Choisir un bon mot de passe : les règles à connaître, les pièges à éviter
Non, ************ n'est pas une bonne idée
Choisir un bon mot de passe n'est pas toujours simple, mais c'est un enjeu de sécurité toujours relativement important. Faut-il qu'il soit plutôt long ou qu'il contienne des caractères spéciaux ? Existe-t-il des techniques pour en générer qui soient facilement mémorisables ? Quelles sont les consignes à respecter ? On fait le point.
Au fil des mois, les annonces de fuites de données personnelles se multiplient, entrainant dans leur sillage les identifiants et mots de passe de millions d'utilisateurs. Il faut alors en changer.
Car la découverte d'un mot de passe peut vite faire boule de neige et avoir des conséquences importantes lorsqu'il s'agit du compte de messagerie ou que le mot de passe est utilisé sur différents sites. Le cas de Dropbox, dévoilé cette semaine, illustre d'ailleurs assez bien cette problématique dans un environnement professionnel.
Et bien que nombreux sont ceux qui cherchent à mettre à mort le mot de passe, en le remplaçant ou en le complétant par des liens générés à la demande ou de la biométrie, il est toujours là et devrait encore faire partie de notre quotidien pour de nombreuses années.
Se pose alors la question du choix d'un bon mot de passe et de l'hygiène numérique qui va avec. Nous avons décidé de nous pencher sur la question, de la création à la gestion de ces suites de caractères si importantes au sein d'un dossier qui sera diffusé tout au long du mois.
Un bon mot de passe, c'est quoi exactement ?
Avant d'étudier les différentes manières de choisir un mot de passe, il est important de définir ce que l'on appelle communément un bon mot de passe... et ce n'est pas chose aisée. Comme l'explique l'ANSSI, « en réalité, il n’existe pas de règle universelle » et de nombreux facteurs entrent en ligne de compte.
Le premier d'entre eux est certainement « sa force », ce qui correspond à sa capacité à résister à une attaque par énumération de toutes les combinaisons possibles. Plus le mot de passe est long et avec des caractères spéciaux, plus le nombre de combinaisons grimpe. Pour un code PIN à quatre chiffres par exemple, il n'existe que 10 000 combinaisons (de 0000 à 9999), alors qu'il y a en a plus de 450 000 pour un mot de quatre lettres (26^4) et plus de 7 300 000 si on ajoute des majuscules (52^4).
Pour vous faire une petite idée de la résistance d'un mot de passe à une attaque par force brute, l'ANSSI propose un petit outil. Il vous donne la taille de la clé équivalente (en bits), ainsi qu'une grille de lecture permettant de le situer (de très faible à fort). Pour avoir une bonne résistance, l'ANSSI recommande d'utiliser un mot de passe d'au moins 16 caractères dans un alphabet de 90 symboles (lettres, chiffres et caractères spéciaux).
Maintenant que les bases théoriques sont posées, passons à la pratique. Comme nous l'avons déjà expliqué, il n'y a pas de méthode universelle, juste un peu de bon sens et quelques astuces qui peuvent s'avérer utiles.
Résister à une attaque par force brute est une chose, mais il faut aussi que le mot de passe ne soit pas sensible à une attaque par dictionnaire. Pour cela, il ne doit pas s'agir d'un mot usuel de votre langue (et de n'importe quelle langue d'ailleurs). Par exemple, « password » est à proscrire, tout comme « catapulte ». Il ne faut également pas utiliser une suite logique telle que « 123456789 », « azertyuiop », « azeqsd123456 », etc.
Pour mieux cerner le problème, vous pouvez consulter la liste des pires mots de passe de l'année 2015 (Certains font d'ailleurs assez peur). Cette liste est basée sur les occurrences qui reviennent le plus souvent sur les bases de données qui ont fuité sur Internet, facilitant d'autant l'accès aux comptes des personnes concernées.
Sachez d'ailleurs que le site Have I Been Pwned permet de rechercher son identifiant/email dans les bases de données qui ont été publiées sur Internet. Le cas échéant, le site vous donne le service qui a laissé filtrer votre identifiant, la date à laquelle cela s'est passé et les autres données personnelles qui y étaient éventuellement associées.
Quelques recommandations à prendre en compte
Outre les éléments que nous venons d'évoquer, il y a tout un ensemble de règles qui peuvent être à prendre en compte dans la quête d'une bonne hygiène numérique :
- Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts
- Choisissez un mot de passe qui n’est pas lié à votre identité (nom de société, date de naissance, prénoms, etc.)
- Ne donnez jamais à personne votre mot de passe, sous aucun prétexte
- Ne tapez pas vos mots de passe sur une machine en laquelle vous n'avez pas totalement confiance
- Ne stockez pas vos mots de passe en clair sur votre ordinateur ou sur un post-it
- Ne vous envoyez pas vos mots de passe par email, SMS, pigeon voyageur, etc.
- Changez immédiatement vos mots de passe à la moindre suspicion de fuite
- Supprimez les emails de service qui envoient le mot de passe et/ou login lors de l'inscription
- Modifiez dès que possible les mots de passe par défaut de tous les systèmes/comptes
- N'utilisez pas d'expression simple comme « motdepasse » et/ou des suites de chiffres et de lettres
Pour les données sensibles (banques, correspondances privées, médicales, etc.) l'ANSSI va plus loin et recommande également de configurer vos logiciels et navigateurs (voir cette actualité à ce sujet) pour qu'ils ne se souviennent pas de vos mots de passe et de les changer tous les 90 jours. La récente fuite chez Opera ne peut que lui donner raison, les navigateurs ne stockant pas toujours les mots de passe de manière chiffrée localement.
- Accéder aux recommandations de l'ANSSI
- Accéder aux recommandations de la CNIL
- Accéder aux recommandations du CERN
Pour aller plus loin dans la sécurité informatique, sachez que l'ANSSI a publié l'année dernière un guide complet des bonnes pratiques à adopter.
Une simple phrase peut devenir un mot de passe compliqué
La CNIL recommande de son côté d'utiliser au minimum huit caractères et de piocher dans au moins trois types de symboles parmi les quatre existants : majuscules, minuscules, chiffres et caractères spéciaux. Pour d'autres, il est temps de passer à au moins dix caractères, tandis que l'ANSSI pousse jusqu'à 12 caractères, voire 16.
Mais comme nous l'avons déjà expliqué, la longueur d'un mot de passe ne fait pas tout et si c'est pour y coller « 123456789101112131415 » ou « aqwzsxedcrfvtgbyhn », cela ne sert à rien. La CNIL, rejointe par l'ANSSI et d'autres organisations, proposent des moyens mnémotechniques permettant de créer rapidement des mots de passe complexes à partir d'une phrase :
Vous pouvez évidemment adapter cette technique à votre sauce, avec vos propres règles. Il est d'ailleurs important de s'approprier une méthode unique et de ne pas reprendre celles que l'on peut trouver sur Internet sans aucun ajustement.
Poème, formule mathématique : le CERN déborde d'idées
Dans la même veine, le CERN explique que vous pouvez choisir quelques lignes d’une chanson ou d’un poème et utiliser la première lettre de chaque mot. Par exemple, « In Xanadu did Kubla Kahn a stately pleasure dome decree! » devient « IXdKKaspdd! ». Vous pouvez également utiliser une phrase de passe longue composée de l'ensemble des mots collés les uns aux autres. (InXanaduDidKublaKahnAStatelyPleasureDomeDecree!). Facile à retenir, avec une résistante importante et déclinable pour générer autant de mots de passe/passphrases que nécessaire.
Si vous êtes plus scientifique que littéraire, vous pouvez vous servir d'une formule mathématique comme mot de passe : « sin^2(x)+cos^2(x)= 1 » et « ax²+bx+c=0 » par exemple. Évitez par contre « e=mc² » qui est vraiment trop courte, ainsi que des formules sur lesquelles vous travaillez.
Décidément inspiré sur cette question, le CERN explique que vous pouvez aussi alterner les consonnes et les voyelles pour créer un mot de passe qui ne veut absolument rien dire, mais que l'on peut plus ou moins prononcer et retenir facilement. Quelques exemples pour ce faire une idée : « Weze-Xupe » ou « DediNida3 ». Un concept que l'on peut décliner à l'infini ou presque.
La méthode de Diceware : cinq dés et une liste de mots
Dans un registre un peu différent, une planche de xkcd revient souvent lorsque l'on aborde mot de passe. Elle rappelle que si le premier « Tr0ub4dor&3 » semble compliqué et difficile à retenir à première vue, il n'est pas forcément plus robuste que « correcthorsebatterystaple » qui est sûrement plus simple à mémoriser (il est construit en collant plusieurs mots les uns à la suite des autres) :
Cette technique, dérivée de la méthode Diceware, est mise en avant par plusieurs organisations comme le service de Fédération d'Équipement Informatique et Réseau de l'institut universitaire de Brest (Feiri) et l'Electronic Frontier Foundation (EFF).
Le principe est simple : vous lancez cinq fois de suite un dé à six faces, pour obtenir un nombre à cinq chiffres (de 11 111 à 66 666). Vous récupérez ensuite le mot correspondant dans la liste des mots du dictionnaire Diceware et vous répétez l'opération cinq fois de suite pour récupérer cinq mots qui, mis bout à bout, constituent votre mot de passe.
L'EFF a récemment proposé sa propre version mise à jour de cette liste (en anglais) afin d'y intégrer des mots un peu plus longs en moyenne. De son côté, le Feiri de Brest en propose une version française pour ceux qui préfèrent la langue de Molière. Si vous avez connaissance d'autres listes de ce genre, n'hésitez pas à les signaler dans les commentaires afin que le reste de la communauté en profite.
Mais cette méthode ne fait pas l'unanimité non plus. Pour le spécialiste Bruce Schneier, le fameux exemple « correcthorsebatterystaple » de XKCD n'est « plus un bon conseil » car les logiciels pour craquer les mots de passe planchent déjà sur ce système (et ce depuis quelques années maintenant).
Un indicateur intéressant à prendre en compte : l'entropie
Il n'est donc pas toujours facile de s'y retrouver, mais des techniques permettent néanmoins de se faire une idée un peu plus précise de la robustesse d'un mot de passe : l'entropie (exprimée en bits). Derrière ce nom, se cache un indicateur qui permet de mesurer plus finement la force et la résistance d'un mot de passe en ne se basant pas que sur sa longueur, mais sur le nombre de combinaisons possible.
Sur le blog de Dotnico on retrouve de plus amples détails sur la définition de l'entropie d'un mot de passe, ainsi que sur les formules mathématiques derrière cette notion. On retrouve de plus en plus cette méthode, sans forcément s'en rendre toujours compte. Par exemple, lorsqu'un service affiche des codes couleur en fonction du mot de passe que vous tapez (rouge, orange et vert), il peut se baser sur sa longueur uniquement, mais aussi sur son entropie. Ainsi, un mot de passe de 12 caractères peut être indiqué comme mauvais, alors qu'un autre de 8 sera validé.
En 2012, Dropbox diffusait sur GitHub le code d'un petit outil de test de mot de passe qui se basait notamment sur cette notion d'entropie (mais pas seulement) : zxcvbn. Celui-ci donne de précieuses informations sur le temps estimé pour le trouver, sa robustesse et, le cas échéant, propose des idées afin de l'améliorer.
Entrez « 123456789 » et il répondra qu'il faudra généralement moins d'une seconde pour le trouver et qu'il fait partie du top 10 des mots de passe les plus courants... bref, à éviter comme on peut s'en douter. Même chose pour la suite « aqwzsxedcrfvtgbyhn » qui demande entre quelques secondes et mois pour être cassée.
Avec l'exemple « correcthorsebatterystaple » proposé par xkcd, l'outil détecte bien qu'il s'agit de quatre mots collés les uns aux autres et indique qu'il faudrait 8 heures à un ordinateur capable de traiter 10 milliards d'opérations par seconde, alors qu'il ne faudrait que 10 secondes pour « Tr0ub4dor&3 ».
Si l'on prend l'exemple de la formule « sin^2(x)+cos^2(x)= 1 » proposé par le CERN, le temps de traitement passe à 31 ans alors qu'il faudrait des siècles pour venir à bout de la passphrase « InXanaduDidKublaKahnAStatelyPleasureDomeDecree! ».
Activer la double authentification... quand c'est possible
Il est possible d'aller plus loin et de renforcer la sécurité d'un mot de passe avec une double authentification. Pour cela, le service peut envoyer un code par SMS (mais cette méthode a ses limites) ou bien utiliser une application sur mobile. Ainsi, le mot de passe seul ne servira pas à grand-chose à un pirate.
Plusieurs grands services ont d'ores et déjà sauté le pas. C'est le cas d'Amazon (voire notre guide), Blizzard, Dropbox, Google, Twitter, GOG, etc. Pensez à faire de même sur vos NAS puisque Asustor, Synology ou encore QNAP proposent une telle fonctionnalité.
Dans la mesure du possible, il est recommandé d'ajouter une couche de sécurité supplémentaire. D'autant plus que les services permettent généralement de définir une machine comme étant fiable et n'ayant donc plus besoin d'une double authentification par la suite. Pratique pour son ordinateur de bureau par exemple (mais à éviter sur un portable qui peut facilement être perdu ou volé).
L'usage d'une clé USB U2F commence à se répandre
En plus des méthodes que nous venons d'évoquer, d'autres solutions se développent rapidement ces derniers temps. C'est par exemple le cas du standard U2F (Universal 2nd Factor) qui est géré par la FIDO (Fast IDentity Online) Alliance. Il s'agit pour rappel d'une fonctionnalité que nous avons détaillée dans cette actualité.
Dans la pratique, il suffit de brancher une clef USB U2F (on en trouve à moins de 10 euros) à votre ordinateur et parfois presser un bouton pour générer un code pouvant être vérifié par un service tiers. Par contre, pour que cela fonctionne, vous devez avoir lié une ou plusieurs clefs USB à votre compte. Un site de démonstration est disponible ici.
Plusieurs services comme Dropbox, GitHub ou Google les prennent en charge, tout comme certaines applications telles que Dashlane par exemple. Ce genre de clef peut aussi avoir d'autres usages, notamment dans le cas des Yubikey, pour peu que vous aimiez bidouiller un peu.
Privilégiez des services qui ont une bonne politique de gestion des mots de passe
Dans la mesure du possible, il faut privilégier des services proposant une connexion sécurisée (HTTPS) dès le formulaire de saisie du mot de passe pour éviter qu'il ne soit diffusé en clair, surtout si vous êtes sur un réseau Wi-Fi public ouvert (ce qui est à éviter). Problème, ce n'est pas toujours possible.
En outre, il faut éviter les services qui vous (r)envoient votre mot de passe en clair lors de l'inscription ou d'une demande de réinitialisation. Comme nous l'avions expliqué, cette pratique était encore répandue en 2012 et persiste toujours aujourd'hui. N'hésitez d'ailleurs pas à alerter la CNIL lorsque vous rencontrez pareils cas.
Attention aux outils en ligne pour tester et générer votre mot de passe
Que ce soit pour l'outil de l'ANSSI ou de Dropbox, il est important de préciser une règle importante : ne saisissez JAMAIS un mot de passe que vous utilisez sur un site en ligne qui se propose de vérifier sa solidité, même si celui-ci semble digne de confiance. Il peut très bien l'enregistrer dans une base de données et l'ajouter à son dictionnaire pour l'utiliser plus tard. Entrez un mot de passe qui lui ressemble dans la construction et la longueur, mais jamais le vôtre (ou trop proche du vôtre).
Il en est de même pour la génération d'un mot de passe. De nombreux sites se proposent de le faire pour vous, en prenant soin d'appliquer des règles strictes et fournir un mot de passe qui semble effectivement fort. Néanmoins, rien n'empêche de l'ajouter dans un dictionnaire maison afin de le garder au chaud pour plus tard.
Des solutions existent pour générer des mots de passe hors ligne
Il existe néanmoins des solutions qui permettent d'en générer localement sur votre ordinateur. Là encore, on recommandera d'être prudent et de passer par des solutions open source et/ou dont le code a été analysé de près par des experts indépendants.
C'est par exemple le cas de KeePass qui propose un générateur facile à prendre en main et performant (pensez d'ailleurs à ajouter de l'entropie via des mouvements de la souris ou des frappes aléatoires au clavier. Ce logiciel fait aussi office de gestionnaire de mots de passe, mais nous aurons l'occasion d'y revenir dans un prochain article.
Si vous avez GnuPG installé sur votre machine (voir notre dossier sur le chiffrement), vous avez aussi la possibilité de l'utiliser pour générer un mot de passe avec un nombre de caractères de votre choix via une simple ligne de commande. Voici par exemple ce qu'il faut taper pour générer un mot de passe de 30 caractères :
gpg --gen-random --armor 2 30
Faut-il changer régulièrement son mot de passe ?
Maintenant que vous avez trouvé un bon mot de passe, répétez l'opération autant de fois que nécessaire pour chaque service. Tout le monde s'accorde en effet pour dire qu'un mot de passe ne doit être utilisé que pour un seul service afin d'éviter une cascade de piratages en cas de fuite.
Mais la question qui vient juste après est de savoir s'il faut le changer régulièrement. Là, deux écoles s'opposent. La CNIL, l'ANSSI et le CERN par exemple, recommandent de le faire régulièrement, alors que d'autres comme Lorrie Cranor (technologue en chef à la FTC et membre du conseil d'administration de l'EFF) et le cryptologue Bruce Schneier prônent le contraire.
L'explication est en fait simple : oui changer son mot de passe régulièrement est une bonne idée, mais à condition de bien le faire. Il ne faut pas reprendre son ancien en appliquant simplement une petite modification (majuscule sur une des lettres, répétition d'un caractère à la fin, etc). Lorrie Cranor explique que les pirates sont au fait de ces techniques depuis longtemps et ont adapté leurs algorithmes en conséquence (voir cette étude).
Pour d'autres au contraire, changer de mot de passe régulièrement est important, notamment parce qu'une personne peut vous observer lorsque vous le saisissez ou bien arrive à le découvrir en fouillant sur votre ordinateur ou sur le réseau. Par exemple, si vous tapez accidentellement votre mot de passe à la place de votre nom d’utilisateur, il peut apparaitre dans les logs système sur certains serveurs. Pour les données sensibles, il est conseillé de le changer lorsque vous l'avez utilisé sur une machine qui n'est pas réputée « sure ». Bref, on n'est jamais trop prudent.
Tout le monde s'accorde par contre sur certains points. En cas de fuite de données (même simplement suspectée sans confirmation), il faut impérativement – et sans attendre – changer votre mot de passe. Idem si vous l'avez saisi sur une machine publique ou qui n'est pas réputée sûre. Un keylogger peut avoir été installé afin de récupérer l'ensemble des frappes au clavier.
Les gestionnaires de mots de passe pour éviter de devoir en mémoriser des dizaines
Bref, vous l'aurez compris, la sécurité est un point qu'il ne faut pas prendre à la légère et il vaut mieux passer du temps à trouver un mot de passe offrant une sécurité suffisante (à vous de trouver votre méthode), plutôt que des heures à jouer au pompier en cas de piratage, sans compter les possibles pertes de données.
Il n'est pas toujours facile de retenir des dizaines de mots de passe différents comportant chacun au moins 16 symboles et n'ayant aucun rapport les uns avec les autres. Pourtant, comme nous venons de l'expliquer, c'est une hygiène de vie que tout le monde devrait adopter pour renforcer sa sécurité.
Une solution pourrait donc être de passer par un gestionnaire de mots de passe, qui permet de les sauvegarder et de les synchroniser entre vos machines suivant les cas. La sécurité de votre « coffre-fort » est garantie par un mot de passe maitre qu'il faudra choisir soigneusement (toutes les règles que nous venons d'évoquer vous seront utiles). Il en existe plusieurs sur le marché (certains en open source avec un code audité), chacun avec ses avantages et ses inconvénients, mais nous aurons l'occasion de rapidement y revenir.
Comme toujours, vous pouvez également demander de l'aide via ce topic dédié sur notre forum. N'hésitez pas à non plus à publier vos trucs et astuces dans les commentaires afin d'en faire profiter le reste de la communauté.
Notre dossier sur la gestion des mots de passe :
- 1Password : un gestionnaire de mots de passe sorti de la sphère Mac
- KeePass : plongée dans un gestionnaire de mots de passe puissant, mais plus exigeant
- Dashlane : le gestionnaire de mots de passe qui veut séduire par son ergonomie
- LastPass : analyse d’un gestionnaire de mots de passe qui joue l’ubiquité
Commentaires (186)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/09/2016 à 08h23
C’est pas un site pour vérifier le mot de passe, mais pour vérifier si ton adresse courriel ou ton identifiant se trouvent dans des données qui ont fuités ça ou là.
" />
J’ai une adresse courriel qui a fuitée sur deux sites, dont l’un sur lequel je me suis jamais inscrit
Le 02/09/2016 à 08h25
Et si on doit le faire dans un cyber-espace, je suggère d’utiliser les applications en version portable et de ne consulter les sites qu’en passant par le support (clé ou disque dur usb) où on aura mis lesdites applications.
Le 02/09/2016 à 08h30
Le 02/09/2016 à 08h32
Je comprends pas comment quelqu’un qui voudrait cracker mon mot de passe pourrait comprendre ce qu’il cherche (des mots, des caractères spéciaux…, un truc alphanumérique basique)
Le 02/09/2016 à 08h38
Le 02/09/2016 à 08h52
Le 02/09/2016 à 09h14
« Car la découverte d’un mot de passe peut vite faire boule de neige et avoir des conséquences importantes lorsqu’il s’agit du compte de messagerie ou que le mot de passe est utilisé sur différents sites. »
Le même mot de passe pour tout , lol. Mais pire quand on crack des passwords on reste discrets, on ne dévoile pas sa mine d’info. Donc ce n’est pas valable comme constat. Quand la presse prends connaissance d’un hack d’envergure sur des bases de comptes , c’est une opération de com voulue et planifiée.
Slogan de KaliLinux (ancien BackTrack) à se rappeler à tout jamais en IT :
« the quieter you become, the more you are able to hear »
« Le cas de Dropbox, dévoilé cette semaine, illustre d’ailleurs assez bien cette problématique dans un environnement professionnel. »
Ben ouaih, mélanger du cloud public avec une infra. privée … je l’ai dit répété , gueuler …
On en vient à dire « chacun sa merde », après tout !
« Sachez d’ailleurs que le site Have I Been Pwned permet de rechercher son identifiant/email dans les bases de données qui ont été publiées sur Internet. »
Typiquement le genre de site ou on se fait piquer son adresse mail puis injecter dans les moteurs de spam et autres attaques : A FUIRE !!!
Poème, formule … un dico bien construit pète tout ça un deux secondes ! (les bonnes mauvaises idées du CERN!)
DiceWaer : pas plus simple comme méthode encore ?
Entropie ? Tester ma recette vous allez halluciner avec un simple : bgtrfv-2018
https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html
Je redonne ma recette :
Elle se base sur le fait qu’il faille ne pas connaître son propre mot de passe, il faut qu’il soit impossible de l’écrire ou de s’en souvenir : un cerveau cela se pirate aussi.
Pour ce faire, il vous suffit de dessiner une forme (elle peut être très complexe, éh éh) sur votre clavier … souvenez-vous uniquement de cette forme … et vous aurez votre mot de passe d’une complexité délirante. Des logiques de formes : il y a en a beaucoup.
C’est quasi incrackable.(par dico 0 chance)
Mais ne rêvons pas trop la puissance du quantique couplé à l’IA va là aussi changer profondément la donne …
Et une clef de cryptage de 10 Gb çà vous dit ? C’est assez safe .
« Activer la double authentification »
… mouaih ? NAS etc … quand on veut passer : on passe et bien souvent sans le mot de passe … désolé ,mais c’est de la poudre aux yeux.
Prenez l’exemple du coffre fort dans 90 % des cas le mur est en placoplatre ou en parpaing : porte blindé mur en agglo … un coup de masse et roule … quelque soit la porte.
« L’usage d’une clé USB U2F commence à se répandre »
Idem trop de de point de faiblesse … « on passe par un tiers » .. eh ben on agit ici.
« N’hésitez d’ailleurs pas à alerter la CNIL lorsque vous rencontrez pareils cas. «
Les pauvres tu va leur en donner du boulot là !
« Attention aux outils en ligne pour tester et générer votre mot de passe »
Euh, tu en proposes un juste au-dessus sur github …
« Tout le monde s’accorde en effet pour dire qu’un mot de passe ne doit être utilisé que pour un seul service afin d’éviter une cascade de piratages en cas de fuite. »
Non, pas forcément !!!
Il faut surtout bien séparer ses types d’activité sur la toile, cloisonner par type d’usage. Un mot de passe par site , bah tiens !!!!!
« …notamment parce qu’une personne peut vous observer lorsque vous le saisissez ou bien arrive à le découvrir en fouillant sur votre ordinateur ou sur le réseau … »
Justement avec un mot de passe par forme … impossible pour un observateur de le capter car si j’inclus un passage sur la touche ^ suivi de la barre espace l’observateur est leurré …
« Un keylogger peut avoir été installé afin de récupérer l’ensemble des frappes au clavier. »
Lol : Windows 10 est un keylogger, plus besoin de le démontrer désolé.
Alors oui, il faut sortir à minima avec « capote » (HTTPS ; POP3S ; SMTPS etc) mais après …
Sinon au final on bascule dans un état policier, ou chaque individu devient un parano total.
Une civilisation basée sur le sécuritaire.
Certains osent parler de modèle Israélien de la société dans le sens sécuritaire (cf. déclaration de Hervé Morin, Guillaume Larrivé et Éric Ciotti .. Cazeneuve à NYC … etc)
… franchement , vous valez bien mieux que ça, en tant qu’être humain !
Je réitère ma vision de la sécurité :http://www.ledufakademy.fr/?p=392
Très bon article, qui pose déjà les bases … (KeePass : pas mal en effet, et libre donc vérification du code possible , mieux pour la sécurité)
Le 02/09/2016 à 09h21
Tu as raison pour bien pirater le maximum d’adresse mail possible !
" />
Vous êtes trop c… !
Le 02/09/2016 à 09h27
Non tout ce qui est écrit dans le moindre bouquin est à proscrire : Google s’amuse à TOUS les numériser .. n’oubliez pas !
Le 02/09/2016 à 09h30
Le 02/09/2016 à 09h33
C’est toi qui voit. Ce site est réputé, son créateur aussi. De plus, il possède déjà ton mail et sans doute tes mots de passe que tu as utilisé sur des sites qui se sont fait pirater (si tu es concerné).
(Et non, pour avoir testé différentes adresses mail sur ce site, je n’ai jamais reçu de spam sur celles qui n’étaient pas déjà spammées.)
Le 02/09/2016 à 09h47
Le 02/09/2016 à 09h52
+1
Le 02/09/2016 à 09h52
Le 02/09/2016 à 09h54
Le 02/09/2016 à 10h11
Le problème du Québec est un peu différent: la francophonie est très minoritaire au sein du pays et à ce titre elle est menacée.
En France , l’Académie aime bien inventer des mots ou des traductions plusieurs mois ou années après que le terme anglais est passé dans le langage courant. Donc trop tard. ça et le côté souvent ridicule (si, si, il faut bien l’avouer…) n’aide pas à l’adoption généralisée de ces néologismes francisés.
Le 01/09/2016 à 16h04
la banque postale c’est 6 chiffres mais au bout de 3 tentative ton compte en ligne est bloqué et je crois qu’il faut attendre un courrier avec le nouveau mdp de mémoire. Pour rappel, le code PIN à 4 chiffres est l’un des plus dure à cracker vu que tu as que 3 essais.
Le 01/09/2016 à 16h05
Groupama aussi de mémoire. C’est d’autant plus bête que le nombre et le type de caractères du MdP est très fortement réduit
" />
" />
" />
Le 01/09/2016 à 16h08
“Je m’incruste dans Loft Story et je donne un stérilet à une association caritative”
" />
Le 01/09/2016 à 16h13
Pas totalement convaincu par tout cela.
Avoir un mot de passe fort c’est bien en théorie mais avoir autant de mot de passe que de sites internet, et tous complexes rend la procédure lourde.
J’utilise keepass pour stoquer mes mots de pass et je n’ai pas le même pour chaque site web, mais devoir lancer keepass à chaque fois est assez contraignant, et limite beaucoup la faisbilité. Avoir de bons principes c’est bien, les rendre applicable c’est mieux !
Je crois qu’il existe des plugin pour keepass, mais je ne sais pas si quelque chose existe pour qu’il complète directement dans les sites internet les mots de pass ?? (Comme ce que fait un explorateur web, mais sans tout stoquer en clair …).
J’ai essayé de convertir ma femme a keepass, peine perdue !
Le 01/09/2016 à 16h16
Y a pas moins radical qu’un ban via une règle iptables ?
" />
Le 01/09/2016 à 16h17
Je ne connaissais pas IhaveBeenPwned et j’ai failli avoir une attaque en voyant mon email sortir 4 fois … bon après ce sont 4 mots de passe différents heureusement.
Et depuis je suis passé a Keepass et j’ai changé mes mots de passe.
Le 01/09/2016 à 16h27
au CMB j’ai un pass global “libre” (doit bien y avoir un nombre mini de caractères, j’ai pas testé) via PC et sinon via appli mobile c’est soit le même pass, soit tu choisis le terminal comme terminal de confiance. du coup ça se transforme en code pin 4 chiffres, mais valable uniquement depuis le terminal en question.
j’imagine que c’est pour éviter d’avoir à se taper les éventuels caractères spéciaux sur un clavier de téléphone, mais comme ça fait un pin de plus à retenir (j’ai déjà 3CB dont une dont j’ai oublié le code), je l’ai collé dans keepass. ^^
le truc totalement fou, c’est que là où je bosse (industrie un tout petit peu sensible), on n’a pas de gestionnaire de mots de passes. du coup tout le monde a des post-it ou un fichier txt avec tout dedans.
quand je l’ai fait remarquer à l’OSI, le mec m’a répondu OKLM: mettre le txt dans un zip chiffré ou se trouver un pattern de mots de pass.
du coup soit tu passes ton temps à chiffrer/déchiffrer ton fichier (et tu le fais plus au bout de 3 fois), soit tu t’inventes un pattern pour retenir 40 mots de passe (en plus des tiens perso! XD).
alors que t’as une soluce toute faite (keepass), ouverte, déployable easy en interne. hallucinant.
Le 01/09/2016 à 16h29
si tu regardes un peu mieux, tu verras que keepass (sans plugin il me semble) te permet de remplir auto le login/password via ctrl+a.
il faut juste paramétrer le nom de la fenêtre.
regarde l’aide ou la doc en ligne.
après c’est du bonheur.
edit: et idem pour la compagne. ^^
Le 01/09/2016 à 16h35
C’est aussi pour ça que la double authentification est une bonne solution, puisqu’elle apporte une composante aléatoire à un mot de passe. Après tout dépend aussi de ce que l’on veut protéger. Mais il suffit de voir ceux a qui on a défoncé tous les comptes perso avec des données importantes (Gmail, Facebook, Amazon, etc.) suite à une fuite de mot de passe chez un site qui ne faisait pas gaffe pour comprendre qu’il y a des précautions à prendre, quitte à ce que cela soit moins pratique au quotidien…
Le 01/09/2016 à 16h38
Password1, voila mon pot de passe
Le 01/09/2016 à 16h38
Salut salut,
J’ai une petite question, je cherchais un gestionnaire de mot de passe local et je suis tombe sur Enpass. Il semble pas mal et ils ont des application UWP et meme une extension pour Edge qui serait en cours de developpement. Par contre, il n’a pas l’air tres connu et est tres rarement cite. Je me pose des questions, est ce un bon gestionnaire ou faudrait-il que je passe sur autre chose de plus connu…
Enpass a l’air plutot simple a utiliser egalement et les mises a jour sont regulieres.
Qu’en pensez-vous?
Merci
Le 01/09/2016 à 16h41
envoyer le mot de passe par pigeon voyageur 
" />
Le 01/09/2016 à 16h47
Concernant la critique de la “méthode XKCD”, de très nombreux commentaires sous l’article de Bruce Schneier cherchent à comprendre sa critique, et arrivent à la conclusion qu’il parle sans doute du cas où les gens choisissent eux-mêmes les mots pour cette méthode (ou changent l’ordre, éliminent des mots choisis au hasard jusqu’à en trouver qui leur plaisent davantage).
L’idée serait alors que chaque fois qu’un humain modifie le hasard pur d’une méthode Diceware/XKCD en se disant qu’il est plus malin que tout le monde, il introduit du prévisible, abaisse l’entropie et se tire une balle dans le pied.
Malheureusement, Schneier ne semble pas avoir mis à jour l’article ou répondu dans les commentaire pour clarifier…
A noter aussi dans ces commentaires : certains soulignent que les langues font que certaines lettres auront plus ou moins de chances de se retrouver en début de mot. Par exemple, on a bien plus de mots français en e— qu’en x—. La méthode donnée plus haut dans le paragraphe sur la CNIL ne génère donc pas vraiment des lettres “prises au hasard”, ce qui abaisse l’entropie réelle.
Le 01/09/2016 à 16h50
Le 01/09/2016 à 16h55
Le 01/09/2016 à 16h57
Oui, le mot de passe qui commence par les majuscules et finit par un chiffre est un peu trop classique. La tentation de le faire est tellement naturelle.
" />
Evitons les “Tomate01” !
Le 02/09/2016 à 12h52
Le 02/09/2016 à 12h53
Le 02/09/2016 à 12h55
Je ne sais pas si cela a été proposé dans les 14 pages précédentes de commentaires, mais la recommandation que je préconise est la suivante:
Générer aléatoirement une séquence d’environ 6 caractères contenant au moins 2 chiffres, 2 lettres et 2 caractères spéciaux ( ex: a@2^1p ) qui doit être mémorisé par cœur, puis pour chaque site Internet ou service, adapter le mot de passe en y injectant des caractères dans le mot de passe suivant une logique que vous inventez.
Par exemple, on pourrait dire pour NextInpact, que l’on injecte en majuscules les 2 premières lettres du nom de domaine devant le mot de passe et les 2 dernières en bout du mot de passe (solution très simpliste pour l’exemple) ce qui donnerait “NEa@2^1pCT”.
Il suffit donc de ne retenir que le mot de passe principal et sa méthode. Idéalement, il vaut mieux faire des décalages alphabétiques pour que cela soit moins visible, par exemple en décalant de 2 dans l’alphabet les caractères injectés, ce qui donnerait “PGa@2^1pEV”. De même, faites varier majuscules et minuscules pour avoir au moins 2 minuscules, 2 majuscules au minimum.
Le 02/09/2016 à 12h56
Le 02/09/2016 à 12h57
Le 02/09/2016 à 12h58
Le 02/09/2016 à 13h01
Le 02/09/2016 à 13h04
Le 02/09/2016 à 13h13
Le 02/09/2016 à 13h23
ah oui mais non moi justement j’utilise l’autotype. ^^
et effectivement c’est une connerie comme tu l’as expliqué.
mais:
1- c’est super pratique
2- si jamais la page change et que keepass saisit le pass dans un mauvais champs et valide la page (c’est là que c’est foireux puisque ça envoie le formulaire avec le pass en clair): on s’en rend compte tout de suite et on génère un nouveau pass super facilement.
du coup c’est pas ultra top, mais le rapport coût/bénéfice est, à mes yeux, en faveur de l’autotype (surtout parce qu’on peut générer un nouveau pass ultra facilement).
Le 02/09/2016 à 13h31
Je pense que l’écrasante majorité des critiques de la ‘méthode xkcd’ n’ont pas compris en quoi elle consiste. Sa faiblesse, c’est que trop de sites ont des restrictions stupides sur la complexité des mdp, pas la robustesse des résultats.
Sinon je ne l’aime pas trop, à complexité égale je trouve plus pratique d’apprendre un truc abscons mais plus court (12-4 caractères aléatoires pour 4 mots si ma mémoire est bonne), c’est plus dur les deux premières semaines, mais plus rapide à l’usage.
Le 02/09/2016 à 13h55
Cadeau ! Mes 10 derniers mots de passe :
" />
$ tr -dc ‘[:graph:]’ < /dev/urandom | fold -w35 | head -n 10
Le 02/09/2016 à 14h02
[mavie] j’utilise la méthode des premières lettres d’une phrase, en ajoutant des chiffres pour faire bonne mesure, et un caractère spécial à la fin pour les sites tatillons.
Lors de ma dernière mission, les exigences pour le mot de passe m’ont saoulées, plus le PALC (proxy à la con), du coup ma phrase était “la sécurité chez Client en 2016 c’est vraiment de la mouise” -> “lscCe2016cvdlm” qui se révèle pas trop mal côté robustesse.
Le 02/09/2016 à 14h12
Je fais sensiblement la même chose. J’ai eu une phase ou mon mdp était inspiré de jeux vidéos (genre Rc’edlBj’anuF88! pour Raekor c’est de la balle, j’ai niqué une faille 88!)
Le 02/09/2016 à 14h13
Le 02/09/2016 à 14h23
Le 02/09/2016 à 06h25
J’ai une règle de base pour générer mes mots de passe (et je ne vais pas vous dire laquelle
" />
" />
" />
" />
" /> ) avec des possibilités de déclinaison considérables (leeetspeak + interversions), et des mdp au final faciles à retenir, du moins pour moi.
Je retiens aussi le coup des alias pour les mdp. Cela peut aussi éviter le spam si on révoque l’alias. Faut que je vois comment faire des alias avec outlook, tiens…
Le 02/09/2016 à 06h25
Ben je les utilise couramment.
Le problème avec certains Français c’est que non seulement ils ne connaissent pas leur langue mais qu’en plus ils ont honte de l’utiliser (enfin il semble) et, comme ils ne connaissent pas vraiment l’anglais…
Ils sont à la fois idiots et égoïstes. Les Québecois se bagarrent comme des fous pour garder leur langue, on se devrait de les aider en utilisant aussi les terminologies, souvent nettement plus futées que celle de la vieille dame académique française.
Le 02/09/2016 à 06h26
Le 02/09/2016 à 06h28
avec paypal ma stratégie est simple : j’oublie les mots de passe et donc il change à chaque fois.
Le 02/09/2016 à 06h42
Allez, cadeau, ma méthode à moi. Une phrase banale avec des fautes d’orthographe :
Aujourd’ui il fé bô!
En plus long, c’est pas mal.
Le 02/09/2016 à 06h51
Plutôt que double authentification, on devrait plutôt parler d’authentification à double facteur.
Le 02/09/2016 à 06h54
En gestion complétement foireuse de mot de passe, il y a le nouveau syndic de ma copro. Sur le premier courrier d’appel des charges, le login et mot de passe (généré aléatoirement par leur soin) pour accéder aux document de la copro (récap des charges, montants payés, etc) était indiqué sur le courrier (je trouvais déjà pas top de pas envoyer le login/mot de passe permettant d’accéder à la gestion des charges sur un courrier séparé).
J’ai modifié le mot de passe et lorsque j’ai reçu le second courrier d’appel, mon nouveau mot de passe ainsi que le login, étaient de nouveau écrit sur le courrier.
Va falloir que je leur écrive pour leur expliquer qu’un mot de passe ça se stock pas en clair et surtout on l’écrit pas sur tous les courriers qu’on envoi au client.
Même si dans mon cas ce login/mot de passe ne permet d’accéder qu’au récap de mes charges payées/à payer (il ne se passerait rien de “grave” si quelqu’un intercepté un courrier, mais c’est quand même pourri) ça me fait halluciner qu’aujourd’hui il y a ait encore des boite qui traitent la sécurité à la légère comme ça. Pour eux un mot de passe est sûrement classé dans la même catégorie que mon nom ou mon prénom et donc c’est pas grave si on l’indique dans tous les courriers envoyés au client…
Le 02/09/2016 à 07h02
J’ai eu pire, là où je travaillais avant. On devait aussi changer de mot de passe régulièrement (pas tous les mois quand même) et avec un minimum de changement avec le mot de passe précédent, sauf qu’une fois ça m’est arrivé juste avant les vacances. De retour après deux semaines au soleil, j’avais bien sûr oublié mon nouveau mot de passe. Quand je suis passé au service info pour qu’ils me le réinitialise, ils m’ont presque engueulé parce que selon eux j’aurais dû noter mon mot de passe sur un papier…
" />
Le 02/09/2016 à 07h06
J’ai eu droit sur la page pour modifier un mot de passe à un super indicateur pour dire si le mot de passe respectait la presence de trois nouveaux caractères par rapport au mot de passe précédent. En 5 minutes à la main on pouvait avoir la liste des lettres composant le mot de passe…
Le 02/09/2016 à 07h34
Paypal n’accepte pas les espaces dans les mots de passe…
Le 02/09/2016 à 07h52
Le 02/09/2016 à 07h54
ilsn’acceptentpaslestrucsinutiles?
" />
Le 02/09/2016 à 08h02
Le code a cliquer n’est pas si con c’est pour éviter les keylogger, après perso je regarde rarement mes comptes devant des personnes.
Le 02/09/2016 à 08h06
l’email du créateur de IhaveBeenPwned sort 7 fois
" />
Le 02/09/2016 à 08h15
Le 02/09/2016 à 08h21
Le 01/09/2016 à 15h04
Je sais que c’est un long article, mais pour le bien de tous, je l’aurais mis en libre accès..
Bon, go le lire maintenant :)
Le 01/09/2016 à 15h08
Il le sera ;)
Le 01/09/2016 à 15h08
Le 01/09/2016 à 15h10
tout comme « catapulte »
" /> à roulettes !!
" />
Bon papier, à garder sous le coude pour évangéliser
Le 01/09/2016 à 15h12
+1
Tiens, y’a le lancement de Franceinfo ce soir, faut envoyer l’article à Francis Zégut pour qu’il en parle s’il intervient aussi dans la version TV ^^
Pour haveibeenpwned, j’aimerais un peu moins les voir sur ma boîte mail (2x cette semaine - DropBox et InterPals)
Le 01/09/2016 à 15h12
Joli et complet
" />
tous mes mots de passe ont Majuscule et chiffre, 12-14 caractères.
Et caractères spéciaux pour les comptes important (genre paypal)
Je sais que c’est suffisamment fort comme ca - comparé à 12345678
mais faut des moyens de s’en rappeler si on veut pas utiliser les appli pour ca
Le 01/09/2016 à 15h17
Sinon, un mot de passe utilisant des mots (aléatoire, pas une phrase !) du dictionnaires mais de plus de 20 caractères restent fort.
Le 01/09/2016 à 15h18
Super dossier, c’est cool que vous abordez le sujet de la Yubikey qui m’intéresse depuis un moment
" />
Le 01/09/2016 à 15h18
Je ne suis pas encore passé à keepass ou équivalent, j’essaye néanmoins d’avoir des mots de passe complexes (lettres minuscules et majuscules, chiffres, caractères spéciaux). Jusqu’à présent, je n’ai jamais eu de soucis. Je m’efforce surtout de ne pas avoir des tonnes de comptes, dès que je ne vais plus sur un site, je supprime ou demande la suppression de mes infos.
En aparté, ce serait bien aussi que les sites web ne gardent pas les mots de passe en clair. Et s’ils pouvaient aussi ne pas garder les emails en clair., ce serait pas mal. On dit souvent que la force de nos mdp tient par son maillon le plus faible mais à mes yeux, le maillon faible est très souvent un site qui a fait n’importe quoi plutôt qu’un méchant hacker qui aurait voulu s’en prendre à moi ou un bot qui aurait fait une bête attaque par force brute.
Ah, et toujours les sites, ce serait pas mal aussi de ne pas nous limiter, le nombre de fois où je ne peux pas utiliser de caractères spéciaux, j’ai même déjà été bloqué car mon mot de passe était trop long ! (une quinzaine de caractères)
Le 01/09/2016 à 15h22
Le problème qui reste encore régulièrement c’est les sites qui n’autorise pas les mots de passe de + de 8⁄10 caractères ou refuse les caractères spéciaux… Du coup obligé de mettre des mots de passe “simple”.
Le 01/09/2016 à 15h27
J’aime bien en général trouver une petite phrase et y mettre des majuscules, des chiffre et des caractères spéciaux, comme dis dans certaines recommandations.
Passer de “un petit chat se promène dans la rue” à “1PetitCHATSePromèn3DansLaRu3%”.
Même si la majuscule en début de mot est assez classique, c’est toujours un peu de complexité de pris.
Le 01/09/2016 à 15h28
moi j’ai arrêté les conneries.
Keepass et voilà. je me fais plus chier à essayer de m’en souvenir, et j’ai des pass de roxxor de 30 caractères totalement imbitables.
maintenant les sites qui stockent en clair, en général c’est des sites ecommerce à 2 balles et j’y mets un pass… à 2 balles. Quand je reçois le mail de bienvenue avec mon mot de pass, en général je tape l’affiche publiquement au site et à son presta (sur twitter). par contre j’ai jamais su s’ils avaient corrigé. ^^
Le 01/09/2016 à 15h29
Le 01/09/2016 à 15h30
Ah ouiii !
Voilà un bon rappel. Un rien compliqué pour Madame Michu, mais qui permettra à celui qui tentera vaillament de lui expliquer les étapes à ne pas oublier.
Merci
Le 01/09/2016 à 15h30
Le 01/09/2016 à 15h33
Petite astuce pour compléter : en + de varier votre mot de passe, variez aussi votre adresse email avec des alias par exemple.
Pour les utilisateurs de GMail c’est assez facile, entre votre nom d’utilisateur et le @ vous pouvez rajouter un “+” suivi d’un texte.
Par exemple, si vous êtes [email protected], vous pouvez saisir [email protected] et les emails vous parviendrons tout de même.
A noter aussi que les “.” ne signifient rien, en enlever, en rajouter ou en déplacer produisent aussi des alias.
Pour les autres fournisseurs de messagerie je ne sais pas, mais cette astuce devrait INpacter pas mal de monde je pense.
Le 01/09/2016 à 15h34
L’intérêt de la phrase, c’est que ça soit simple à retenir, avec un sens, contrairement au kamoulox ^^
Selon le site de test de mot de passe en lien, il faudrait des siècles pour découvrir ce mot de passe en exemple (si je l’avais pas écris, j’aurais pu l’utiliser :p ).
En plus on a la chance d’avoir une langue avec des accents, ce qui rend les mot de passe plus complexe naturellement (enfin, faire attention à l’utilisation d’un dico prenant le Français en compte).
Le 01/09/2016 à 15h36
Le 01/09/2016 à 15h39
Ah. J’allais mettre en lien le topic dédié du forum, mais il est en conclusion de l’article
" />
Pour les logiciels type KeePass, je recommanderai de changer la clé de temps à autre (en faisant au préalable du backup), ça mange pas de pains et le jour où une bogue est trouvée dans le logiciel sur cette partie du code, on est déjà rompu à l’exercice :)
Le 01/09/2016 à 15h39
Je pense que le mot de passe suggéré par xkcd n’est pas “correcthorsebatterystaple” mais “correct horse battery staple”, avec les espaces.
password:correct horse battery staple
guesses_log10:20.33003
score:4 / 4
function runtime (ms):12
guess times:
100 / hour:centuries(throttled online attack)
10 / second:centuries(unthrottled online attack)
10k / second:centuries(offline attack, slow hash, many cores)
10B / second:centuries(offline attack, fast hash, many cores)
Le 01/09/2016 à 15h40
3ABoqpà#/3PIr²=3Qbc
" />
Le 01/09/2016 à 15h46
Pour avoir une bonne résistance, l’ANSSI
recommande d’utiliser un mot de passe d’au moins 16 caractères dans un
alphabet de 90 symboles (lettres, chiffres et caractères spéciaux).
Air France a encore quelques progrès à faire
Avec une rainbow table, on le trouve en combien de secondes ?
Qu’en pense l’ANSSI ? Et la CNIL, parce que nos données sensibles (toutes nos identités données à Air France) sont mal protégées ?
Le 01/09/2016 à 15h57
Excellent article, merci !
Le 01/09/2016 à 15h57
En tant que développeur nous incitons nos clients à mettre un peu de sous sur le e-commerce que nous leur faisons sur du fail2ban. x tentatives et ça ban l’autorisation d’accès au compte.
C’est du point de vue de l’éditeur de site le meilleur moyen, sauf que lors que c’est ban, tu te retrouve au tel avec le client pas content.
Je prône pour ma part l’utilisation de dashlane, avec un passe phrase d’accès très fort, et on génère à chaque site un mdp différent via dashlane. C’est à mon sens la seule vraie solution humainement tenable.
Le 01/09/2016 à 15h58
Article salutaire. Merci !
Le 01/09/2016 à 15h59
Je sais pas pour vous, mais les banques abusent un peu en france à ce niveau la … 6 caractères obligatoire, uniquement des chiffres …
A ce niveau la, on sent la différence en suisse… n’importe quel mot de passe + code basé sur un lecteur de carte bancaire qu’on doit valider avec notre carte et code pin.
Bon après, si je me fais voler, ils auront plutôt intérêt à rembourser, mais c’est quand même pas très secure.
Le 01/09/2016 à 16h02
Un cas débile vu récemment : Piwigo. Par défaut, à la création du compte, une option est présente pour envoyer l’identifiant/MdP à l’adresse mail renseignée.
Il m’a fallu modifier le template de la page pour faire disparaître cette option crétine. De mémoire, une des excuse d’un des dév c’était “non, mais c’est pour que l’admin il gère les inscriptions pour les envoyer à ces amis” :facepalm:
Le 01/09/2016 à 16h03
Le 02/09/2016 à 14h26
https://davidcel.is/posts/stop-validating-email-addresses-with-regex/
Le 02/09/2016 à 14h49
Le 02/09/2016 à 14h53
Je pense que cette méthode est un peu trop bien vue par rapport à la sécurité qu’elle procure vraiment.
Les utilisateurs n’iront jamais piocher dans la totalité du dictionnaire (et au passage il n’y a pas un million de mots en français, 90 000 pour les dico les plus complets, mais seulement 32 000 mots usuels). Et donc, si on écarte les mots trop simples (2 à 4 lettres), les mots pas assez courant, les utilisateurs vont piocher dans une base restreinte (1 000 à 3 000 mots dans le français élémentaire).
Du coup, prendre 6 mots dans un dictionnaire (de 3 000 mots), ça revient en terme de probabilités à prendre un mot de passe à 10 caractères avec majuscules et caractères spéciaux.
Pas si terrible que ça finalement…
Le 02/09/2016 à 14h57
Le 02/09/2016 à 15h00
pwgen -ys 35 10
" />
C’est plus simple à taper
Le 02/09/2016 à 15h38
Trop gros, passera pas 
" />
Le 02/09/2016 à 15h50
Il y a aussi d’autres soucis.
Les gens n’iront (presque) jamais prendre 6 mots, car bon, faut le saisir, ce mot de passe. ^^
Ensuite, même si une phrase ou une suite de mots est plus facile à retenir qu’une succession de caractères aléatoires, ce n’est pas suffisant pour l’extrême majorité des gens : si l’on a des comptes sur 20 différents, ça fait 20 phrases à retenir. 40 comptes, 40 phrases. La réutilisation des MdP, qui est sans doute le danger le plus important, guette toujours.
(Et 20 ou 40 comptes, c’est vraiment peu. Essayez de faire le compte, certains passeront très facilement la centaine …)
Le 02/09/2016 à 16h06
Le 02/09/2016 à 16h39
J’aime les experts sécu. … ils sont comme les assureurs : des vendeurs de peur , avec une coquille vide.
allez bon bashing.
Le 02/09/2016 à 16h41
tu n’as même pas compris que si on te fais une note de 15 000 € sous paypal ou sous le site de ta banque tu seras remboursé … même pour un password qu’on te pique ou trop simple, ce qui est quasi improuvable en plus !
" />
Le 02/09/2016 à 16h59
ouais.
seulement si le mec est malin il te fait pas une note de 15000, mais des petits achats qui passent inaperçu.
et avant de s’en rendre compte… ^^
Le 02/09/2016 à 17h06
ah d’accord donc toi , tu as assez de pognon pour que 5 euro ce soit inaperçu sur ton compte à 4 chiffres (en début de mois hein ;-)) ?
" />
ben on a pas les mêmes valeurs .. ou plutôt moyens dit voir !
Nous on fait nos comptes et chaque centimes d’euros on sait ou il part : et heureusement !
J’aurais out entendu sur ce site, mais c’est ce qui me plaît : cette différence
Le 02/09/2016 à 17h12
Ta remarque porte sur l’applicabilité de la méthode (tout comme les critiques sur le fait qu’elle ne fonctionne pas quand le concepteur du site a la bêtise de limiter la taille du mdp).
Si les utilisateurs n’appliquent pas la méthode parce que c’est fatiguant de choisir un mot au hasard, ils n’ont effectivement pas la sécurité apportée par la méthode. De la même façon que si pour choisir un mdp de 10 caractères arbitraire ils se limitent au minuscules parce que c’est fatiguant d’appuyer sur shift+une touche, ils n’auront pas la sécurité apportée par 10 caractère vraiment aléatoires.
Moi non plus je ne l’aime pas trop niveau facilité d’application, mais d’un point de vue combinatoire il n’y a rien à redire.
Le 02/09/2016 à 17h23
Question de style de vie.
Il y a des gens qui sont ric-rac toutes les fins de mois, et d’autres qui avec le même salaire préfèrent se serrer la ceinture sérieusement une fois pour avoir ensuite quelques centaines d’euros d’avance et la tranquillité d’esprit qui va avec.
Le 02/09/2016 à 17h50
du tout, c’est juste que je passe pas mon temps à checker mon compte en banque. donc 5€ oui, ça va passer inaperçu.
comme dit Zerdligham, y’en a qui font tout au centime près dès le 1er du mois, moi je m’en fous. c’est en fin de mois que je me restreins. ^^
Le 02/09/2016 à 18h09
c’est juste.
Le 02/09/2016 à 10h15
On n’a pas le même niveau en informatique , c’est juste simple à comprendre. Et peut-être en géopolitique également …
Alors j’explique :
Les protocoles réseaux et algorithmes de cryptage sont majoritairement (99.9%) conçus et fabriquer par les Ricains (USA, NSA , CIA etcétéra …) ce qui signifie …
… qu’ils ont très fortement inclus les backdoor et/où faiblesse là ou ils le voulaient bien.
Donc les mots de passe c’est de la poudre au yeux pour béotiens.
Mais parlons en …
Le jour où tu comprendras ça .. .on pourra souffler !
(allez rien de méchant, prend pas tout à cœur, je suis toujours un peu provoc , ce ton arrogant pour mieux ouvrir le débat)
Le 02/09/2016 à 10h16
et si je te dit que j’ai posé un sous-marin sur son site ?
tu me réponds quoi ?
Le 02/09/2016 à 10h19
excellent en effet !
Je la ramène pas trop car quand on parle avec des admin, techos et architectes .. c’est idem .. sur la partie technique ! , pas le reste hein
Le 02/09/2016 à 10h27
« Un keylogger peut avoir été installé afin de récupérer l’ensemble des frappes au clavier. »
Lol : Windows 10 est un keylogger, plus besoin de le démontrer désolé.
On voudrait bien voir la démonstration.
ok je m’en occupe !!!! (Mozinor DJ BEBEL California love)
http://christians-steffen.fr/windows-10-bloquer-collecte-de-donnees-automatique/
http://www.silicon.fr/windows-10-aspire-donnees-personnelles-cinq-minutes-155566…
C’est hors sujet mais cela va illustrer : même les VM qu’on disait inviolable … ben c’est fait.
http://www.silicon.fr/attaque-flip-feng-shui-vm-cloud-poreuses-156463.html
Et quand on le sait (presse , grd public) , cela fait belle lurette que c’est hacké !!!
Crois moi quand je parle sécu. , je connais un peu mon sujet. Malgré une technique sans prétention vis avis du white ou blackhat.
Le 02/09/2016 à 10h54
J’espère que tu es cohérent avec tout ce que tu dis et que tu ne possèdes pas de smartphone, sinon ton discours tombe complètement à l’eau. Windows 10 aspire des données certes, mais de là à le traiter de Keylogger pour aspirer tout tes mots de passe, c’est un peu gros. Leur but est “seulement” de rattraper leur retard sur leur compagnon à ce petit jeu. Ils veulent aussi leur part du gâteau. Ce n’est pas pour autant que je cautionne tout ceci.
Franchement, je trouve qu’il y a des choses vraiment pertinentes dans ce que tu dis, mais également des choses qui sont écrites seulement pour la provocation (selon moi). C’est bien de vouloir ouvrir le débat, mais il y a différentes façon de le faire et certaines sont plus fonctionnelles…
Quand à la faille sur Keepass, après avoir lu l’article cité, et si je ne me trompe pas, il faut que le malfaiteur ait un accès direct à la machin, non? Et les mise à jour depuis le 11⁄15 ont elles comblées cette “faille”?
Le 02/09/2016 à 10h54
Le 02/09/2016 à 11h11
Mon adresse principale est de type pré[email protected]
" />
Je te dis pas comment je galère pour la mettre sur la plupart des sites car ces idiots sont pas capable de vérifier correctement.
Alors que les sites qui vérifient pas les entrées utilisateurs (oui c’est mal) et envoi un mail de validation, mon adresse fonctionne niquel
Du coup je fais chier le support et ils me mettent manuellement l’adresse dans leur base x)
Le 02/09/2016 à 11h51
C’est pas parce que tu donnes ton adresse courriel à quelqu’un qu’il peut te la pirater
" />
Le 02/09/2016 à 12h20
Le 02/09/2016 à 12h24
“Si vous êtes plus scientifique que littéraire, vous pouvez vous servir d’une formule mathématique comme mot de passe : « sin^2(x)+cos^2(x)=1 » et « ax²+bx+c=0 » par exemple”
Ça marche aussi en bio :
assword: DroshaDGCR8Xpo5-DicerTRBP/PACT-Ago1-2-34
guesses_log10: 39.00511
score: 4 / 4
function runtime (ms): 8
guess times:
100 / hour: centuries (throttled online attack)
10 / second: centuries (unthrottled online attack)
10k / second: centuries (offline attack, slow hash, many cores)
10B / second: centuries (offline attack, fast hash, many cores)
-> DroshaDGCR8Xpo5-DicerTRBP/PACT-Ago1-2-34 : le mdp (que je n’utilise pas évidemment) correspond ici à l’ensemble des protéines nécessaires à la création d’une molécule sur laquelle je bosse.
Faudra que j’y réfléchisse à l’avenir :)
(wiki)
Le 02/09/2016 à 12h34
Il suffit de lancer KeePass au démarrage, après tout est automatique avec le bon plugin dans le navigateur (KeeFox par exemple pour… Firefox), aussi bien le remplissage auto pour les passwords connus que la génération de nouveau mot de passe dans les formulaires d’inscription.
Le 02/09/2016 à 12h35
Avec F2B les bans sont temporaires ^^
Le 02/09/2016 à 12h45
Le 02/09/2016 à 12h47
Le 02/09/2016 à 12h50
mouais, franchement j’ai une confiance moyenne dans tout ce qui est plugins. ça ajoute un vecteur d’attaque supplémentaire à mon avis. surtout que c’est juste un atout confort. keepass le fait nativement avec quelques clics de plus.
Le 02/09/2016 à 12h51
Le 02/09/2016 à 18h09
Le 03/09/2016 à 00h09
Le cas c’est jamais vraiment présenté
" /> Mais oui, une zone tampon en mémoire
Le 03/09/2016 à 00h10
Chez moi (et mes règles f2b un poil extrême), le bannissement de base, c’est 1 semaine
" />
Le 03/09/2016 à 00h14
Le TLD qui passe pas ? Ils savent qu’il en existe dans les 1500 et que le monde ne se limite pas à .fr, .com, .org ou .net ?
" />
" />
Ils ont entendu parler de la loi de Postel ?
Le 03/09/2016 à 00h16
Y a une part de réaction allergique aux cadres de ma boîte qui ne jure que par des “business unit”, “SLA” et qui sont impactés (faux anglicisme au passage) au moindre incident :) .
Le 03/09/2016 à 00h18
Oui, une bogue ça pique. Je sais
" />
Le 03/09/2016 à 07h11
Le 03/09/2016 à 12h26
C’est bien d’avoir des mots de passes complexes, le souci c’est lorsqu’on tombe sur un site qui lui, n’accepte pas les caractères spéciaux ni même les mots de passe trop longs.
Sachant que j’en utilise dans tous mes MDP, je suis forcé de changer mon pattern sur ces sites . Résultat ? J’oublie toujours ces mots de passes là.
Le 03/09/2016 à 12h28
Le 05/09/2016 à 08h58
Il me semble plutôt qu’il enlève la dernière lettre de chaque mot (sous chaque mot, il y a des cases avec une en moins) : correchorsbatterstapl
guesses_log10:19.1971
score:4 / 4
function runtime (ms):6
guess times:
100 / hour:centuries(throttled online attack)
10 / second:centuries(unthrottled online attack)
10k / second:centuries(offline attack, slow hash, many cores)
10B / second:49 years(offline attack, fast hash, many cores)
Le 05/09/2016 à 09h22
Le 05/09/2016 à 11h45
Le nombre de case n’a rien à voir avec le nombre de lettres du mot, mais avec le nombre de combinaisons possible. Il a mis 11 cases parce qu’il se choisis ses mots au hasard dans un dictionnaire de 2^11~2000 mots courants.
Le 05/09/2016 à 11h53
Okette merci :)
Le 05/09/2016 à 19h23
bon en même temps je peux aussi faire un fichier qui s’appelle “ALL CREDIT CARD PIN CODES IN THE WORLD LEAKED” avec une liste de chiffres entre 0000 et 9999 et dirent attention vous êtes tous hackés
" />
Le 01/09/2016 à 18h00
Le 01/09/2016 à 18h02
PayPal. Maximum autorisé : 20 caractères. Le reste est tronqué, sans qu’on ne te le dise.
" />
Le 01/09/2016 à 18h06
Ah merci, je la retrouvais pas cette bestiole
" />
La variante W3C n’a pas l’air taillée pour l’Unicode :(
Le 01/09/2016 à 18h11
Le 01/09/2016 à 18h51
La principale difficulté des mots de passes longs est qu’ils sont (trop) souvent refusés par les services. J’ai vu des services web refuser des mots de passes de plus de 12 caractères, d’autres de plus de 16 caractères. L’astuce du mot de passe long a donc ses limites.
C’est d’ailleurs grâce à Dashlane que je rencontre tous ces sites aux limites trop faibles (longueur limitée, symboles limités) : par défaut, je l’ai configuré pour qu’il génère jusqu’à 28 caractères entièrement aléatoires. Dans la pratique, j’ai fini par baisser mes exigences.
Parfois, cependant, on doit taper un mot de passe manuellement, notamment sur smartphone, quelle qu’en soit la raison. Dans ce cas, on apprécie d’autant plus les mots de passes sans homographes. Rien de plus frustrant en effet que de deviner la différence entre un “I” et un “l”, ou un “O” et un “0” sur des polices de caractères que l’on maîtrise mal.
Pour finir, qu’est-ce qu’un bon mot de passe ? Long, aléatoire, impossible à mémoriser, et… inconnu de l’utilisateur lui-même. Non ?
Le 01/09/2016 à 18h55
Le 01/09/2016 à 18h57
Oui, même si aujourd’hui le masculin est plus recommandé, je reste sur le féminin, je suis un rebelle
Le 01/09/2016 à 19h09
Pourquoi faire de l’anglicisme ? En quoi le terme original, “bug”, est-il gênant ?
Le 01/09/2016 à 19h28
Vous avez pas dit que c’était une maquette ?
" />
" /> Mais ça serait plus [email protected] 
" /> 
" />
Sinon excellent l’exemple de [email protected]
Le 01/09/2016 à 20h02
Manager de mot de passe pour moi depuis peu d’ailleurs. Chaque service/site, c’est un mot de passe auto-généré de 16 caractères aléatoires (que moi même je ne connais pas en fait). J’utilise SafeInCloud (pour son modèle économique un seul achat et c’est tout + mots de passe stockés en propre, pas chez eux, sous forme d’un fichier chiffré et “salté”).
Les applis Android/Windows/Mac sont très bien :) Reconnaissance de l’empreinte digitale pour entrer sans l’appli + plugins Chrome sous Windows et même sous Android afin d’auto-remplir les champs à la visite de sites internet.
Le 01/09/2016 à 20h35
Le 01/09/2016 à 20h50
Petite précision, keepass 2 est l’un des seuls gestionnaires de mdp certifiés :
Twitter vient d’en péter quelques uns…
 http://www.ssi.gouv.fr/entreprise/certification_cspn/keepass-version-2-10-portab…
Évitez tout gestionnaire qui n’a pas été audité avec un résultat public, Tavis Ormandy
Le 01/09/2016 à 20h57
C’est mon côté “j’ai souffert en fac d’anglais”, où en version (trad langue étrangère -> langue maternelle), les notes descendent très vite si tu ne traduit pas (quoique la version franco-québecoise de “bug” est peu connue). Du coup, c’est resté : quand il y a un équivalent français, je traduis. Pis j’aime bien le terme
" />
Le 01/09/2016 à 21h01
Ah, intéressant tiens.
" />
Version 2.10 ceci dit (on en est à la 2.34). A priori, il n’y a pas eut de gros changements dans le code de chiffrement (ça aurait changé de version majeure je pense sinon). Des corrections de bogues (hehe) à coup sûr.
Le 01/09/2016 à 21h07
Le 01/09/2016 à 21h07
On avait aussi ce genre de stratégie dans ma boite. J’ai laissé tomber le jour où je me suis aperçu que tout le staff de compta avait les listes des mots de passe passés et présents dans leurs tiroirs, pour justement pouvoir créer un nouveau mot de passe. Rendu là, tu laisses tomber.
Quand tes utilisateurs n’ont même pas le niveau CAP (j’ai un CAP aussi, pas la peine de vouloir me faire la peau), pas la peine de leur demander un mot de passe compliqué : c’est humainement impossible de le créer et encore moins de s’en rappeler.
Le 01/09/2016 à 16h59
Le 01/09/2016 à 16h59
à roulettes mobiles ?
Le 01/09/2016 à 17h01
“il est important de définir ce que l’on appelle communément un bon mot de passe… et ce n’est pas chose aisée.”
Par exemple dans steam, si on ajoute des espaces, il (steam) en conclut que le mot de passe est faible.
Malgré ça je me suis pas encore fait pirater mon compte steam (et je plains le plaisantin qui y parviendrait vu le peu de jeux que j’ai).
Le 01/09/2016 à 17h03
Le 01/09/2016 à 17h06
Le 01/09/2016 à 17h18
Le 01/09/2016 à 17h23
Magnifique erreur dans les procédures de test et validation, sur un point important en plus.
PS : Mais de quel mot de passe parles-tu, puisqu’à la SoGé il est constitué de 6 chiffres à cliquer sur un clavier virtuel ?
Le 01/09/2016 à 17h27
Ouais, définitivement, le bon mot de passe c’est celui qu’on note sur une feuille parce qu’on n’arrive pas à le retenir car trop compliqué !
Le 01/09/2016 à 17h28
Au travail on a les champions du monde de la sécurité:
" />
On me demande de changer de mot de passe tous les mois mais il faut que le mot de passe soit différent à plus de 50% des 5 précédents => C’est impossible de comparer la ressemblance 2 mots passe hachés, les mots de passes sont donc stockés en clair (ou avec un chiffrement réversible, ce qui revient au même).
Et quand j’appelle au téléphone (depuis un tel qui n’est pas de la boite) le service info parce que j’ai oublié mon mot de passe, on ne vérifie jamais mon identité (au mieux on me demande mon nom, prénom et ma date de naissance mais en général seul le login leur suffit) avant de réinitialiser le mot de passe.
Le 01/09/2016 à 17h29
Certes mais il faut que le système de vérification du format d’e-mail soit correct et le reste !
Par exemple, je me suis retrouvé incapable de me logguer sur le site d’EDF pour particuliers après que des modifications du site eurent lieu. J’ai dû contacter leurs services au téléphone pour changer l’adresse e-mail du type [email protected]…
Le 01/09/2016 à 17h32
A la connexion sur un site, si le navigateur auto-complète le mdp aléatoire –> c’est bon.
Sinon, demander un email de reset du mot de passe au site et remettre un mdp aléatoire.
\o/
Le 01/09/2016 à 17h33
C’est courant : une paranoïa sécuritaire qui co-existe avec des failles de sécurité monumentales. J’ai vu ça dans pas mal d’entreprises à bien y réfléchir. C’est parce que les systèmes ne sont pas pensés jusqu’au bout.
Le 01/09/2016 à 17h33
Le 01/09/2016 à 17h40
Le jour où les dévs respecteront les (très bourrines certes) regex pour gérer la partie locale d’une adresse mail et où l’adresse (tout à fait valide) “Christine Albanel est partie pantoufler
" />”@orange.fr, le monde aura fait des progrès
Le 01/09/2016 à 17h44
Le 01/09/2016 à 17h57
Le 01/09/2016 à 21h10
doublement rebelle alors, déjà qu’ utiliser le mot français c’est assez inhabituel…
Tu dis aussi “courriel”, “téléverser”, par exemple?
Le 01/09/2016 à 21h14
téléverser : oui. Si on dit télécharger, autant utiliser le terme français dans l’autre sens est logique.
" />
Et je dis courrier ou message, comme ça j’évite les termes que je trouve foireux (mél et courriel)
Le 01/09/2016 à 21h20
Au Crédit Agricole ils font encore mieux :
" />
" />
" />
Identifiant = N° de compte
Mot de passe = 6 chiffres à cliquer sur une grille aléatoire.
Comme ça si quelqu’un regarde par-dessus ton épaule il a tout bon! Et il peut aller à la banque avec le numéro de compte pour s’amuser
Le 01/09/2016 à 21h35
Le mail Laposte ne prends que de l’alphanumérique
" />
Sinon, pour certains passes je met des phrases, ou des combinaisons de mots de passes.
Le 01/09/2016 à 21h43
J’avoue, c’est la première fois que je vois quelqu’un utiliser ces termes de manière non-ironique… (à part les administrations évidemment, et mon prof de techno au lycée il y a 20 ans qui a dû prononcer “bogue” un paquet de fois).
Le 01/09/2016 à 21h51
Sans compter que, généralement, les banques bloquent l’accès au compte après 3 essais.
" />
" />)
" />
J’imagine que ça doit être très chiant si un bot teste des milliers de compte et les bloque tous.
(Car bon, devoir appeler son agence + attendre un nouveau code par courrier postal …
Coucou la Caisse d’Epargne avec leurs codes PIN à 4 chiffres par défaut (modifiables à 8).
Il y a quoi comme banque avec un “bon” niveau de sécurité ? Comprendre par là, compatibilité avec un mot de passe de 50 caractères chiffres/majuscules/minuscules/spéciaux/espaces …
Enfin, il y en a au moins ?
Le 01/09/2016 à 21h55
Je ne connaissais pas SafeInCloud, j’ai un peu de mal à comprendre l’intérêt par rapport à keepass + stockage de la base de mdp sur dropbox ou autre ? L’application Android ?
Sinon j’utilise keepass depuis un moment et j’en suis très content, le fait de pouvoir stocker des documents sensibles de manière sûre est également un gros plus à mes yeux. (copie de passeport et autre)
Cependant je me retrouve bien perdu quand je ne suis pas sur mon PC ou que je n’ai pas ma clef usb à portée de main…
Le 01/09/2016 à 22h00
Oui effectivement le gros plus c’est les applis multi-plateformes qui vont bien (et avec l’empreinte digitale, c’est diablement efficace sur un auto-remplissage du mot de passe sous chrome pour android par exemple).
Disons qu’avec l’appli Android, j’ai mes mots de passe partout où j’embarque mon téléphone (c’est à dire à peu près partout sauf à la piscine quoi).
Je stock le fichier chiffré sur mon Google Drive (mais DropBox et d’autres sont supportés également).
Le 01/09/2016 à 22h22
Faites également attention à vos codes PIN de carte bleue, suite à un leak, j’ai retrouvé le mien ici.
Le 01/09/2016 à 22h39
Reste plus qu’à te piquer ladite CB
Le 01/09/2016 à 23h08
Le 01/09/2016 à 23h34
Donc si je comprend bien, LastPass, ou tout autre système de gestion de mdp online, c’est mort ? Je comprend que le risque de failles est plus grand lorsque le tout est hébergé en ligne, mais avec la double authentification au login et sur la plupart de sites d’importance, la déconnexion automatique du plugin browser après 30 minutes et tout les avantages du multi-plateforme, il me semble que le mix pratique/sécurité est quand même assez relevé, non?
Oui je sais, il y a eu un bogue reporté il y a quelques semaines, mais c’était malgré tout très ciblé comme problème (et jusqu’à preuve du contraire, personne n’a été affecté).
Le 02/09/2016 à 01h01
Je ne suis absolument pas d’accord avec les résultats de zxcvbn:
- sin^2(x)+cos^2(x)=1 peut etre prédit de manière très simple si on cherche des mots de passe qui peuvent être de la forme d’une equation (la solution serait de mettre une équation fausse, par exemple).
- InXanaduDidKublaKahnAStatelyPleasureDomeDecree étant le camelcase d’un poeme qui existe réellement est pire que n’importe quelle suite de mot aléatoires d’une longueur correcte: moins résistant niveau bruteforce mais plus difficile voir impossible à deviner via construction de mot de passe. On peut même ajouter un caractère spécial quelque part dans un mot. L’attaque par dico devient donc inefficace car même si on sait qu’il y a un caractère spécial, il faut trouver lequel et où.Mais evidemment, si on cherche juste en bruteforce…
Le 02/09/2016 à 01h09
Et le pire quand ils font ça c’est qu’ils sont convaincus que c’est vraiment sécurisé.
Le 02/09/2016 à 04h53
Le 02/09/2016 à 06h21
Ce n’est pas une question de niveau d’étude mais de capacité de mémorisation et de mémoire !