Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 24/11/2018, à 03:42

MrAkiTek

Au sujet des mots de passe : utilisation de phrase, nombres, noms...

TL;DR : Voir le contenu entre balise code dans le message ci-dessous pour choisir votre mot de passe

Salut !

Je voudrais exposer ici mon point de vue sur les mots de passes et je souhaiterai également avoir votre retour.

Avant de commencer, je souhaiterai signaler que je ne suis pas l'auteur de cette idée, je l'ai simplement lu et je l'approuve très fortement.

==========================================================================
Faisant face au constat que beaucoup de personnes utilisent toujours le même mot de passe sur plusieurs sites (source : Les différentes diffusions de mot de passe apparues sur le web suite à des attaques informatiques sur des grands sites internet), l'idée serait de trouver un moyen simple de choisir son mot de passe :

1. Prendre la première lettre de chaque mot d’une phrase favorite (citation, ou phrase toute faite) avec majuscule et point final.
2. Noter la première et dernière lettre du site internet/de l’application.
3. Choisir un numéro favori.
Exemple :
"Je vois des gens qui sont morts facebook 666". = "Jvdgqsmfk666."
"Je vois des gens qui sont morts instagram 666". = "Jvdgqsmim666."
"Je vois des gens qui sont morts spotify 666". = "Jvdgqsmsy666."
"Je vois des gens qui sont morts youtube 666". = "Jvdgqsmye666."

Bonus :
4. Si le mot de passe doit être modifié régulièrement : ajouter le numéro du mois à la fin

Recommandation générale : Avoir une phrase différente pour : Les comptes "pro"/les comptes "perso"/adresse mail (préférable d'avoir une phrase pour son adresse mail et une phrase pour tous les autres sites internet)

Avantages :
- Mot de passe différent pour chaque compte
- Facile à se souvenir
- Propre à chacun
- Pas besoin de gestionnaire de mot de passe

Inconvénients :
- Si un attaquant découvre cette méthode, il peut facilement déduire le mot de passe pour n'importe quel compte.
- Si on connaît suffisament la personne, on peut découvrir le mot de passe
- ... ?

==========================================================================

J'ai préparé également quelques axes auquels je souhaiterai répondre dès le départ :

- Je trouve les gestionnaire de mot de passe (incluant ceux en ligne, tel que dashlane ou hors-ligne tel que keepass, etc) complètement inadapté pour le public visé : La personne ouvre un site internet sur son téléphone, il faut créer un compte... "paresse, j'écris directement un mot de passe bidon (= mot de passe cracké en 10 secondes)" => Les personnes veulent utiliser directement un logiciel/site internet sans passer 3/4 d'heures juste pour s'inscrire ou choisir son mot de passe ou naviguer entre 2 applications pour pouvoir générer/copier/coller le mot de passe de 37 caractères... Mot de passe que la personne devra de nouveau copier-coller (après s'être connectée sur le site internet de son prestataire de gestionnaire de mot de passe) pour accéder à son compte sur l'ordinateur "d'un ami".
(oublions tout de suite le keepass dans un recoin d'un ordinateur resté à la maison)

- Un attaquant, si il connaît la technique, reprendra les citations des films célèbres (car tout le monde fera ça) pour faire des attaques par dictionnaire et casser ta technique...=> Mouais... Autant rester sur "jean1981", c'est encore plus rapide pour lui...
=> Je pense que ça vaut le coup d'essayer, ça complexifiera (un peu) l'attaque, et c'est toujours ça de pris...

- Question : "Mais tu recommandes aux gens de penser à des phrases favorites personnelles, donc si quelqu'un le connaît, il pirate son compte" => C'est sur que "jean1981" est plus sûr... Là, je demande à la personne de fabriquer une phrase personnelle, de choisir un numéro personnel.

Pour rappel : La mémoire AIME les associations, surtout ce qui est logique, et permettre de faire des associations nous permet de mieux retenir des informations.
Petit exemple pour étayer mon propos : On retient plus facilement certains nombres que d'autres :
318 => Pas de "lien logique"
246 => Ajout de 2 entre chaque nombre
931 => Soustrait 3 entre chaque nombre
...

Pour finir : Non, ce n'est PAS la méthode ultime, mais cela permet (selon moi) d'élever un peu le niveau, et je souhaiterai si possible avoir un dialogue ouvert sur la question pour que l'on avance peu à peu sur le sujet de la sécurité au quotidien. Car demander à une personne de passer de "mon_mot_de_passe_1975" à "%jL@a5ne$[_30" est un combat perdu d'avance.
La sécurité est et sera toujours contraignante, le but est de trouver des outils facilement appréhendables par tout le monde.

C'est dangereux d'utiliser des mots de passe faibles... Tout comme fumer, ne pas manger équilibré, ne pas respecter les limites de vitesse, ne pas se préocupper du réchauffement climatique, etc Et pourtant, on fait tous des "choses pas bien" au quotidien, donc le mot de passe, c'est juste une chose de plus à la longue liste de choses que l'on devrait éviter de faire.

Je n'ai pas la science infuse, d'où le fait que j'ouvre le débat sur cette idée (dont je ne suis PAS l'auteur) smile

PS : Oui, je suis "nouveau".

EDIT :  J'ai également eu des réponses sur le sujet ici : https://security.stackexchange.com/ques … s-password

Dernière modification par MrAkiTek (Le 24/11/2018, à 07:41)

Hors ligne

#2 Le 24/11/2018, à 11:01

bruno

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

Bonjour,

Avant de parler de la solidité et de la gestion des mots de passe, il serait bon de préciser que la chose la plus importante est de ne pas faire circuler en clair ses mots de passe sur les réseaux. S'ils sont transmis en clair peut importe leur solidité.
Il faut donc toujours utiliser des protocoles sécurisés :
- https pour les sites web ;
- sftp ou ftps pour le transfert de fichiers ;
- smtp authentifié, imaps, pop3s pour le courriel ;
- préférer l’authentification par clé publique/privée quand c'est possible (ssh) ;
etc.
Et ceci d'autant plus que l'on utilise un environnement non sécurisé. Par exemple un portable susceptible de se connecter sur des Wifi publics (ou même privés ne nous appartenant pas).

Pour la solidité des mots de passe, ce qui compte c'est l'entropie. De ce point de vue un mot de passe du type : « Je suis né le jour de la déclaration de guerre. » est plus solide que « jsnljdldg666 » et sans doute plus facile à mémoriser.

Effectivement il ne faut jamais ré-utiliser le me mot de passe. Et les variations mineures, comme tu le fais remarquer, présentent également un gros risque.

Quelque soit la méthode choisie pour générer/créer ses mots de passe : une phrase qui n'est pas une citation connue, les premières lettres d'une phrase, un mélange de caractères aléatoire, etc., il est humainement impossible de tous les mémoriser. Le gestionnaire de mots de passe est donc indispensable et c'est extrêmement pratique contrairement à ce que tu affirmes.

Maintenant cela pose la question de la sécurité du gestionnaire de mot de passe.
Si c'est un service en ligne, à quel point puis-je lui faire confiance ? À quel point est-il sécurisé ? À quel points les accès enregistrés sont-ils sensibles (banque ou simple forum web) ? Est-ce raisonnable de confier mes identifiants à un tiers ?
Si c'est un service local, est-ce que mes comptes sont bien à l'abri ? Est-ce que j'ai une bonne politique de sauvegarde afin de ne pas perdre mes comptes et leurs identifiants ?

Hors ligne

#3 Le 24/11/2018, à 14:17

Gatsu

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

bruno a écrit :

Le gestionnaire de mots de passe est donc indispensable et c'est extrêmement pratique contrairement à ce que tu affirmes.

Voilà.
Pas besoin de retenir mes plus de 100 mots de passe, qui déjà par conception si on peut les retenir c'est déjà un problème de sécurité.

Si j'ai besoin d'en changer un, j'en re-génère un nouveau complètement aléatoire sans aucun souci.

Si un site m'impose des restrictions débiles comme juste des caractères alphanumériques ou intelligente comme l'obligation d'inclure au moins un caractère non alphanumérique, mon gestionnaire sait le faire sans problème tout en ajustant la longueur du mot de passe.

Si je suis sur un ordinateur qui n'a pas accès à mes mots de passe, c'est que ce n'est pas mon ordinateur et par conséquent il est hors de question d'accéder à un de mes comptes sur un ordinateur non sécurisé.

Si un site me demande de créer un compte juste pour l'utiliser, je ferme le site et je passe à autre chose. Je distribue déjà suffisamment de mon intimité numérique comme ça avec tous les trackers.

Et enfin j'ai une copie de la base de donnée de mots de passe sur chacun de mes ordinateurs, plus une autre sur une clé USB.

sudo apt install keepassxc

J'ai utilisé pendant quelque temps la méthode de MrAkiTek, et entre les modifications de mot de passe, les restrictions/obligations de certains sites, le changement de méthode, etc. Sur le long terme, c'est totalement ingérable. J'ai quelques comptes ici ou là qui sont inaccessibles parce que je ne me rappelle plus de la méthode que j'utilisais à l'époque. Depuis 5-6 ans, j'utilise KeePassX puis KeePassXC, j'ai accès à tous mes comptes, je change mes mots de passe quand j'en ai besoin, je les crée à la volée hyper facilement, etc.
Le plus long c'est au tout début quand il faut tous les inscrire dans la base de donnée, puis finalement quand on décide de les changer parce que la sécurité était complètement à la ramasse avant l'utilisation d'un gestionnaire de mot de passe. Maintenant je suis content, tous mes comptes et leur mot de passe sont sauvegardés quelque part, je ne risque plus de les perdre ou de les oublier, et ils sont de type fort : 30 caractères ASCII donc 192bits.

Hors ligne

#4 Le 24/11/2018, à 14:50

Comptesupprimé

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

Je plussoie tout ce qui a été dit les deux postes au dessus et je rajouterai : se méfier de ce qu'on croit être une sécurité pour nos mots de passe et qui ne le sont pas du tout.

Par ex. dans K-9 mail les mots de passent sont stockés quasiment en clair. Si qqun à accès à ton terminal il peut récupérer la base de données et donc tous tes mots de passe.

Par ailleurs on a tendance aussi à "laisser trainer" nos bases de données keepass, en se disant qu'on a un mot de passe maître incassable. Mais on oublie qu'un jour ou l'autre il peut y avoir des failles. Enfin je parle pour moi là. : )

#5 Le 24/11/2018, à 16:43

abecidofugy

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

Gatsu a écrit :
sudo apt install keepassxc

Tiens, je ne connaissais pas, utilisant KeepassX tout court. Ça serait quoi l'avantage de passer de l’un à l’autre ? Juste les modules navigateurs ?

Pour en savoir plus https://keepassxc.org/project/

Je vais tester ça.

Hors ligne

#6 Le 24/11/2018, à 18:40

Comptesupprimé

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

#7 Le 24/11/2018, à 21:37

abecidofugy

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

Encore un folk qui ne marche ou moins bien que le forké… https://www.google.com/search?newwindow … passxc.ini

Sous Windows, problème d’enregistrement de cet ini. Je repasse à KeepassX qui fait bien le job et qui mémorise la taille de fenêtre, sa place, et la BDD ouverte en dernier… Peut-être que toutes ces pertes de fonctionnalités sont dues au problème avec le point ini, je ne sais pas.

Du coup ça va dans le sens du premier post.

Dernière modification par abecidofugy (Le 24/11/2018, à 21:38)

Hors ligne

#8 Le 25/11/2018, à 13:33

Comptesupprimé

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

abecidofugy a écrit :

Encore un folk qui ne marche ou moins bien que le forké… https://www.google.com/search?newwindow … passxc.ini

Sous Windows, problème d’enregistrement de cet ini. Je repasse à KeepassX qui fait bien le job et qui mémorise la taille de fenêtre, sa place, et la BDD ouverte en dernier… Peut-être que toutes ces pertes de fonctionnalités sont dues au problème avec le point ini, je ne sais pas.

Du coup ça va dans le sens du premier post.

C'est le problème d'utiliser des logiciels libres dans des OS propriétaires. On ne sait pas d'où vient le dysfonctionnement.

#9 Le 25/11/2018, à 13:42

MrAkiTek

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

Tout d'abord, merci pour vos réponses ! smile
Avant de vous répondre, j'ai bien aimé le fil de discussion qui m'a été indiqué ici : https://security.stackexchange.com/ques … -passwords

TL;DR : Pas possible => Gestionnaire de mot de passe.

@bruno :
+1 Pour la circulation (TLS)
-La solidité, oui, c'est le problème de base que je soulevais (sans parler des autres politiques de mot de passe, comme le fait de changer régulièrement etc), et la méthode que j'avais vu (premier post) n'a pas l'air d'être réalisable (le fond du problème est l'usage de pattern qui permet de réduire considérablement le temps de l'attaque), ou alors trop complexe (mot de passes qui doivent faire plus de 20 caractères et on a encore des problèmatiques avec le fait qu'ils doivent ne pas respecter un pattern)
-Je n'ai pas dis (ou je me suis mal exprimé) qu'un gestionnaire de mot de passe n'était pas utile. Juste moins pratique (intégration au niveau des environnements ordinateurs/téléphones), quoique depuis la version 12 d'iOS et la version 8 d'Android (je viens de voir ça) ils ont ajouté l'intégration des gestionnaires tiers de mot de passe
-Pour le reste, il faut avoir un gestionnaire qui soit capable d'être disponible sur téléphone (et/ou tablette) + ordinateur en même temps (et je parle au niveau des outils libres, pas des solutions d'entreprises qui sont déjà au point là dessus)

@Gatsu
-Si on retient le mot de passe maître de notre gestionnaire, c'est un problème de sécurité ? tongue (je blague, j'ai bien compris que tu parlais des pattern)
-En effet, c'est une option primordiale des gestionnaires de mot de passe
-Je ne suis pas d'accord avec toi pour le site débile... Parce que tu ne sais pas sur quel site tu seras obligé de t'inscrire, exemple : on t'ouvre un compte web sur X plateforme pour gérer je ne sais quoi (un abonnement ou autre), tu n'as rien demandé, mais le service client t'impose de passer par leur portail... etc Bref, peut-être que ça marche pour toi, mais en fonction des usages, j'en doute, on a parfois pas la main sur tout. ( password-shaming.tumblr.com )
-Pour l'ordinateur, je dirai que ça pourrai arriver à pas mal de monde, mais disons que l'on va exclure ce cas qui n'arrive pas fréquemment et pour lequel on peut aisément dire "je ferai ça chez moi"
-Pour le site qui le demande, même réponse que précédemment ou encore avant (conjoint(e)/enfant(s)/ami(s)/effet de groupe, etc)
-Selon le outils (ex: dashlane) c'est plus ou moins simple (KeePass entre PC et smartphone (des apps sont disponibles, mais il reste la MAJ de la DB à faire en cas de changement de mot de passe)) Keeweb a l'air très bien de ce côté là.

@Floriane
-L'illusion de sécurité, c'est vrai que c'est très dangereux (voire peut-être plus que lorsque l'on sait que ce n'est pas sécurisé)
-Firefox le faisait aussi (je n'ai jamais utilisé leur gestionnaire ceci dit), mais je ne sais pas ce qu'il en est aujourd'hui (je note ce point-ci, mais d'après ce que j'avais lu il y a encore quelques semaines, la sécurité était présente mais ils devaient la relever légèrement)
-L'exemple le plus parlant est TrueCrypt je pense wink

@abecidofugy
-Pour ma part, j'utilise Keepass pour mes serveurs.

@Floriane
-Je pense que ça doit être un tout petit problème de réglage, car il existe bien des bons logiciels pour lesquels il y a dû avoir de nombreux bugs mais pour lesquels les développeurs ont tout de même réussi à les corriger wink

L'idée de base de ce topic était de demander des avis sur ladite méthode (je ne savais pas exactement comment je pouvais formuler ce sujet pour trouver des ressources sur le sujet, mais sur Stack Exchange j'ai finalement pu accéder au vocabulaire en question et finalement trouver les ressources wink ) et savoir si il serait envisageable pour les gens de l'utiliser.

Car, ma principale crainte est que les gens utilisent des gestionnaires de mot de passes de sociétés qui ont été compromises et/ou qu'ils utilisent partiellement le gestionnaire, ou que le gestionnaire ait une faille d'implémentation (pas l'algo lui-même), qu'ils ne choisissent pas un mot de passe suffisament forts sur ces derniers (et qu'en cas d'infection par un malware, la base soit récupérée et qu'ils aient tous leurs comptes car leur attaque par dictionnaire a fait bingo en 10 minutes).

Dernière modification par MrAkiTek (Le 25/11/2018, à 13:44)

Hors ligne

#10 Le 25/11/2018, à 13:43

abecidofugy

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

Floriane a écrit :
abecidofugy a écrit :

Encore un folk qui ne marche ou moins bien que le forké… https://www.google.com/search?newwindow … passxc.ini

Sous Windows, problème d’enregistrement de cet ini. Je repasse à KeepassX qui fait bien le job et qui mémorise la taille de fenêtre, sa place, et la BDD ouverte en dernier… Peut-être que toutes ces pertes de fonctionnalités sont dues au problème avec le point ini, je ne sais pas.

Du coup ça va dans le sens du premier post.

C'est le problème d'utiliser des logiciels libres dans des OS propriétaires. On ne sait pas d'où vient le dysfonctionnement.

Mais visiblement, y'a des soucis similaires sous Linux également avec ce fork (j'ai cru voir parler de /home sur  Github).

Bon, j'aurais préféré une application QT5 il est vrai, comme je suis sous KDE, mais pour l‘instant je temporise, le temps que le bug soit résolu. D’ailleurs les connecteurs navigateurs sont bientôt obsolètes.

Hors ligne

#11 Le 25/11/2018, à 13:46

bruno

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

Un gestionnaire de mots de passe en QT : https://qtpass.org/
Sinon Kwallet fonctionne très bien (pas d'intégration à Firefox mais c'est un avantage pour moi).

À propos de mots de passe quelques commandes pour générer des mots de passe (1 mot de passe 15 caractères) :

pwgen -sy 15 1
openssl rand -base64 15
gpg --gen-random --armor 1 15

etc.

Dernière modification par bruno (Le 25/11/2018, à 13:49)

Hors ligne

#12 Le 25/11/2018, à 23:55

Gatsu

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

@ abecidofugy
Le problème avec KeePassX (sans C) est qu'il n'est plus maintenu.

MrAkiTek a écrit :

Je ne suis pas d'accord avec toi pour le site débile... Parce que tu ne sais pas sur quel site tu seras obligé de t'inscrire, exemple : on t'ouvre un compte web sur X plateforme pour gérer je ne sais quoi (un abonnement ou autre), tu n'as rien demandé, mais le service client t'impose de passer par leur portail... etc Bref, peut-être que ça marche pour toi, mais en fonction des usages, j'en doute, on a parfois pas la main sur tout. ( password-shaming.tumblr.com )

Attention, je ne parlais pas de site débile, mais de restrictions débiles. Typiquement le site de ta banque qui t'impose un mot de passe de 8 chiffres uniquement, pas plus, pas moins, pas de lettre ni de ponctuation, donc un mot de passe ultra faible.

MrAkiTek a écrit :

Car, ma principale crainte est que les gens utilisent des gestionnaires de mot de passes de sociétés qui ont été compromises et/ou qu'ils utilisent partiellement le gestionnaire, ou que le gestionnaire ait une faille d'implémentation (pas l'algo lui-même), qu'ils ne choisissent pas un mot de passe suffisament forts sur ces derniers (et qu'en cas d'infection par un malware, la base soit récupérée et qu'ils aient tous leurs comptes car leur attaque par dictionnaire a fait bingo en 10 minutes).

Règle de base : Ne surtout pas utliser de gestionnaire de mot de passe en ligne ou propriétaire, tu ne sais pas ce qu'il fait et tu ne maîtrises absolument rien. Pour moi le gestionnaire de mot de passe doit absolument être libre et local, donc auditable et ne pas être un silo à mots de passe qui tôt ou tard aura une faille ou subira une fuite de données gigantesque.

Hors ligne

#13 Le 26/11/2018, à 05:20

abecidofugy

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

Gatsu a écrit :

@ abecidofugy
Le problème avec KeePassX (sans C) est qu'il n'est plus maintenu.

Tu as bien fait de me le souligner, j'ai installé la version MSI du coup, et ça semble fonctionner.

Hors ligne

#14 Le 26/11/2018, à 07:53

Compte supprimé

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

Bonjour,
Suite à la lecture de ce post ,j 'ai essayé d'installer  KeePassXc sur ma 16.04 .
Cependant :

~ jt'écoute :sudo apt install keepassxc
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
E: Impossible de trouver le paquet keepassxc
~ jt'écoute :

#15 Le 26/11/2018, à 13:51

Comptesupprimé

Re : Au sujet des mots de passe : utilisation de phrase, nombres, noms...

C'est normal il est dans les dépôts qu'à partir de la version 18.04 d'Ubuntu.

https://doc.ubuntu-fr.org/keepassx#keepassxc