette option crétine. De mémoire, une des excuse d’un des dév c’était “non, mais c’est pour que l’admin il gère les inscriptions pour les envoyer à ces amis” :facepalm:
#28
#29
la banque postale c’est 6 chiffres mais au bout de 3 tentative ton compte en ligne est bloqué et je crois qu’il faut attendre un courrier avec le nouveau mdp de mémoire. Pour rappel, le code PIN à 4 chiffres est l’un des plus dure à cracker vu que tu as que 3 essais.
#30
Groupama aussi de mémoire. C’est d’autant plus bête que le nombre et le type de caractères du MdP est très fortement réduit " />" />" />
#31
“Je m’incruste dans Loft Story et je donne un stérilet à une association caritative”
" />
#32
Pas totalement convaincu par tout cela.
Avoir un mot de passe fort c’est bien en théorie mais avoir autant de mot de passe que de sites internet, et tous complexes rend la procédure lourde.
J’utilise keepass pour stoquer mes mots de pass et je n’ai pas le même pour chaque site web, mais devoir lancer keepass à chaque fois est assez contraignant, et limite beaucoup la faisbilité. Avoir de bons principes c’est bien, les rendre applicable c’est mieux !
Je crois qu’il existe des plugin pour keepass, mais je ne sais pas si quelque chose existe pour qu’il complète directement dans les sites internet les mots de pass ?? (Comme ce que fait un explorateur web, mais sans tout stoquer en clair …).
J’ai essayé de convertir ma femme a keepass, peine perdue !
#33
Y a pas moins radical qu’un ban via une règle iptables ? " />
#34
Je ne connaissais pas IhaveBeenPwned et j’ai failli avoir une attaque en voyant mon email sortir 4 fois … bon après ce sont 4 mots de passe différents heureusement.
Et depuis je suis passé a Keepass et j’ai changé mes mots de passe.
#35
au CMB j’ai un pass global “libre” (doit bien y avoir un nombre mini de caractères, j’ai pas testé) via PC et sinon via appli mobile c’est soit le même pass, soit tu choisis le terminal comme terminal de confiance. du coup ça se transforme en code pin 4 chiffres, mais valable uniquement depuis le terminal en question.
j’imagine que c’est pour éviter d’avoir à se taper les éventuels caractères spéciaux sur un clavier de téléphone, mais comme ça fait un pin de plus à retenir (j’ai déjà 3CB dont une dont j’ai oublié le code), je l’ai collé dans keepass. ^^
le truc totalement fou, c’est que là où je bosse (industrie un tout petit peu sensible), on n’a pas de gestionnaire de mots de passes. du coup tout le monde a des post-it ou un fichier txt avec tout dedans.
quand je l’ai fait remarquer à l’OSI, le mec m’a répondu OKLM: mettre le txt dans un zip chiffré ou se trouver un pattern de mots de pass.
du coup soit tu passes ton temps à chiffrer/déchiffrer ton fichier (et tu le fais plus au bout de 3 fois), soit tu t’inventes un pattern pour retenir 40 mots de passe (en plus des tiens perso! XD).
alors que t’as une soluce toute faite (keepass), ouverte, déployable easy en interne. hallucinant.
#36
si tu regardes un peu mieux, tu verras que keepass (sans plugin il me semble) te permet de remplir auto le login/password via ctrl+a.
il faut juste paramétrer le nom de la fenêtre.
regarde l’aide ou la doc en ligne.
après c’est du bonheur.
edit: et idem pour la compagne. ^^
#37
C’est aussi pour ça que la double authentification est une bonne solution, puisqu’elle apporte une composante aléatoire à un mot de passe. Après tout dépend aussi de ce que l’on veut protéger. Mais il suffit de voir ceux a qui on a défoncé tous les comptes perso avec des données importantes (Gmail, Facebook, Amazon, etc.) suite à une fuite de mot de passe chez un site qui ne faisait pas gaffe pour comprendre qu’il y a des précautions à prendre, quitte à ce que cela soit moins pratique au quotidien…
#38
Password1, voila mon pot de passe
#39
Salut salut,
J’ai une petite question, je cherchais un gestionnaire de mot de passe local et je suis tombe sur Enpass. Il semble pas mal et ils ont des application UWP et meme une extension pour Edge qui serait en cours de developpement. Par contre, il n’a pas l’air tres connu et est tres rarement cite. Je me pose des questions, est ce un bon gestionnaire ou faudrait-il que je passe sur autre chose de plus connu…
Enpass a l’air plutot simple a utiliser egalement et les mises a jour sont regulieres.
Qu’en pensez-vous?
Merci
#40
envoyer le mot de passe par pigeon voyageur " />
#41
Concernant la critique de la “méthode XKCD”, de très nombreux commentaires sous l’article de Bruce Schneier cherchent à comprendre sa critique, et arrivent à la conclusion qu’il parle sans doute du cas où les gens choisissent eux-mêmes les mots pour cette méthode (ou changent l’ordre, éliminent des mots choisis au hasard jusqu’à en trouver qui leur plaisent davantage).
L’idée serait alors que chaque fois qu’un humain modifie le hasard pur d’une méthode Diceware/XKCD en se disant qu’il est plus malin que tout le monde, il introduit du prévisible, abaisse l’entropie et se tire une balle dans le pied.
Malheureusement, Schneier ne semble pas avoir mis à jour l’article ou répondu dans les commentaire pour clarifier…
A noter aussi dans ces commentaires : certains soulignent que les langues font que certaines lettres auront plus ou moins de chances de se retrouver en début de mot. Par exemple, on a bien plus de mots français en e— qu’en x—. La méthode donnée plus haut dans le paragraphe sur la CNIL ne génère donc pas vraiment des lettres “prises au hasard”, ce qui abaisse l’entropie réelle.
#42
#43
#44
Oui, le mot de passe qui commence par les majuscules et finit par un chiffre est un peu trop classique. La tentation de le faire est tellement naturelle. " />
Evitons les “Tomate01” !
#45
#46
à roulettes mobiles ?
#47
“il est important de définir ce que l’on appelle communément un bon mot de passe… et ce n’est pas chose aisée.”
Par exemple dans steam, si on ajoute des espaces, il (steam) en conclut que le mot de passe est faible.
Malgré ça je me suis pas encore fait pirater mon compte steam (et je plains le plaisantin qui y parviendrait vu le peu de jeux que j’ai).
#48
#49
#50
#51
Magnifique erreur dans les procédures de test et validation, sur un point important en plus.
PS : Mais de quel mot de passe parles-tu, puisqu’à la SoGé il est constitué de 6 chiffres à cliquer sur un clavier virtuel ?
#52
Ouais, définitivement, le bon mot de passe c’est celui qu’on note sur une feuille parce qu’on n’arrive pas à le retenir car trop compliqué !
#53
Au travail on a les champions du monde de la sécurité:
On me demande de changer de mot de passe tous les mois mais il faut que le mot de passe soit différent à plus de 50% des 5 précédents => C’est impossible de comparer la ressemblance 2 mots passe hachés, les mots de passes sont donc stockés en clair (ou avec un chiffrement réversible, ce qui revient au même). " />
Et quand j’appelle au téléphone (depuis un tel qui n’est pas de la boite) le service info parce que j’ai oublié mon mot de passe, on ne vérifie jamais mon identité (au mieux on me demande mon nom, prénom et ma date de naissance mais en général seul le login leur suffit) avant de réinitialiser le mot de passe.
#54
Certes mais il faut que le système de vérification du format d’e-mail soit correct et le reste !
Par exemple, je me suis retrouvé incapable de me logguer sur le site d’EDF pour particuliers après que des modifications du site eurent lieu. J’ai dû contacter leurs services au téléphone pour changer l’adresse e-mail du type [email protected]…
#55
A la connexion sur un site, si le navigateur auto-complète le mdp aléatoire –> c’est bon.
Sinon, demander un email de reset du mot de passe au site et remettre un mdp aléatoire.
\o/
#56
C’est courant : une paranoïa sécuritaire qui co-existe avec des failles de sécurité monumentales. J’ai vu ça dans pas mal d’entreprises à bien y réfléchir. C’est parce que les systèmes ne sont pas pensés jusqu’au bout.
#57
#58
Le jour où les dévs respecteront les (très bourrines certes) regex pour gérer la partie locale d’une adresse mail et où l’adresse (tout à fait valide) “Christine Albanel est partie pantoufler " />”@orange.fr, le monde aura fait des progrès
#59
#60
#61
#62
PayPal. Maximum autorisé : 20 caractères. Le reste est tronqué, sans qu’on ne te le dise. " />
#63
Ah merci, je la retrouvais pas cette bestiole " />
La variante W3C n’a pas l’air taillée pour l’Unicode :(
#64
#65
La principale difficulté des mots de passes longs est qu’ils sont (trop) souvent refusés par les services. J’ai vu des services web refuser des mots de passes de plus de 12 caractères, d’autres de plus de 16 caractères. L’astuce du mot de passe long a donc ses limites.
C’est d’ailleurs grâce à Dashlane que je rencontre tous ces sites aux limites trop faibles (longueur limitée, symboles limités) : par défaut, je l’ai configuré pour qu’il génère jusqu’à 28 caractères entièrement aléatoires. Dans la pratique, j’ai fini par baisser mes exigences.
Parfois, cependant, on doit taper un mot de passe manuellement, notamment sur smartphone, quelle qu’en soit la raison. Dans ce cas, on apprécie d’autant plus les mots de passes sans homographes. Rien de plus frustrant en effet que de deviner la différence entre un “I” et un “l”, ou un “O” et un “0” sur des polices de caractères que l’on maîtrise mal.
Pour finir, qu’est-ce qu’un bon mot de passe ? Long, aléatoire, impossible à mémoriser, et… inconnu de l’utilisateur lui-même. Non ?
#66
#67
Oui, même si aujourd’hui le masculin est plus recommandé, je reste sur le féminin, je suis un rebelle
#68
Pourquoi faire de l’anglicisme ? En quoi le terme original, “bug”, est-il gênant ?
#69
Vous avez pas dit que c’était une maquette ? " />
Sinon excellent l’exemple de [email protected] " /> Mais ça serait plus [email protected] " /> " />
#70
Manager de mot de passe pour moi depuis peu d’ailleurs. Chaque service/site, c’est un mot de passe auto-généré de 16 caractères aléatoires (que moi même je ne connais pas en fait). J’utilise SafeInCloud (pour son modèle économique un seul achat et c’est tout + mots de passe stockés en propre, pas chez eux, sous forme d’un fichier chiffré et “salté”).
Les applis Android/Windows/Mac sont très bien :) Reconnaissance de l’empreinte digitale pour entrer sans l’appli + plugins Chrome sous Windows et même sous Android afin d’auto-remplir les champs à la visite de sites internet.
#71
#72
Petite précision, keepass 2 est l’un des seuls gestionnaires de mdp certifiés :
 http://www.ssi.gouv.fr/entreprise/certification_cspn/keepass-version-2-10-portab…
Évitez tout gestionnaire qui n’a pas été audité avec un résultat public, Tavis Ormandy https://twitter.com/taviso) vient d’en péter quelques uns…
#73
C’est mon côté “j’ai souffert en fac d’anglais”, où en version (trad langue étrangère -> langue maternelle), les notes descendent très vite si tu ne traduit pas (quoique la version franco-québecoise de “bug” est peu connue). Du coup, c’est resté : quand il y a un équivalent français, je traduis. Pis j’aime bien le terme " />
#74
Ah, intéressant tiens. " />
Version 2.10 ceci dit (on en est à la 2.34). A priori, il n’y a pas eut de gros changements dans le code de chiffrement (ça aurait changé de version majeure je pense sinon). Des corrections de bogues (hehe) à coup sûr.
#75
#76
On avait aussi ce genre de stratégie dans ma boite. J’ai laissé tomber le jour où je me suis aperçu que tout le staff de compta avait les listes des mots de passe passés et présents dans leurs tiroirs, pour justement pouvoir créer un nouveau mot de passe. Rendu là, tu laisses tomber.
Quand tes utilisateurs n’ont même pas le niveau CAP (j’ai un CAP aussi, pas la peine de vouloir me faire la peau), pas la peine de leur demander un mot de passe compliqué : c’est humainement impossible de le créer et encore moins de s’en rappeler.
#77
doublement rebelle alors, déjà qu’ utiliser le mot français c’est assez inhabituel…
Tu dis aussi “courriel”, “téléverser”, par exemple?
#78
téléverser : oui. Si on dit télécharger, autant utiliser le terme français dans l’autre sens est logique.
Et je dis courrier ou message, comme ça j’évite les termes que je trouve foireux (mél et courriel) " />
#79
Au Crédit Agricole ils font encore mieux :
Identifiant = N° de compte " />
Mot de passe = 6 chiffres à cliquer sur une grille aléatoire. " />
Comme ça si quelqu’un regarde par-dessus ton épaule il a tout bon! Et il peut aller à la banque avec le numéro de compte pour s’amuser " />
#80
Le mail Laposte ne prends que de l’alphanumérique" />
Sinon, pour certains passes je met des phrases, ou des combinaisons de mots de passes.
#81
J’avoue, c’est la première fois que je vois quelqu’un utiliser ces termes de manière non-ironique… (à part les administrations évidemment, et mon prof de techno au lycée il y a 20 ans qui a dû prononcer “bogue” un paquet de fois).
#82
Sans compter que, généralement, les banques bloquent l’accès au compte après 3 essais.
J’imagine que ça doit être très chiant si un bot teste des milliers de compte et les bloque tous. " />
(Car bon, devoir appeler son agence + attendre un nouveau code par courrier postal … " />)
Coucou la Caisse d’Epargne avec leurs codes PIN à 4 chiffres par défaut (modifiables à 8).
Il y a quoi comme banque avec un “bon” niveau de sécurité ? Comprendre par là, compatibilité avec un mot de passe de 50 caractères chiffres/majuscules/minuscules/spéciaux/espaces …
Enfin, il y en a au moins ? " />
#83
Je ne connaissais pas SafeInCloud, j’ai un peu de mal à comprendre l’intérêt par rapport à keepass + stockage de la base de mdp sur dropbox ou autre ? L’application Android ?
Sinon j’utilise keepass depuis un moment et j’en suis très content, le fait de pouvoir stocker des documents sensibles de manière sûre est également un gros plus à mes yeux. (copie de passeport et autre)
Cependant je me retrouve bien perdu quand je ne suis pas sur mon PC ou que je n’ai pas ma clef usb à portée de main…
#84
Oui effectivement le gros plus c’est les applis multi-plateformes qui vont bien (et avec l’empreinte digitale, c’est diablement efficace sur un auto-remplissage du mot de passe sous chrome pour android par exemple).
Disons qu’avec l’appli Android, j’ai mes mots de passe partout où j’embarque mon téléphone (c’est à dire à peu près partout sauf à la piscine quoi).
Je stock le fichier chiffré sur mon Google Drive (mais DropBox et d’autres sont supportés également).
#85
Faites également attention à vos codes PIN de carte bleue, suite à un leak, j’ai retrouvé le mien ici.
#86
" />
Reste plus qu’à te piquer ladite CB
" />
#87
" />
#88
Donc si je comprend bien, LastPass, ou tout autre système de gestion de mdp online, c’est mort ? Je comprend que le risque de failles est plus grand lorsque le tout est hébergé en ligne, mais avec la double authentification au login et sur la plupart de sites d’importance, la déconnexion automatique du plugin browser après 30 minutes et tout les avantages du multi-plateforme, il me semble que le mix pratique/sécurité est quand même assez relevé, non?
Oui je sais, il y a eu un bogue reporté il y a quelques semaines, mais c’était malgré tout très ciblé comme problème (et jusqu’à preuve du contraire, personne n’a été affecté).
#89
Je ne suis absolument pas d’accord avec les résultats de zxcvbn:
- sin^2(x)+cos^2(x)=1 peut etre prédit de manière très simple si on cherche des mots de passe qui peuvent être de la forme d’une equation (la solution serait de mettre une équation fausse, par exemple).
- InXanaduDidKublaKahnAStatelyPleasureDomeDecree étant le camelcase d’un poeme qui existe réellement est pire que n’importe quelle suite de mot aléatoires d’une longueur correcte: moins résistant niveau bruteforce mais plus difficile voir impossible à deviner via construction de mot de passe. On peut même ajouter un caractère spécial quelque part dans un mot. L’attaque par dico devient donc inefficace car même si on sait qu’il y a un caractère spécial, il faut trouver lequel et où.Mais evidemment, si on cherche juste en bruteforce…
#90
Et le pire quand ils font ça c’est qu’ils sont convaincus que c’est vraiment sécurisé.