Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Les pires mots de passe de l’année 2015 : les habitudes ont la vie dure

1234567890 : ce n'est pas assez sécurisé ?

Les pires mots de passe de l'année 2015 : les habitudes ont la vie dure

Le 20 janvier 2016 à 07h46

On ne le répétera jamais assez : choisir un mot de passe suffisamment sécurisé est important afin de garantir un minimum de sécurité à vos données, mais les habitudes sont tenaces... SpashData dévoile les 25 pires mots de passe de 2015 et certains effraient par leur simplicité

Chaque début d'année, SpashData propose un classement des pires mots de passe de l'année qui vient de s'écouler. Pour mener à bien son étude, explique qu'elle analyse les bases de données qui ont été dévoilées sur Internet. Elle annonce avoir ainsi récolté pas moins de deux millions de mots de passe ; il faut dire que l'année 2015 a eu droit à son lot de failles et de fuites de données.

Des mots de passe plus longs, mais pas forcément plus sécurisés

La société note tout d'abord une tendance à la hausse de la longueur des mots de passe « démontrant peut-être un effort à la fois des sites et des internautes d'être plus sécurisés ». Cependant, certains sont tellement simples qu'ils n'apportent finalement aucune sécurité supplémentaire. C'est notamment le cas de 1234567890, 1qaz2wsx et qwertyuiop (les deux derniers sont des suites de touches qui prennent plus de sens sur des claviers QWERTY).

Voici sans plus tarder la fameuse liste : 

  1. 123456
  2. password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. football
  8. 1234
  9. 1234567
  10. baseball
  11. welcome (nouveau)
  12. 1234567890 (nouveau)
  13. abc123
  14. 111111
  15. 1qaz2wsx (nouveau)
  16. dragon
  17. master
  18. monkey
  19. letmein
  20. login (nouveau)
  21. princess (nouveau)
  22. qwertyuiop (nouveau)
  23. solo (nouveau)
  24. passw0rd (nouveau)
  25. starwars (nouveau)

Les 10 premières places sont occupées par les mêmes mots de passe que l'année dernière (certains sont dans le top 10 depuis plusieurs années), avec simplement quelques changements dans l'ordre, tandis que les cinq derniers sont tous des nouveautés de 2015. On note également une certaine influence du retour de Star Wars avec des références au film aux 23e et 25e places.

Les recommandations de l'ANSSI

Dans un guide dédié aux bonnes pratiques de la sécurité informatique, l'ANSSI donne quelques règles de base sur la gestion des mots de passe. L'agence nationale de la sécurité des systèmes d'information recommande d'un choisir un avec « 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire ». 

De plus, et comme nous le rappelons régulièrement, il faut utiliser « un mot de passe unique pour chaque service sensible » afin d'éviter des piratages en série en cas de fuite sur l'un d'entre eux. Mais l'agence recommande aussi de « ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ». Une annonce qui résonne comme un écho à l'histoire de Lastpass qui serait sensible à une attaque par phishing.

Sachez enfin que si vous êtes en manque d'inspiration pour trouver un mot de passe suffisamment sécurisé, il existe des générateurs aléatoires de mots de passe en ligne (ici et  par exemple). Le problème étant qu'il est toujours possible qu'ils enregistrent les mots de passe ainsi générés, même si les deux sites s'en défendent ouvertement. Dans tous les cas, cela peut vous donner des pistes afin de trouver le « bon » mot de passe.

Comme toujours, vous pouvez également demander de l'aide sur notre forum.

Commentaires (145)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

L’inventivité des nouveaux mot de passe, ont sent que les gens ont pris le problème de la sécurité à coeur.

votre avatar







AlexEC a écrit :



L’inventivité des nouveaux mot de passe, ont sent que les gens ont pris le problème de la sécurité à coeur.







Hacker Vaillant, rien d’impossible ! <img data-src=" />



<img data-src=" />


votre avatar







Grishkaone a écrit :



Technique intéressant mais qui a rapidement une limite. Si un suite à un piratage massif un hacker met en relation deux mots de passes pour un utilisateur donné, il peut en déduire la méthode de création perso et avoir une base solide pour découvrir ceux d’autres sites.

Seul l’aléatoire pur, sans lien avec l’utilisateur ni le site, peut avoir du sens.







Tout à fait … Mais il faut que le mec t’en veuille à TOI.

Parce que ton MDP ressemble de loin à qq chose d’aléatoire, donc il faut qu’il ai une dent contre toi pour préférer s’intéresser à ton compte plutôt qu’aux 20.000 mdp en 12345 et en p4ssw0rd ;)


votre avatar







Aloyse57 a écrit :



Je trouve ça d’autant plus c*n, que la plupart d’entre-nous ont un solde proche de 0.

Alors pourquoi sécuriser à mort quelque chose qui n’a quasiment pas de valeur <img data-src=" /> <img data-src=" />





Il y a encore pas mal de place en dessous de zéro pour voler des sous.

Je dirais même que celui qui est habituellement proche de zéro sera probablement plus ennuyé si on lui tire 2000€ que celui qui à toujours quelques (dizaines de) milliers d’avance.


votre avatar

intéressant, merci.

votre avatar

64B9A590BC9292F2C4334DF78F



C’est plutôt facile à retenir comme mot de passe et je l’utilise depuis des années sans aucun souci… L’avantage, c’est que c’est une vieille clé WEP que j’avais dû apprendre par cœur lors d’un emploi précédent et que je n’ai jamais oublié. Quand tu dis à tes amis que ton mot de passe fat 26 caractères, ils te regardent bizarrement… Encore pire quand tu leur récites pour prouver tes dires (aucune chance qu’ils le retiennent, je suis secure de ce côté).

votre avatar







neointhematrix a écrit :



64B9A590BC9292F2C4334DF78F



C’est plutôt facile à retenir comme mot de passe et je l’utilise depuis des années sans aucun souci… L’avantage, c’est que c’est une vieille clé WEP que j’avais dû apprendre par cœur lors d’un emploi précédent et que je n’ai jamais oublié. Quand tu dis à tes amis que ton mot de passe fat 26 caractères, ils te regardent bizarrement… Encore pire quand tu leur récites pour prouver tes dires (aucune chance qu’ils le retiennent, je suis secure de ce côté).





t’as bien fait de le noter ici, des fois que tu l’oublierais


votre avatar

Si vous voulez un mot de passe sécurisé, oubliez ASCII et tapez dans Unicode (ASCII exclu).

&nbsp;

/thread

votre avatar







Aloyse57 a écrit :



Je trouve ça d’autant plus c*n, que la plupart d’entre-nous ont un solde proche de 0.

Alors pourquoi sécuriser à mort quelque chose qui n’a quasiment pas de valeur <img data-src=" /> <img data-src=" />





C’est surtout que je vois ce qu’il y a de plus sécurisé dans le fait de supprimer les mots de passes composés de caractères, chiffres et spéciaux par un mot de passe à 6 chiffres. Il se doute bien que l’utilisateur avec 6 chiffres il y a de grandes chances qu’ils saisissent sa date de naissance (ça tombe pile sur le même nombre de chiffres).&nbsp;

Alors qu’auparavant il aurait au moins écrit “Mamie02041934” mdr


votre avatar

Comme j’explique à mes étudiants, une adresse mail fait un très bon mot de passe (facile à retenir, long, avec caractères . et @ ) et en plus peut passer inaperçue dans un log ou un keylog, car le pirate s’attend à trouver un mot de passe, pas une adresse mail. &nbsp;genre: &nbsp;[email protected] &nbsp;(18 signs, mixed case, special chars)

&nbsp;

votre avatar







neointhematrix a écrit :



64B9A590BC9292F2C4334DF78F



Tu es un génie, je vais pouvoir dépoussiérer ma clef XP pro crackée ^^


votre avatar







PixelMort a écrit :



t’as bien fait de le noter ici, des fois que tu l’oublierais







Bah oui, évidemment, on est jamais trop prudents <img data-src=" />







MuadJC a écrit :



Tu es un génie, je vais pouvoir dépoussiérer ma clef XP pro crackée ^^







Ça peut le faire aussi, en +, tu ajoutes des caractères spéciaux avec les “-”.


votre avatar

Ils indiquent toutefois dans leur guide : “Il est préférable de ne pas recourir aux outils de stockage de mots de passe. A défaut, il faut s’en tenir à une solution ayant reçu une certification de premier niveau (CSPN)”



KeePass a reçu cette certification (entre autres), la liste est ici.



Perso j’utilise 1Password synchronisé sur Dropbox, car j’ai jamais réussi à avoir une synchro efficace avec KeePass sur Windows, OS X et iOS en même temps.

votre avatar







bompi a écrit :



Le problème est qu’avoir un mot de passe sophistiqué pour chaque connexion différente et les mémoriser sans coffre-fort (1Password, StickyPassword, Dashlane etc.) n’est rapidement plus tenable.

Donc l’ANSSI est bien gentille mais ses conseils sont inapplicables in fine.









<img data-src=" /> KeePass <img data-src=" />



edit : grilled


votre avatar

C’est bon, il n’y a pas Sarkozy2017. <img data-src=" /> Je peux le garder.

votre avatar

“password”



C’est mon mot de passe sur notre portail client <img data-src=" />



(Pas de HTTPS et MdP stocké en clair en base, je ne vais pas m’embêter à prendre un mot de passe compliqué)

votre avatar







Mithrill a écrit :



Surtout avec une solution populaire, c’est la façon la plus simple de se faire dépouiller.





Surtout que ça demande aussi de se souvenir d’un mot de passe. Je préfère encore mettre mes mots de passes dans un fichier .txt sur un dossier publique de dropbox. Pour le même résultat, c’est plus simple.


votre avatar

<img data-src=" />



Prends Sarkozy2017LaFrancePourLaVie tu seras plus “secure”… <img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

login : admin

pwd :&nbsp;password



Les identifiants de tous nos équipements réseau actifs&nbsp;<img data-src=" />



D’après le DSI, c’est pour éviter le stress de devoir retrouver/taper les identifiants si un problème venait à se produire. On est déjà dans le stress dans ces situations là, il faut simplifier au maximum.

votre avatar







taralafifi a écrit :



login : admin

pwd : password



Les identifiants de tous nos équipements réseau actifs <img data-src=" />



D’après le DSI, c’est pour éviter le stress de devoir retrouver/taper les identifiants si un problème venait à se produire. On est déjà dans le stress dans ces situations là, il faut simplifier au maximum.







<img data-src=" /> :nawak:



File nous l’ip d’un de tes routeurs, qu’on vérifie… <img data-src=" />


votre avatar

Heu… le 15ième est quand même corsée : “1qaz2wsx”. Il a fallut que je regarde sur un clavier qwerty : “QAZ” correspond à la premier “diagonale” et “WSX” à le seconde. Il n’est pas si mauvais en soit (en tout case bien meilleur qu’un qwertyuiop”) il introduit des chiffres entre 2. Il n’a rien d’évident, je suis assez étonné qu’il soit aussi haut dans le classement.

votre avatar







bompi a écrit :



Le problème est qu’avoir un mot de passe sophistiqué pour chaque connexion différente et les mémoriser sans coffre-fort (1Password, StickyPassword, Dashlane etc.) n’est rapidement plus tenable.

Donc l’ANSSI est bien gentille mais ses conseils sont inapplicables in fine.





pas besoin de mot de passe trop sophistiqué non plus.

je dois avoir une bonne dizaine de logins et mot de passe en mémoire, ça n’a rien de compliqué à mémoriser.

bon faut dire que j’ai connu les téléphones d’il y a 25-30 sans aucune mémoire ; à l’époque on avait facilement une bonne vingtaine de numéros de téléphone en tête (je devais être vers 40)

Aujourd’hui on est de plus assisté pour ne pas dire lobotomisé, dès qu’il faut mémoriser quelque chose, c’est un peu panique à bord.


votre avatar

Je me faisais la même remarque…

votre avatar

Quand tu sais que les chiffres sont ce qui sortent par défaut sur le clavier qwerty (pas besoin de faire shift), ça revient au même que qwertyuiop, sauf que c’est avec les deux premières “colonnes” au lieu de la première “ligne” :)

votre avatar

Toujours au taf : mot de passe TrueCrypt de boot basé sur le nom DNS de la machine, genre ch1ffreNOM-DU-PC <img data-src=" />

Ah oui ! Il y a une étiquette avec le nom de la machine collé sur le boitier… <img data-src=" />

votre avatar

auto:root

votre avatar







thekamaster a écrit :



KeePass a reçu cette certification (entre autres), la liste est ici.







Ta liste n’est pas à jour, ils n’ont pas mis OpenOffice dans les pare-feu


votre avatar

les generateurs aleatoires sont certifiés NSA

Oh wait vu le top 10 des mots de passe on se demande pourquoi ils depensent autant d’energie et de $$$ dans des backdoors et dans la recherche de failles xD

votre avatar

Commentaire non valide non plus :

Je n’ai pas dit que c’était un problème de sécurité technique. J’ai dit de ne pas utiliser ces services en ligne (quelqu’en soit la raison, site moisi ou PEKBAC, le problème reste le même).

votre avatar

“1234” Orange s’en servait pour le Telnet de leurs ancienne LiveBox <img data-src=" />

ils ont changé de procédure (heureusement) mais du coup ils ont aussi verrouillé Telnet ce qui peut être très chiant pour certains, j’en fait parti (je ne m’en servait que pour activer/désactiver la connexion et rebooter la box si nécessaire)

maintenant avec leur LB2 il faut impérativement éteindre et rallumer si tu as une merde, et comme elle met 3 plombes a se synchroniser… il y a de quoi grincer des quenottes <img data-src=" />



comme dirait l’autre “c’était mieux avant…” <img data-src=" />

votre avatar

Oui et le bloc-note du smartphone présente aussi&nbsp;un risque d’attaque à distance&nbsp;contrairement à un bloc-note physique rangé dans un tiroir. <img data-src=" />

votre avatar

un tiroir fermé dont tout le personnel dispose de la clef <img data-src=" />

soyons précis dans les termes <img data-src=" />

votre avatar

moi j’ai 3 niveaux de sécu pour les pass:

niveau 1: sites à 2 balles, sites où c’est pas très important de se faire chourer son pass,&nbsp;ou sites d’eCommerce de merde qui te stockent ton pass en clair: le même partout en gros.

niveau 2: sites importants (mails, assurance, impots, etc): keepass

niveau 3: sites nucléaires berezina style (en gros la banque): cerveau

votre avatar

Oh des fois un bloc note noyé dans un gros bordel sera plus en sécurité que dans un tiroir fermé à clé. <img data-src=" />

votre avatar

Je fais comme les US pendant la guerre avec les codes en navajo: mes mots de passe sont en breton :p

votre avatar







ecatomb a écrit :



Une base de mot de passe commune avec un fin variable suivant le site ?

Par contre je ne sais pas ce que ça vaut si un des mots de passe fuite …





Pas forcément la dernière (par exemple, la k-ième lettre est la seconde du domaine du service), mais cette recette marche très bien ^^.


votre avatar

pas faux non plus <img data-src=" />

votre avatar







127.0.0.1 a écrit :



password de 15 caractères “compliqué” qui est forcément noté quelque-part pour s’en souvenir… Ce qui affaiblit la chaine de sécurité.





Qu’en sais tu ? J’en utilise un qui est “hors formule”, donc totalement différent de ce que j’utilise en ligne, et il en fait 14 avec caractères spéciaux et alpha numérique. Aucune difficulté à le retenir, noté nulle part.



Faut arrêter de croire qu’on ne peut rien retenir.



Par contre, retenir un tas de mots de passe sécurisés (ie, caractères spéciaux, MAJ/Min, dépendant du site/service), j’en conviens, c’est pénible, mais si on se fabrique sa “recette” à mots de passes, finalement, il n’y a que la recette à retenir.


votre avatar

Cette recette est valable quand on connaît la politique de mots de passe du site. Pour reprendre l’exemple de Taleo (pas mal utilisé avec plein de boîtes pour chercher du boulot), un coup il faut 10 caractères sans caractères spéciaux, un coup c’est au moins 8 dont une majuscule et un caractère spécial au minimum,…



Et la politique du mot de passe est affichée uniquement quand on créé un mot de passe (ça serait trop compliqué de la rappeler sur la page de login).



Résultat, mon mot de passe Renault.taleo.net est différent de mon mot de passe saint-gobain.taleo.net, qui est différent de oracle.taleo.net,…



Et j’explique pas la grouille dans le gestionnaire de mot de passe d’OSX pour retenir X mots de passe pour la même racine.

votre avatar

Je l’ai lu. C’est générique et valable pour tous les sites qui sont dupliqués au niveau de la page d’accueil (sites de banque en ligne, etc) :

“ il s’agit tout d’abord pour l’attaquant d’attirer l’utilisateur sur un site malicieux, puis d’afficher une notification indiquant à l’utilisateur que celui-ci a été déconnecté de Lastpass. ”

C’est valable pour tout putain de sites, ce n’est pas une fragilité Lastpass.

votre avatar







MacGuiPro a écrit :



Cette recette est valable quand on connaît la politique de mots de passe du site. Pour reprendre l’exemple de Taleo (pas mal utilisé avec plein de boîtes pour chercher du boulot), un coup il faut 10 caractères sans caractères spéciaux, un coup c’est au moins 8 dont une majuscule et un caractère spécial au minimum,…



Et la politique du mot de passe est affichée uniquement quand on créé un mot de passe (ça serait trop compliqué de la rappeler sur la page de login).



Résultat, mon mot de passe Renault.taleo.net est différent de mon mot de passe saint-gobain.taleo.net, qui est différent de oracle.taleo.net,…



Et j’explique pas la grouille dans le gestionnaire de mot de passe d’OSX pour retenir X mots de passe pour la même racine.





Effectivement, il y a des cas où sa coince… (avec des admins un peu pénibles) mais bon, autant dire que pour la plupart des mots de passe, la recette fera l’affaire. Pour les autres cas, soit je génère un mot de passe que je ne retiens pas en utilisant le “j’ai oublié mon mot de passe”, soit je retiens ce mot de passe particulier.


votre avatar

C’est une bonne recette en effet. En tout cas je remercie le trousseau d’OSX de stocker tout ça pour moi, ça me libère du temps de cerveau pour faire autre chose (comme regarder TF1 <img data-src=" />).

votre avatar

tu oublies le passage où il explique qu’il utilise l’API lastpass pour réellement déconnecter l’utilisateur de lastpass.

et tu oublies aussi qu’il compare avec 1password (il me semble, j’ai pas relu), qui affiche des notifications dans une fenêtre séparée et non dans la page.

il ne s’agit pas d’attirer l’utilisateur vers un site malicieux, ça &nbsp;peut très bien être un site véritable avec une faille XSS, sur lequel il suffit de charger un JS.



comme il le dit: “ au contraire de la plupart des cas de phishing, l’utilisateur ne sera pas sur ses gardes car il ne s’agit pas d’un site sécurisé”. au contraire d’une banque en ligne, justement.



bref, il vaut mieux lire le papier du mec que celui du monde, qui n’est pas le plus précis sur le sujet.

https://www.seancassidy.me/lostpass.html

votre avatar

Haha comme d’hab ^^

votre avatar

&nbsp;Ca sert à quoi de mettre des mots de passe ? <img data-src=" />

votre avatar

Et sinon, ne stockez pas vos mots de passe sur des service en ligne…



LastPass hacké avec une simple attaque phishing

votre avatar

Le problème est qu’avoir un mot de passe sophistiqué pour chaque connexion différente et les mémoriser sans coffre-fort (1Password, StickyPassword, Dashlane etc.) n’est rapidement plus tenable.

Donc l’ANSSI est bien gentille mais ses conseils sont inapplicables in fine.

votre avatar

Une base de mot de passe commune avec un fin variable suivant le site ?

Par contre je ne sais pas ce que ça vaut si un des mots de passe fuite …

votre avatar

<img data-src=" /> n°12 : Au taf, on a 0123456789 comme admin pwd par défaut (à la demande, et à changer)

C’est bon ! On n’est pas dans le top 25, on est protégés ! <img data-src=" />

votre avatar

je faisais ça un moment la première lettre du site, suivie par NextInpactEstMieux&nbsp;<img data-src=" />

votre avatar

Je trouve ça d’autant plus c*n, que la plupart d’entre-nous ont un solde proche de 0.

Alors pourquoi sécuriser à mort quelque chose qui n’a quasiment pas de valeur <img data-src=" /> <img data-src=" />

votre avatar

ce qu’il dit c’est que c’est rendu ultra facile sur lastpass à cause de leur process/API, et du fait que les gens se méfient moins quand c’est pas sur un site “sécu” type banque.

votre avatar







DayWalker a écrit :



Qu’en sais tu ? J’en utilise un qui est “hors formule”, donc totalement différent de ce que j’utilise en ligne, et il en fait 14 avec caractères spéciaux et alpha numérique. Aucune difficulté à le retenir, noté nulle part.



Faut arrêter de croire qu’on ne peut rien retenir.







Bien sur, il existe toujours des gens qui ont un comportement exemplaire en matière de sécurité informatique: des mots de passe complexes, différents pour chaque site, mémorisés, connus de personnes, changés régulièrement, non-réutilisés, etc.



Mais pour la graaaaande majorité des utilisateurs de services en ligne (ceux qui utilisent 123456), un mot de passe de 14 caractères avec alpha/num/spéciaux sera sans doute noté quelque-part “pour s’en souvenir”.


votre avatar

c’est pour mieux te faire chier mon enfant <img data-src=" />

votre avatar







127.0.0.1 a écrit :



Mais pour la graaaaande majorité des utilisateurs de services en ligne (ceux qui utilisent 123456), un mot de passe de 14 caractères avec alpha/num/spéciaux sera sans doute noté quelque-part “pour s’en souvenir”.



La palme à mon chef de projet qui oublie celui de son compte windows à son retour de vacances!

Alors que c’est lui qui l’a choisi et que seuls 2 chiffres ont changé quand il l’a modifié il y a 1 an. <img data-src=" />


votre avatar

Celui qui a 1234 comme code de sa carte bleue doit pas dormir tranquille… (hs)

votre avatar







taralafifi a écrit :



login : admin

pwd :&nbsp;password



Les identifiants de tous nos équipements réseau actifs&nbsp;<img data-src=" />



D’après le DSI, c’est pour éviter le stress de devoir retrouver/taper les identifiants si un problème venait à se produire. On est déjà dans le stress dans ces situations là, il faut simplifier au maximum.





c’est compliqué, faut retenir “admin” ET “password”. Autant mettre admin/admin c’est moins stressant <img data-src=" />&nbsp;


votre avatar

ha ouais là c’est fort



encore heureux qu’il n’ai pas choisi son prénom en guise de pass, il y aurait de quoi s’inquiéter là <img data-src=" />

votre avatar

ben le souci c’est qu’au bout d’un moment t’as oublié à quel numéro t’en es, du passwordXX, à force d’itérer tous les mois. ^^

votre avatar

c’est un peu la théorie du “pourquoi faire simple alors qu’on peut faire compliqué ” en gros <img data-src=" />

votre avatar

ben d’un autre côté, quand t’es obligé de changer tous les mois, ça gave un peu de devoir réinventer un nouveau mot de passe à chaque fois.

le pire c’est au retour de vacances. ^^



je comprend pas pourquoi ils refusent les gestionnaires de mots de passe au taf. c’est n’imp.

on n’a même pas accès au gestionnaire de IE, c’est dire. donc tout dans txt.

forcément, t’as 15 applis, 20 environnements, une dizaine de serveurs, les base de données, etc…

impossible de tous les retenir. ^^

votre avatar

Pour ceux dont les mots de passe au taff sont relou à changer, y a une technique simple:

si votre mot de passe est tomate01, pour le suivant vous incrémentez d’une lettre dans l’alphabet, et le nombre de 1 pour savoir à combien d’occurrence vous en êtes ^^

En gros ça ferait upnbuf02 <img data-src=" />



Bon, c’est un peu chiant, mais on peut toujours le retrouver <img data-src=" />



&nbsp;

votre avatar







hellmut a écrit :



ben d’un autre côté, quand t’es obligé de changer tous les mois, ça gave un peu de devoir réinventer un nouveau mot de passe à chaque fois.

le pire c’est au retour de vacances. ^^

(…)





okj mais faut pas trop simplifier non plus, on est d’accord. Exemple dans un lycée où j’ai bossé , ils avaient foutu les CPE, les profs, l’administration avec le même pass … il n’y avait que la direction qui étaient plus sécurisé



si j’avais voulu, j’aurais pu changer des notes, mettre des conneries sur les fiches élèves, effacer des absences (etc) … ça faisait peur



il n’y avait que la section CPI (Conception Produits Industriels) qui était complétement isolée, ils n’étaient pas con a ce point <img data-src=" />


votre avatar







bompi a écrit :



Le problème est qu’avoir un mot de passe sophistiqué pour chaque connexion différente et les mémoriser sans coffre-fort (1Password, StickyPassword, Dashlane etc.) n’est rapidement plus tenable.

Donc l’ANSSI est bien gentille mais ses conseils sont inapplicables in fine.







Plutôt que d’utiliser des logiciels et des services, faites vous une simple liste avec n’importe quel éditeur standard ou mieux, avec une base de données.



Et pour tous les mots de passe très importants (banque, etc…), faite une liste papier, ne les laissez pas sur un ordinateur.


votre avatar



… recommande d’un choisir un avec « 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire ».





Je sais que c’est un conseil très souvent entendu et il est excellent. Mais j’ai remarqué que beaucoup d’utilisateurs ont des difficultés avec les subtilités du clavier. Donc je ne suis pas persuadé que le fait de mixer la casse et des caractères spéciaux soit forcément la meilleure alternative pour pousser les gens à sécuriser leurs mots de passe.



On pourrait aussi recommander de se contenter d’un mix de caractères standard et de chiffres, mais en allongeant le mot de passe. Par exemple passer de 12 à 15 caractères pour compenser, ce qui revient à peu près au même ordre de grandeur en terme de possibilités.

votre avatar

Avec les nouveaux claviers typiquement Français que les députés nous préparent, les hackers internationaux peuvent toujours se brosser pour trouver nos mots de passe !

votre avatar

ben ouais c’est un des avantages d’avoir des caractères spécifiques à la langue.

faudrait utiliser plus de ç, de à, de è, é, ù dans nos mots de passe.

votre avatar

ça m’est déjà arrivé !!! <img data-src=" />



Mais tu fais comment sur un clavier japonais ? <img data-src=" />

… ça m’est aussi déjà arrivé (de devoir dépanner un directeur “yakuza” ;-) )<img data-src=" />



MAIS cela reste les mots de passe les plus forts et surtout non présents en clair dans ma mémoire et sur un quelconque support : là cela devient assez fort , non ? <img data-src=" />



Là celui du mois est avec plein de caractères tordus que je ne veux pas connaitre !!!!

votre avatar

<img data-src=" />

votre avatar

Cela te laissera certainement plus de temps pour mettre à jour les mots de passe de tes comptes.



Perso, j’essaye d’avoir des mots de passe complexe mais néanmoins mémorisable. Aujourd’hui, ce qui me gave, c’est les sites où tu es contraint d’avoir des mots de passe “faible” genre pas le droit d’utiliser de caractères spéciaux (comme Steam à une époque, c’était même pire, tu pouvais créer ton compte avec mais les caractères n’étaient pas reconnus ensuite…), obligation d’utiliser que des chiffres (Tel que B&You jusqu’à hier soir où ils ont fait leur migration foireuse vers Mon Compte Bouygues), limitation en nombre de caractères (max) qui est parfois très faible (j’avais eu le cas avec 15 caractères) etc.



&nbsp;

votre avatar







hellmut a écrit :



il ne s’agit pas d’attirer l’utilisateur vers un site malicieux, ça  peut très bien être un site véritable avec une faille XSS, sur lequel il suffit de charger un JS.





J’ai lu rapidement son papier, mais le point de départ reste un site malicieux (donc l’utilisateur est déjà pêché dans ce cas là) ou un site véritable avec une faille XSS (donc l’insécurité ou la fragilité n’est pas sur Lastpass).

Ce serait comme de dire : toutes les applications sur Android sont sensibles à une attaque par fishing puisque Android a une faille de sécurité. C’est du bateau !


votre avatar







Kodomaster a écrit :



J’avais lu (je ne sais plus où) que le meilleur mot de passe été de faire une phrase, par exemple : Mapouleponddesoeufs



Perso je fais ça, mais je rajoute des numéro au début et à la fin.





Ma banque a fait le coup ce mois ci. Depuis des années ils utilisaient un système classique de mot de passe que tu choississais tout les 6 mois assez librement donc je pouvais mettre un truc fort et là ils sont passés par ce putain de système de clavier numérique aléatoire à l’écran pour cliquer à la souris et composer un mot de passe à 6 chiffres. Résultat étant donné que je vais pas tout les jours sur le site de ma banque j’ai rentré un truc bidon qui est donc bien moins sécurisé qu’auparavant.

&nbsp;


votre avatar

  • 1 pour les mot de passe constitués de bouts de phrases. C’est simple à retenir et ils sont generalement les mieux sécurisés (faites le test sur les sites de verifications de mot de passe (ex.:http://www.passwordmeter.com/). Si en plus vous trouvez une phrase qui correspond au contexte dans lequel il est utilisé, alors non seulement il est facile à retenir, mais en plus il est tres sécurisé.&nbsp;

    &nbsp;

    Exemple : vous voulez créer un password pour le site Zalando.fr où acheter des chaussures à votre femme ? Essayez ceci :

    MafemmeS0phie?



    Pour votre compte Amazon :&nbsp;

    AuMilieucoule1riviere=



    PS : ma femme ne s’appelle pas Sophie et je n’utilise pas les mots de passes cités ci dessus ;)

votre avatar

<img data-src=" /><img data-src=" />



Sinon, est-ce que le fait de synchroniser aussi ses mots de passe avec Firefox Sync représente un risque ? ce n’est pas un gestionnaire de mot de passe, mais ils sont bien stockés quelque part…

Edit: Je parle ici d’utiliser le serveur officiel de Mozilla, pas d’héberger le sien chez soi.

votre avatar

Faut pas oublier non plus que 80% ou 90% des sites ou on s’inscrit n’ont qu’un intérêt très limité ou temporaire, donc on s’en fiche un peu du mdp.

votre avatar

Technique intéressant mais qui a rapidement une limite. Si un suite à un piratage massif un hacker met en relation deux mots de passes pour un utilisateur donné, il peut en déduire la méthode de création perso et avoir une base solide pour découvrir ceux d’autres sites.

Seul l’aléatoire pur, sans lien avec l’utilisateur ni le site, peut avoir du sens.

votre avatar

Il y avait une étude qui avait montré qu’un site marchand qui ne nécessite pas de se créer un compte avait 30% de ventes en plus.



https://www.shopify.com/blog/8484093-why-online-retailers-are-losing-67-45-of-sales-and-what-to-do-about-it

&nbsp;

votre avatar

Je m’intéresse à la question depuis longtemps, au point de régulièrement tester les solutions en places, ou nouvelles. Et depuis tout ce temps, je m’en tiens à 1Password. Non seulement ça fonctionne bien, mais ils ont une approche que j’apprécie beaucoup : une grande transparence vis-à-vis de leur design, de leurs principes, du fonctionnement des technologies en place. On ne met rien sous le tapis, et c’est ouvert. N’importe qui peut juger de la pertinence de la solution, et voir que c’est extrêmement compliqué a craquer (jamais arrivé de mémoire).



Ils font parti des derniers à ne pas proposer de système dans le cloud, et c’est entrain de changer avec une solution qui me semble mieux sécurise que sur la concurrence.



Encryptr de SpiderOak fonctionne aussi sur le Zero Noledge. Accès via le soft uniquement, stockage chiffré en ligne, déchiffrage en local uniquement. Et gratuit, mais le soft est très basique.



Quoi qu’il en soit, il est toujours délicat de trouver un équilibre en simplicité (faut bien que les gens l’utilisent et gagnent du temps), &nbsp;et la meilleure sécurité. Et encore bien souvent, c’est un problème d’utilisateur.

votre avatar

ma banque fait ça depuis plus d’un an, a chaque fois t’as l’impression de jouer au sudoku …

votre avatar

-DOUBLON-

votre avatar

Et puis une recette reste un “template” commun sur plusieurs mots de passe, et elle peut donc être déduite à partir de deux mots de passe connus pour un utilisateur donné.

votre avatar

Ca semble improbable que des mots de passe plus complexes soient autant partagés que ces mots de passe simples. Donc la liste des mots de passe les plus craqués doit correspondre sensiblement avec celle des plus utilisés. Sans compter que s’il y a des bases sans salage cryptographique parmi celles étudiées, on doit se rendre compte quand un hash est très utilisé mais pas craqué.

votre avatar

“123456” qui a piqué le mot de passe de mes valises ?

votre avatar







bompi a écrit :



J’ai environ 120 mots de passe en stocks (perso/boulot). Donc ça commence à faire, même en ayant une bonne mémoire (disons que j’ai en tête les 30 mots de passe les plus utilisés, pour les 90 autres c’est coton).

J’ai aussi une assez bonne méthode pour en fabriquer des compliqués mais mémorisables. Ce qui est plus difficile est de relier le bon mot de passe au bon site… :-)



Quant à Keepass, lorsque je l’ai essayé, je n’ai pas été convaincu (sans parler de Mono, pfff….)





Faut avoir ton algorythme perso qui dépend de l’URL du site, comme conseillé sur le forum NXI..&nbsp;

Genre “caractère spécial” + “nbre de lettres du site + n” + “mot de passe court dont tu te rappelles” + “ nombre de lettres de l’URL - 2 ou +2” car tu es né le 2 janvier, etc..


votre avatar

Honnêtement, c’est encore le meilleur conseil qu’on puisse donner à quelqu’un de vraiment mal à l’aise avec l’informatique. Le mieux étant un papier dans le porte monnaie, qui reste un ustensile dédié à protéger des petits papiers de valeur dont tout le monde sait se servir.

votre avatar

Ça me semble plus simple de foutre un keylogger dans la machine pour choper le MdP de la base KeePass

votre avatar

ouf, toujours pas mon best passward temporaire <img data-src=" />

votre avatar







raoudoudou a écrit :



ouf, toujours pas mon best passward temporaire <img data-src=" />





Il est peut-être 26e dans le classement <img data-src=" />


votre avatar







bompi a écrit :



Le problème est qu’avoir un mot de passe sophistiqué pour chaque connexion différente et les mémoriser sans coffre-fort (1Password, StickyPassword, Dashlane etc.) n’est rapidement plus tenable.

Donc l’ANSSI est bien gentille mais ses conseils sont inapplicables in fine.

&nbsp;



Ca a probablement été dit dans les réponses précédentes … mais une technique pas mal est de composer un mdp en fonction du site visité … Il suffit&nbsp;de se&nbsp;créer son propre petit algo maison dans sa tête, un truc simple permet d’échapper à n’importe quel crack par dictionnaire, et s’il est assez long à n’importe quel brutforce.


votre avatar

auto hébergement ?

… et avoir 3 types de mots de passe (et pas un de plus) :





  • privée, proche

  • eCommerce

  • réseau sociaux , poubelle (pour moi c idem ;-))







    Mais surtout un mot de passe visuel, une forme que vous dessinez sur votre clavier = même vous vous ne pouvez épeler votre pass !!! p



    Avec ça déjà on est pas mal … mais pas contre une attaque qui bosse autrement !

votre avatar

Quelqu’un aurait des retours / avis sur les gestionnaires de mots de passes physique ?

Cela fait pas mal de temps que j’ai envie de m’offrir celui-ci:http://www.themooltipass.com/ mais il est un peu chère pour mon budget actuel :(

votre avatar

moi je dessine un pentacle…parce que le ouèbe c’est le mal

votre avatar







ledufakademy a écrit :



Mais surtout un mot de passe visuel, une forme que vous dessinez sur votre clavier = même vous vous ne pouvez épeler votre pass !!! p





Et un jour tu te retrouves à devoir taper ton mot de passe sur un clavier non azerty (et même pas un qwerty américain de base), et là c’est le drame.



C’est toujours sympa quand tu fais du teamviewer chez un client dans un pays improbable de devoir sortir notepad pour taper le mot de passe en clair parce que tu ne trouves pas certains caractères.&nbsp;<img data-src=" />


votre avatar

Les passwords sont une vraie plaie pour les utilisateurs: c’est chiant a générer, c’est chiant a se souvenir, c’est chiant à taper.



Faut pas s’étonner que les gens soient peu réceptifs quand on leur dit de rendre ca encore plus chiant en choisissant des passwords du genre F14|z#aH^Z!78.



Leur bon sens leur commande soit de mettre le même mot de passe “compliqué” partout, soit de mettre un mot de passe “compliqué” seulement sur les sites sensibles (banque, ….) et de mettre des mots de passe simple sur les autres sites (genre “nom du chien + année” = sultan2016)

votre avatar

Il y a une bonne solution:http://www.passwordcard.org/fr

votre avatar

Le pire c’est en entreprise quand on te demande tout les 3 mois de changer ton mot de passe et qu’en plus tu peux pas réutiliser un précédent ce qui fait qu’au final tout s’en cogne et rajouter un incrément à la fin au fil du temps. Bien sûr avec un mot de passe généralement simple parce que c’est le taf et que tu t’en cogne du mot de passe que tu vas oublier à chaque fois que tu pars en congés. Puis bon il faut déjà que le type est accès à ta machine donc qu’il entre dans la boite pour commencer à vouloir essayer d’ouvrir ta session. lol

Une entreprise a plus de chance de se taper une intrusion dans les serveurs depuis l’extérieur que de voir un type débarqué par effraction ou frauduleusement et s’asseoir à un bureau pour accéder à un serveur depuis un poste client.

Parfois c’est abusé les niveaux de sécurité démesuré quand même.



Niveau particulier, comme beaucoup c’est plus ou moins les mêmes mot de passe d’un site à l’autre. Je me suis pas fait une base énorme en tête. Puis généralement les sites que je visites tout les 36 mois j’oublie le mot de passe alors soit je me prend un blocage pour 3 tentative infructueuse soit je génère via mon adresse mail un nouveau mot de passe. lol

votre avatar

Le plus chiant c’est de devoir les changer. J’ai connu des boîtes où le niveau des passwords était faible (uniquement alphanumérique avec des minuscules, pas de caractères spéciaux, et 8 caractères en tout), et où il fallait les changer tous les 3 mois. C’est chiant, et d’une sécurité plus faible à mon sens qu’un unique password de 15 caractères incluant minuscules, majuscules et caractères spéciaux.

votre avatar







Jarodd a écrit :



Et sinon, ne stockez pas vos mots de passe sur des service en ligne…



LastPass hacké avec une simple attaque phishing





oh ptin….. je me remercie de ne jamais avoir fait confiance à ce genre de solution <img data-src=" />


votre avatar







Texas Ranger a écrit :



auto:root







C’est le mot de passe ? Ou bien tu configures pour un shell root autologin ? <img data-src=" />


votre avatar







FunnyD a écrit :



C’est bon, il n’y a pas Sarkozy2017. <img data-src=" /> Je peux le garder.





Je préfère le miens “Cthulhu2017”, il est plus grand.







thekamaster a écrit :



Quand tu sais que les chiffres sont ce qui sortent par défaut sur le clavier qwerty (pas besoin de faire shift), ça revient au même que qwertyuiop, sauf que c’est avec les deux premières “colonnes” au lieu de la première “ligne” :)





Ha oui, merde. En effet, ça casse totalement le truc en faite.


votre avatar

en gros c’est les 8 premières touches d’un clavier qwerty, dans un ordre naïf (haut en bas et gauche vers droite) c’est très facile à se rappeler.

J’ai eu des clients qui utilisaient la même méthode mais avec les 9 premières lettres d’un AZERTY : “azeqsdwxc” … bref … c’est plus moche qu’un 123456 mais tout aussi facile à deviner



edit : grilled

votre avatar

qui a été hacké dernièrement avec Keefarce :github.com GitHub

votre avatar

Quitte a utiliser LastPasse, KeePass ou autre, je suggère toujours à mes amis tête de linottes de le faire, mais de rajouter un autre mot unique en combinaison (mais de toute façon générer le mdp, car sinon c’est to easy)



Par exemple, si le mdp facebook généré sur keepass est 12rt45yu et pour google 5es58r4z5 (je tape au pif là ^^), autant rajouter un mot arbitraire unique sur chacun des mdp –&gt; coucou12rt45hibou&nbsp;pour fb et coucou5es58r4z5hibou pour google (à mon sens, on gagne beaucoup en sécurisation, à condition que ce ne soit pas le code de dévérouillage du coffre fort)

votre avatar

toi t’as pas lu l’excellent topo de comment créer un mot de passe sécurisé et différent pour chaque site sur le forum

votre avatar

de base lastpass c’est mot de passe aléatoire avec majusucule et mot spéciaux sur 14 caractères donc c’est ecore plus sécurisé que ce que tu proposes au pire tu allonges le mot de passe si tu veux que ca soit plus sécurisé…

votre avatar







tazvld a écrit :



Je préfère le miens “Cthulhu2017”, il est plus grand.





sinon y a la version un peu plus hard du genre “NickTaMerePourTrouverCeMotDePasse”



<img data-src=" />


votre avatar

Bah y a aussi pas de mot de passe…



Déjà vu pas mal de fois en milieu professionnel, ou le partage de mots de passe (avec des mots de passe “perso”, facile après de faire mumuse avec leurs compte email/face de boucs…)

votre avatar

bande de naze il faut au moins plusieurs couple de mots de passes pour différents sites



allé, je vais être gentils je vous en donne 2 bons que j’utilise très souvent et jamais j’ai été piraté!!! <img data-src=" />

admin:admin

test:test


votre avatar







XMalek a écrit :



qui a été hacké dernièrement avec Keefarce :https://github.com/denandz/KeeFarce &nbsp;





Ouf, j’utilise OSX ;-)


votre avatar

“elle analyse les&nbsp;bases de données qui ont été dévoilées sur Internet”C’est normal que les mots de passes qui ont fuités sur le net soient les plus simples, ca ne veut pas forcément dire qu’ils sont les plus utilisés.&nbsp;

&nbsp;

&nbsp;Ca ne peut pas être en partie les mêmes bases que les années précédentes (genre des mots de passe qui n’ont pas été changés car abandonnés)?

votre avatar

C’est mon tatouage.

votre avatar







domFreedom a écrit :



<img data-src=" />



Prends Sarkozy2017LaFrancePourLaVie tu seras plus “secure”… <img data-src=" /><img data-src=" /><img data-src=" />



Sarkozy2017PlusbellelaVieavecluietLouisenpremierministrepoursauverlafranceetleuropedesvaguesdemigrants





tazvld a écrit :



Je préfère le miens “Cthulhu2017”, il est plus grand.





Nyarlatothep2017 <img data-src=" />



jeje07bis a écrit :



sinon y a la version un peu plus hard du genre “NickTaMerePourTrouverCeMotDePasse”



<img data-src=" />





ou la version avec fôtes d’orthographes : “SSeMeau2PaçeCé2laBal2B0l0ss!!!!”


votre avatar

yep, mais le gars qui récupère ta base, si c’est écrit 1p@ssw0rD comme mot de passe pour un site, même avec les maj et les chiffres comme présentement, il les as. Alors que si tu laisse&nbsp;1p@ssw0rD dans ton coffre fort mais que tu combines avec le mot choisi comme mot de passe commun, par exemple T@gaz0k, &nbsp;il ne saura jamais que le vrai mot de passe pour le site est T@gaz0k1p@ssw0rD

votre avatar

Effectivement j’avais pas compris oui c’est une peu plus sécurisé :) (mêm si en combinant avec un site hacké tu peux vite comprendre la relation :p



Sinon à quand l’obligation d’implémentation de second facteur sur tous les sites sensibles (genre yubikey&nbsp; ? (qui n’est âs un second facteur fixe))

votre avatar







L’eclaireur a écrit :



“elle analyse les&nbsp;bases de données qui ont été dévoilées sur Internet”C’est normal que les mots de passes qui ont fuités sur le net soient les plus simples, ca ne veut pas forcément dire qu’ils sont les plus utilisés.&nbsp;

&nbsp;

&nbsp;Ca ne peut pas être en partie les mêmes bases que les années précédentes (genre des mots de passe qui n’ont pas été changés car abandonnés)?





Même si ton mot de passe c’est “ n)çezcnç_NH°932BNcnnçà=é”c ^é”c_é”c )éç”c )é”qcq” si un site pourri l’a stocké en clair dans sa base il fuitera autant que password.


votre avatar







kvasir a écrit :



Même si ton mot de passe c’est “ n)çezcnç_NH°932BNcnnçà=é”c ^é”c_é”c )éç”c )é”qcq” si un site pourri l’a stocké en clair dans sa base il fuitera autant que password.





exactement.

c’est pour cette raison que depuis presque 20 ans je n’ai jamais eu de mot de passe vraiment très compliqué, et aucun problème de piratage.

pour trouver un mot de passe sans hacker la base de données qui va bien, faut déjà se lever de bonne heure je pense.


votre avatar

c’est le pw voyont, j’aurais dû mettre root:auto <img data-src=" />

votre avatar

SarkoEstUnHonneteHomme est simplement le mot de passe le plus secure car le plus improbable pour 95% des français. <img data-src=" />

votre avatar

Toi, tu lis pas les commentaires du Figaro (pas le Gorafi, l’original). C’est pas rare de voir des gens l’affirmer (regarde ce qui se dit sur la news du livre de Sarko, y’a des gens prêts à l’acheter et le traiter comme leur nouvelle Bible). <img data-src=" />

votre avatar

“Why Choose for Lesser Evil” comme disaient les slogans dans le temps <img data-src=" />

votre avatar

Azathoth 2017 et 2022 (comme Absalom tiens <img data-src=" />), 2027, …, 4 123 878 927, … <img data-src=" />

votre avatar

J’ai environ 120 mots de passe en stocks (perso/boulot). Donc ça commence à faire, même en ayant une bonne mémoire (disons que j’ai en tête les 30 mots de passe les plus utilisés, pour les 90 autres c’est coton).

J’ai aussi une assez bonne méthode pour en fabriquer des compliqués mais mémorisables. Ce qui est plus difficile est de relier le bon mot de passe au bon site… :-)



Quant à Keepass, lorsque je l’ai essayé, je n’ai pas été convaincu (sans parler de Mono, pfff….)

votre avatar

Moi, mon mot de passe est “introuvable” (merci Scènes de Ménage) <img data-src=" />

votre avatar

Pour un usage domestique, le papier et le crayon reste un bon moyen simple de stocker tes mdp sans que quelqu’un puisse les récupérer à distance. Il te suffit de bien ranger ton cahier. <img data-src=" />

votre avatar







MacGuiPro a écrit :



Toi, tu lis pas les commentaires du Figaro (pas le Gorafi, l’original). C’est pas rare de voir des gens l’affirmer (regarde ce qui se dit sur la news du livre de Sarko, y’a des gens prêts à l’acheter et le traiter comme leur nouvelle Bible).&nbsp;<img data-src=" />





constaté IRL auprès d’un collègue



&nbsp;





XMalek a écrit :



Effectivement j’avais pas compris oui c’est une peu plus sécurisé :) (mêm si en combinant avec un site hacké tu peux vite comprendre la relation :p



Sinon à quand l’obligation d’implémentation de second facteur sur tous les sites sensibles (genre yubikey&nbsp; ? (qui n’est âs un second facteur fixe))





En effet, mais ça demande au hacker de vraiment cibler ton compte…&nbsp;


votre avatar

est-ce que je peux faire un procès à NXI pour avoir publié en clair dans cet article mon mot de passe ?

(bon ce qui fait plaisir quand même c’est que je suis bien classé)

&nbsp;

surtout que je n’en ai qu’un seul et que je l’utilise sur tous les sites, y compris celui de ma banque.

votre avatar

C’est une question sérieuse pour qui travaille ou connait un peu la problématique de la sécurité informatique !



ma réponse ? quasi à rien quand l’attaque est sérieuse.

votre avatar

ou “interdit” (merci un ticket pour l’espace)

votre avatar

Commentaire non valide :

Tout accès site web peut être compromis par une attaque de phishing. Lastpass n’est pas moins fragile ou fort que n’importe quel autre service en ligne (par exemple Gmail) sur la base de cette raison de phishing.

Si l’utilisateur est con et se fait avoir par un spam phishing, c’est un problème d’interface chaise clavier, pas de sécurité technique.

votre avatar

&nbsp;si tu lisais le papier du mec, tu comprendrais que son attaque est vachement facilitée par l’interface de lastpass.

c’est aussi une question de conception du site.

votre avatar

password de 15 caractères “compliqué” qui est forcément noté quelque-part pour s’en souvenir… Ce qui affaiblit la chaine de sécurité.

votre avatar

A force on finit par le retenir. Si on ne doit pas changer son password tous les trois mois, on finit par le retenir. Effectivement, au début on commence par avoir un petit papier dans le portefeuille, mais à terme on le retient.



Et mes passwords “simples”, je finissais pas les noter pour les premiers jours également. Donc tous les trois mois il y a un nouveau post-it qui traîne pendant 4 ou 5 jours. :)

votre avatar







Zig76 a écrit :



Il y a une bonne solution:http://www.passwordcard.org/fr







Super. Tu perds ton portefeuille (ou ta carte) et tu perds tous tes mots de passe d’un coup. <img data-src=" />



Mais bon, ce site a une solution: Ceci est le numéro de série de votre carte. Conservez le dans un endroit sûr! Lorsque vous voudrez réimprimer votre carte, entrez son numéro de série ici et pressez entrée



Donc faut conserver ailleurs un autre password… En gros, un keepass fait à la main.


votre avatar

ouais pour les banques t’as pas le choix c’est que des chiffres (bon le pavé mélange aléatoirement les chiffres à l’écran) <img data-src=" />

votre avatar

le pire c’est que certaines boites bloquent l’utilisation de gestionnaires de pass.

hier je me suis dit: tiens je vais me télécharger keepass pour le boulot, ça va me simplifier la vie.

blocage “virus détecté”, lol. par mail idem.



résultat j’ai tout en clair dans un txt, osef.

votre avatar

J’avais lu (je ne sais plus où) que le meilleur mot de passe été de faire une phrase, par exemple : Mapouleponddesoeufs



Perso je fais ça, mais je rajoute des numéro au début et à la fin.

votre avatar

Le cahier, le papier et le crayon, je l’ai déjà dit, haha.

Il faut avoir un accès physique pour un piratage alors qu’un service en ligne de centralisation de mdp&nbsp;peut être piraté à distance. <img data-src=" />

votre avatar

le plus chiant c’est les site qui imposent leur propre format de mdp …



parce que du coup le mdp que je veux utiliser n’est pas compatible… je suis obligé d’en trouver un qui colle dont je vais me souvenir… résultat je mets un truc bidon et le pire c’est que je m’en rappellerai même pas …



pas plus tard que ce matin, j’installe un jeu, il me demande de choisir un code de 6 chiffres à entrer à la souris … bas j’ai pris ma date de naissance parce que clairement je vais pas m’en souvenir sinon, le jour où il me le redemandera…

votre avatar

Ce qui marche aussi c’est de faire une phrase longue, genre “Cendrillon mange des pommes, parce qu’elle aime Apple; d’ailleurs elle a 7 iPhones”, et de garder les initiales et la ponctuation. Dans mon cas ça donnerait Cmdp,pq’eaA;d’aea7i”. C’est un peu long, mais on peut faire plus court.

votre avatar

C’est un vrai problème en effet. Entre les sites qui obligent à avoir majuscule/minuscule/caractères spéciaux, et ceux qui l’interdisent (je n’ai plus d’exemple en tête, mais ça existe), je finis par avoir des variations du même mot de passe.



Ah, si, Taleo est particulièrement chiant, selon la compagnie qui l’a paramétré.

votre avatar







shadowfox a écrit :



Le cahier, le papier et le crayon, je l’ai déjà dit, haha.

Il faut avoir un accès physique pour un piratage alors qu’un service en ligne de centralisation de mdp peut être piraté à distance. <img data-src=" />







je faisais ça avant, et puis j’ai reçus des amis à la maison… le papier était posé à côté du pc et je leur ai montré un truc sur le pc … quand ils sont parti j’ai du changer tout mes mdp (au cas ou) <img data-src=" />


votre avatar

le pire c’est celui d’Apple.

quelle prise de tête pour pondre un mot de passe valide.

votre avatar

Sauf que le “papier/crayon” disparait au profit de l’application bloc-note du smartphone.



D’une manière générale on peut même prédire que toute la chaine de sécurité sera aussi solide que son maillon le plus faible: le code pin du smartphone. <img data-src=" />

votre avatar

Jusqu’à il y a peu j’avais un truc simple (8 caractères, minuscules et chiffres), et ils m’ont imposé je ne sais pas trop comment de devoir le changer (genre avec un nouvel iOS ou un nouvel iPhone), et bien j’ai gardé le même mais avec une majuscule. Ca passe. <img data-src=" />

votre avatar

C’est la solution que j’utilise, du genre basecommune-nomduservice.

Mais il y a toujours les problèmes suivants :





  • les site/service qui te limitent dans le choix du mdp (du genre max x caractères, uniquement chiffres et lettres…



  • Le nom du service lorsqu’il est compliqué : autant facebook ou steam ça va, par contre quand il y a 15 mots dans le nom (pas d’exemple en tête là)



    &nbsp;

Les pires mots de passe de l’année 2015 : les habitudes ont la vie dure

  • Des mots de passe plus longs, mais pas forcément plus sécurisés

  • Les recommandations de l'ANSSI

Fermer