#1 Le 15/07/2010, à 15:17
- oxag
[Truc] Choisir et (ne pas) protéger ses mots de passe
Bonjour,
Je viens de retrouver le texte ci-dessous que j'avais écrit il y a quelques temps.
Pour originale qu'elle soit, je ne suis pas sûr que cette méthode apprenne grand-chose à qui que ce soit — elle ne concerne même pas directement Ubuntu — mais au cas où elle pourrait aider ne serait-ce qu'une seule personne ce serait toujours ça...
Bonne lecture
****************************
Choisir et (ne pas) protéger ses mots de passe
Sans entrer dans le détail des techniques de chiffrement, on sait que que plus un mot de passe réunira d'éléments de la liste ci-dessous, plus il sera robuste :
- minimum de 8 caractères
- pas de mots du dictionnaire
- pas de détails personnels susceptibles d'être devinés (date de naissance, n° de sécurité sociale, prénoms de proches, etc.)
- mélange de majuscules et de minuscules
- présence de symboles tels que ! " ? $ ? % ^ & * ( ) _ - + = { [ } ] : ; @ ' ~ # | \ < , > . ? /
- présence de chiffres
Un tel mot de passe ressemble donc à quelque chose du genre :
JEf4+Uqe
tr2swE-t
sW2xud$z
+u2heduK
hafRa3&+
b_e3@*rUMuSp
-uvAva5epRev
y6fumut$uFe+
pHa4hU?puf-c
br7pAch_teTa
.
Problème 1 : comment mémoriser une telle suite de caractères ? (et à plus forte raison plusieurs, si l'on possède plus d'un compte à mot de passe — ce qui est le cas de la plupart des gens)
Problème 2 : comment conserver une liste de ces mots de passe dans un endroit à la fois sûr et facile d'accès pour soi ?
Solution :
La méthode suivante apporte une réponse simple à ces deux problèmes. Elle consiste tout simplement à choisir une phrase que l'on connaît et que l'on ne risque pas d'oublier (un vers de poésie est parfait) et de retranscrire la première lettre de chaque mot en faisant quelques changements du genre : de devient 2, au devient o ou O ou 0 ou @, cet(te) devient 7, et devient &, etc.
Quelques exemples :
Phrase : À moi, comte, deux mots ! Connais-tu bien don Diègue ?
Mot de passe : Amc2m!CtbdD?
Phrase : C'était pendant l'horreur d'une profonde nuit.
Mot de passe : 7tplh/D1pn
[Le / (ou tout autre signe) symbolise une pause vocale dans la phrase ; la majuscule qui suit est, bien sûr, arbitraire.]
Phrase : Rome, l'unique objet de mon ressentiment !
Mot de passe : R/l1o2mr!
Phrase : L'œil était dans la tombe et regardait Caïn.
Mot de passe : Loedlt/&rK1
.
Pour plus de sécurité, on peut choisir une phrase plus longue...
Phrase : Nous partîmes cinq cents, mais par un prompt renfort, nous nous vîmes trois mille en arrivant au port.
Mot de passe : Np500/mp1pr/Nnv3000ea@p
.
...et rien n'oblige à ce que la phrase en question soit littéraire :
Phrase : Qu'un sang impur abreuve nos sillons !
Mot de passe : K1100i/An6!
Phrase : Tout, tout, tout ! Je vous dirai tout sur le zizi.
Mot de passe : T22!Jvd2slZZ
[ 2 pour two ; en américain, la lettre Z se prononce zi]
.
Ces mots de passe ne sont certes pas totalement incassables — et on pourrait encore les renforcer — mais ils sont à coup sûr déjà très robustes.
Ils possèdent en outre deux avantages :
1- Avec l'aide de la phrase et un peu de pratique on les mémorise étonnamment très bien et très rapidement.
2- On peut facilement les noter dans un document non protégé, voire même sur une feuille volante. Il suffit d'utiliser une référence à la phrase pour savoir de quoi on parle. Par exemple :
Compte bancaire
Identifiant : machintruc // ça, de toute façon, c'est public
Mot de passe : Le Cid
Quelqu'un dérobant votre liste de mots de passe et essayant de se connecter sur votre compte bancaire avec le mot de passe Le Cid en sera pour ses frais mais vous n'aurez qu'à lire ce même Le Cid pour comprendre qu'il s'agit en fait de Amc2m!CtbdD?
Elle est pas belle, la vie ? 
.
Dernière modification par oxag (Le 15/07/2010, à 15:21)
Se souciant peu de commander, il n'aimait pas à obéir. — Jules Verne, Cinq Semaines en Ballon
Hors ligne
#2 Le 15/07/2010, à 15:25
- psychederic
Re : [Truc] Choisir et (ne pas) protéger ses mots de passe
Un mot de passe de 8 charactere ne vaut plus grand chose, 12 c'est limite : donc visez largement au dessus.
De plus : avec les nouveaux type de processeur le RSA risque de se retrouver à la poubelle rapidement :
oh je dis ca : je dis rien ... a plus
Le monde du libre. Ubuntu :Ca rame ? | Installer un logiciel ? Avec Synaptic- Ubuntu Tweak. Msn ?
Hors ligne
#3 Le 20/07/2010, à 09:57
- julien974
Re : [Truc] Choisir et (ne pas) protéger ses mots de passe
Salut,
Effectivement, ton astuce est bien sympa, mais pour compliquer des mot de passe tu peux les cryptées avec le langage "Leet" ou "L33T". C'est très ancien mais si tu l'applique le gars va se ronger les ongles avant d'y parvenir.
Un site, pour plus d'information sur le L33T :
"à trop laisser courir l'horloge du temps, à un moment, le train par sans nous…"[julien974]
GMT +03
Hors ligne
#4 Le 20/07/2010, à 12:44
- Vysserk3
Re : [Truc] Choisir et (ne pas) protéger ses mots de passe
On peut aussi utiliser le générateur de mot de passe de Keepassx (qui peut gérer leur stockage sécurisé également) en cochant l'option "prononçable" dans le générateur 
Ainsi les mots de passes restent complexes mais relativement faciles à mémoriser
Hors ligne
#5 Le 20/07/2010, à 15:15
- kamui57
Re : [Truc] Choisir et (ne pas) protéger ses mots de passe
Un mot de passe de 8 charactere ne vaut plus grand chose, 12 c'est limite : donc visez largement au dessus.
De plus : avec les nouveaux type de processeur le RSA risque de se retrouver à la poubelle rapidement :
oh je dis ca : je dis rien ... a plus
ah bon ? T'as des liens ?
Quand le dernier arbre aura été abattu, et le dernier animal exterminé, les hommes se rendront compte que l'argent ne se mange pas (proverbe indien)
Toshiba Satellite L655 4 Go RAM, Archlinux Gnome-shell,LXDE / W7
Toshiba Satellite M30 512 Mo RAM, Archlinux Gnome 3 restreint / Crunchbang LXDE
https://help.ubuntu.com/community/Pastebinit pour poster du texte sur internet en console
Hors ligne
#6 Le 20/07/2010, à 15:29
- oxag
Re : [Truc] Choisir et (ne pas) protéger ses mots de passe
On peut aussi utiliser le générateur de mot de passe de Keepassx (qui peut gérer leur stockage sécurisé également)
Ben oui, mais ça laisse le problème du master password.
Une bonne méthode pour ce dernier consisterait à choisir une phrase que l'on connaît et que l'on ne risque pas d'oublier (un vers de poésie est parfait) et de retranscrire la première lettre de chaque mot en faisant quelques changements etc. 
Et tant qu'à faire, autant utiliser cette méthode pour tous les mots de passe...
Se souciant peu de commander, il n'aimait pas à obéir. — Jules Verne, Cinq Semaines en Ballon
Hors ligne
#7 Le 20/07/2010, à 15:43
- Vysserk3
Re : [Truc] Choisir et (ne pas) protéger ses mots de passe
Vysserk3 a écrit :On peut aussi utiliser le générateur de mot de passe de Keepassx (qui peut gérer leur stockage sécurisé également)
Ben oui, mais ça laisse le problème du master password.
Une bonne méthode pour ce dernier consisterait à choisir une phrase que l'on connaît et que l'on ne risque pas d'oublier (un vers de poésie est parfait) et de retranscrire la première lettre de chaque mot en faisant quelques changements etc.
Et tant qu'à faire, autant utiliser cette méthode pour tous les mots de passe...
On peut utiliser un fichier clé au lieu (ou en plus) du mot de passe avec KeepassX je crois
Hors ligne
#8 Le 24/07/2010, à 11:37
- Jarodd
Re : [Truc] Choisir et (ne pas) protéger ses mots de passe
Très bon tuto ! Je mélange déjà maj, min et chiffres, mais le fait d'utiliser un longue phrase rend le mdp encore plus sûr. Va falloir que j'en change quelques uns
Ubuntu 22.04.3 LTS (64 bits)
Hors ligne
#9 Le 24/07/2010, à 11:52
- guilhem91
Re : [Truc] Choisir et (ne pas) protéger ses mots de passe
je ne suis pas sûr que cette méthode apprenne grand-chose à qui que ce soit
Oh non, moi j'ai trouvé ça intéressant
Debian Squeeze 6.0.1 64 bits sur AMD Phenom II X4 945 3GHz + Nvidia Geforce 9600 GT
Hors ligne