Journal Sécurité des mots de passe

Posté par . Licence CC by-sa
15
10
mai
2013

Je ne sais pas s'ils se sont donné le mot, mais j'ai l'impression que tous mes flux se sont mis à parler de la sécurité des mots de passe. Ça a commencé avec developpez.com qui explique que les mots de passes sont trop simples et sont donc facilement crackables, puis ce fut autour de blogzinet de proposer une extension qui vérifie notre mauvaise utilisation des mots de passe, intel de nous dire combien mes mots de passe sont faibles et mcaffe de nous donner des conseils.

Je connais ces problématiques, mais j'avoue que j'ai toujours eu un très mauvais usage des mots de passe. Principalement car je réutilise trop mes mots de passe. Comme je fait assez confiance en Mozilla, j'ai pris une bonne résolution et je me suis mis à changer tous mes mots de passe (par des mots de passe générés par openssl : openssl rand -base64 12, intel dis qu'il met 2 millénaires à les craquer (sic)) et je compte sur l'enregistrement de ceux-ci par firefox pour les mémoriser. Je garde tout de même un fichier chiffré pour les récupérer en cas de besoin.

Blogzinet propose un panel d'extensions pour rendre plus automatisée la saisie des mots de passe (http://blogzinet.free.fr/blog/index.php?post/2013/05/05/Firefox-%3A-Toujours-retenir-les-mots-de-passe).

Et vous vous êtes très rigoureux à ce sujet ? Vous avez des outils hyper top pour gérer vos mots de passe pour vous ou vous préférez un entrainement intense pour les mémoriser tous ?

C'est pas une mais deux nimages que je vous propose, tirés toute deux de xkcd :

  • # Cadavre exquis !

    Posté par . Évalué à 2.

    Ta deuxième image me suggère que finalement les surréalistes ont trouvé un moyen très simple de générer des mots de passe forts (disons de l'ordre du millénaire à craquer) mais mémorisables par un humain :-)

    Cadavre exquis

    • [^] # Re: Cadavre exquis !

      Posté par (page perso) . Évalué à 4.

      C'est exactement ce que je fais : j'utilise des phrases de 5 mots au moins. C'est assez simple à retenir je trouve, et efficace (majuscule en début de phrase, ponctuation en fin, et pourquoi pas des chiffres, hein.)

      Par contre, que faire quand un site nous fait chier pour des caractères spéciaux, mais qu'il n'accepte pas les mots de passe trop long ? (c'est idiot).

      J'ai aussi pensé à utiliser Unicode parfois. Comme par exemple avoir des mots de passe en caractères chinois.

      J'utilise aussi un mot de passe test au début : c'est un mot de passe que je changerai, après avoir testé le site, et pour savoir s'il m'envoie mon mot de passe ou pas. Si c'est le cas, je me désinscrit.

      • [^] # Re: Cadavre exquis !

        Posté par (page perso) . Évalué à 2.

        J'utilise des titres de films que je modifie un peu et que j'écris sans espace, mon réseau wifi a été longtemps protégé par un mot de passe du style "letrainsiffleraquatrefois". En testant sur le site d'intel j'obtiens:

        CONGRATULATIONS!
        It would take about 66208386616748 years to crack your password.

        • [^] # Re: Cadavre exquis !

          Posté par . Évalué à 7.

          Moi si j'utilise juste mon nom de famille : CONGRATULATIONS! It would take about 317 years to crack your password.

          Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

  • # Pas entièrement d'accord avec xkcd

    Posté par (page perso) . Évalué à 6.

    À mon avis, le 1er xkcd linké tape parfaitement juste, mais le 2ième oublie une chose : il faut réussir à taper "correcthorsebatterystaple" dans un champ texte qui masque la saisie. Je suis à peu prêt sûr que la plupart gens ont déjà du mal à saisir leur mot de passe de 8 caractères sans typo, alors 26 … Peut-être faudrait-il généraliser la saisie de mot de passe avec le dernier caractère visible, comme elle est faite sur les smartphones ?

    Sinon, pour répondre à ta question, moi j'utilise pwgen et pwsafe. Ça me permet d'avoir un master password qui protège ma base de données de mots de passe, et un mot de passe unique par site web. Comme ça, en cas de fuite/piratage/whatever, je n'ai jamais plus qu'un mot de passe à changer.
    Il me reste toutefois le problème du login sur mes machines. J'ai le même couple login/mot de passe sur toutes mes machines perso. Pour résoudre ce problème, j'avais un ami qui avait joué avec les one-time passwords (il utilisait son téléphone portable pour les générer). Mais personnellement je n'ai pas eut le temps d'essayer.

    • [^] # Re: Pas entièrement d'accord avec xkcd

      Posté par (page perso) . Évalué à 6.

      il faut réussir à taper "correcthorsebatterystaple" dans un champ texte qui masque la saisie.

      D'expérience, c'est très facile pour qui a l'habitude de taper sans regarder son clavier. Par contre, je ne sais pas si Madame Michu y arriverait (on me rétorquera qu'elle utilise 1234).

      La connaissance libre : https://zestedesavoir.com

      • [^] # Re: Pas entièrement d'accord avec xkcd

        Posté par . Évalué à 3.

        Pas sûr… Un mot de passe alphabétique sera toujours plus facile à taper étant donné qu'on utilise la fonction première de chaque touche.

        Pour les mots de passe chiadés, ça peste dans tous les coins du bureau : en allant vite les gens tapent mal un caractère spécial sur deux ($&@€…) et se loupent dans les majuscules. A part les dieux du code clavier.

      • [^] # Re: Pas entièrement d'accord avec xkcd

        Posté par (page perso) . Évalué à 3.

        Je tape sans regarder mon clavier (de toute façon, ce ne sont pas les bons caractères écrits dessus) et pourtant, c'est le genre de truc où je ferrais facilement une faute.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Pas entièrement d'accord avec xkcd

          Posté par (page perso) . Évalué à 3.

          Un adepte du «BÉPO» ? ;)

          Je sais que pour certains mots de passe j'ai tendance a plus utiliser ma mémoire musculaire que de vraiment retenir le mot de passe en lui même. En fait mes main sont tellement habituée a taper le mot de passe que les doigts fonts d'eux même les bon mouvement sur le clavier pour le taper.

          Mais bon, les mots de passe sont et restent un complexe sujet surtout pour les utilisateurs «simples».

          Je sais qu'as mon boulot, on en est arrivé a demander un mot de passe sur toutes les applications, pour finalement faire appel a un LDAP pour avoi le même couple ID/Pass partout (a quelques applications prés qui ne suivent pas se principe). Mais pour simplifier les choses, il y as 1 an ½, ils nous ont installé un SSO pour qu'on ai pas a taper toutes les 5 minutes notre mot de passe (SSO qui fonctionne moyennement)

          • [^] # Re: Pas entièrement d'accord avec xkcd

            Posté par (page perso) . Évalué à 3. Dernière modification le 11/05/13 à 08:17.

            Un adepte du «BÉPO» ? ;)

            Non, je n'aime pas.

            En fait mes main sont tellement habituée a taper le mot de passe que les doigts fonts d'eux même les bon mouvement sur le clavier pour le taper.

            C'est le cas pour les 2/3 mots de passe que je tape très souvent mais dès que je dois taper un autre, c'est plus compliqué.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Un mot de passe par service

    Posté par . Évalué à 2.

    Perso, et je donne ce conseil autour de moi, j'ai un seul mot de passe qui se décline pour chaque service.

    Je prend un mot de passe "compliqué", comme "8jS T/1D".
    Sur gmail, ce mot de passe deviendra "8gjS T/1D".
    Sur LinuxFr, "8ljS T/1D".

    Les principales faiblesses :
    - certains services ont des limitations sur le mot de passe (trop court, trop long, pas d'espace, pas de caractères spéciaux…), j'ai donc un mot de passe plus simple pour eux
    - si un pirate accède à 2 de ces mots de passes, il peut trouver comment se connecter partout
    - si j'ai plusieurs comptes sur le même service, ils ont le même mot de passe

    • [^] # Re: Un mot de passe par service

      Posté par (page perso) . Évalué à 3.

      Mes mots de passe son souvent mémo-technique, du genre :
      Linuxfr : Tr0llS!t3
      Gmail : B1gbr0|h3rM4il

      On peut augmenter la longueur du mot de passe assez simplement et rajouter des espaces.

      • [^] # Re: Un mot de passe par service

        Posté par . Évalué à 6.

        pour moi c'est le meilleur moyen d'oublier, les trucs mémo-techniques. Un jour je penserais à troll pour linuxfr, un jour ce sera à communauté ou je ne sais quoi.

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: Un mot de passe par service

        Posté par (page perso) . Évalué à 7.

        C'est quoi ton adresse mail déjà ? :)

        Love, bépo.

    • [^] # Re: Un mot de passe par service

      Posté par . Évalué à 3.

      Je prend un mot de passe "compliqué", comme "8jS T/1D".

      J'ai était surpris en testant la page d'Intel, mais il considère que c'est un mot de passe faible (cracké en une journée).

      • si un pirate accède à 2 de ces mots de passes, il peut trouver comment se connecter partout

      C'est un gros défaut à mon humble avis. Les mots de passe avec une base commune permettent souvent de déduire les autres, là ce n'est pas le cas mais tu n'a que 26 mot de passe possibles.

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: Un mot de passe par service

        Posté par (page perso) . Évalué à 3.

        J'ai était surpris en testant la page d'Intel, mais il considère que c'est un mot de passe faible (cracké en une journée).

        La page de test d'intel est très bizarre, quand on regarde les commentaires de gens qui ont testé sur PCinpact

        on peut voir qu'il y en a un qui écrit

        1 MdP avec 8 lettres minuscules et majuscules il faut 6H
        et un autre avec 9 lettres minuscules et majuscules + chiffres + caractères spéciaux il faut 5H.
        Complètement incoherent.

        • [^] # Re: Un mot de passe par service

          Posté par . Évalué à 2.

          Je confirme, c'est bizarre :
          - un simple mot du dictionnaire anglais (13 lettres quand même) dans lequel j'ai remplacé un i par un 1 : 3700 ans
          - deux mots anglais qui n'ont pas l'habitude d'être ensemble (9 lettres au total) dans lesquels j'ai remplacé un o par un 0 : 13 secondes !

          • [^] # Re: Un mot de passe par service

            Posté par . Évalué à 3.

            Je suis d'accord, ou alors ils ont mis le seul dictionnaire anglais. Avec le mot : "anticonstitutionnellement" cela donne : "786646735746960700000 years to crack"

            Avec mon mot de passe aléatoire que j'estime compliqué, avec 4 majuscules, une minuscule, 2 chiffres et 3 caractères spéciaux le tout dans le désordre, il me dit qu'il faut seulement un mois pour le trouver…

            Le pire, si je réduis le mot du dico ci dessus et que je le limite à 10 caractères, la même longueur que mon mot de passe, il estime à 5 mois le délai pour le trouver… En plus d'être ridicule cette page est limite dangereuse de faire croire qu'un mot de passe comme "anticonsti" est sûr (on a le message congratulations il faut 5 mois pour le trouver) alors qu'un mot de passe comme "FGiMZµ!98;" se fait tirer les oreilles car "oh no" il faut seulement un mois pour le trouver….

            Malgré ces résultats, je crois que je ne vais pas suivre ses conseils en gardant mon mot de passe et en n'utilisant pas un mot du dictionnaire français, tout aussi long soit-il :-)

            • [^] # Re: Un mot de passe par service

              Posté par . Évalué à 3.

              Autant je suis d'accord avec ton message autant :

              En plus d'être ridicule cette page est limite dangereuse de faire croire qu'un mot de passe comme "anticonsti" est sûr

              Et bien il n'est pas fort mais il n'est pas si faible non plus.

              • Il n'est pas dans un dictionnaire, en tous cas pas dans les langues les plus répandues
              • Si on sait que c'est un mot aléatoire avec seulement des minuscules on a encore 2610 possibilité, soit plus de 1633 jours à 1000000 essais/seconde

              Bon, il reste faible en fait car on peut imaginer une attaque mixte qui prendrait pour chaque mot du dico, en plus du mot lui même, toutes les « diminutions » possible, ex :

              voiture, voitur, voitu, voitu, voit, voi, vo, v

              Même en ajoutant des variations genre minuscule/majuscule, 4 à la place du a, etc… On a toujours nettement moins de possibilités à tester que du pur aléatoire.

              Le logiciel jacktheripper permet justement de créer ce genre de liste de variations à partir d'un dico, par contre j'ai jamais vraiment bien saisi sa syntaxe pour définir ces règles.

        • [^] # Re: Un mot de passe par service

          Posté par . Évalué à 2.

          Complètement incoherent

          Ça dépend des mdp. Par ex entre un mot du dico long et du pur aléatoire un peu plus court, la meilleure sécu peut être sur le pur aléatoire.

          • [^] # Re: Un mot de passe par service

            Posté par . Évalué à 2. Dernière modification le 11/05/13 à 11:31.

            Par ex entre un mot du dico long et du pur aléatoire un peu plus court, la meilleure sécu peut être sur le pur aléatoire.

            C'est même sûr. Pour trouver le mot de passe en générale on fait d'abord une attaque par dictionnaire, ce qui est assez rapide, il n'y a pas tant de mot que ça dans une (voir deux ou trois) langue(s) donnée(s), de l'ordre de 200000 pour le français par exemple, ce qui est nettement inférieur à 265.

            Cela n'explique pas :

            1 MdP avec 8 lettres minuscules et majuscules il faut 6H
            et un autre avec 9 lettres minuscules et majuscules + chiffres + caractères spéciaux il faut 5H.

        • [^] # Re: Un mot de passe par service

          Posté par . Évalué à 3.

          Mieux que la page d'Intel : https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html

          Eux au moins ils expliquent le calcul.

          • [^] # Re: Un mot de passe par service

            Posté par (page perso) . Évalué à 2.

            Y a juste un truc que je ne comprends pas : si on considère le mot de passe « -_1234554321_- », le script considère qu’il faut trois jours pour le casser (le mot de passe est faible, mais c’est un simple exemple). La démarche est la suivante :

            • « -_ » → bruteforce ;
            • « 12345 » → dictionaire de mot de passe ;
            • « 54321 » → suite de chiffre décroissante ;
            • « _- » → bruteforce.

            Pourquoi la « symétrie » n’est pas testé ? C’est courant de voir des effets du genre « -=texte=- », je pense que ça doit apparaître souvent dans des mots de passe.

            • [^] # Re: Un mot de passe par service

              Posté par (page perso) . Évalué à 2.

              Je viens de trouver un exemple un peu plus parlant.

              En considérant le mot de passe « -_ifdkkdfi_- » voilà ce que j’obtiens :

              • « -_ » → instantané ;
              • « _- » → instantané ;
              • « ifdkkdfi » » → 17 heures ;
              • « -_ifdk » → 10 heures ;
              • « kdfi_- » → 15 heures ;
              • « -_ifdkkdfi_- » → centuries.
  • # KeePassX

    Posté par (page perso) . Évalué à 6.

    Et vous vous êtes très rigoureux à ce sujet ? Vous avez des outils hyper top pour gérer vos mots de passe pour vous ou vous préférez un entrainement intense pour les mémoriser tous ?

    J'utilise KeePassX qui génère et retient les mots de passes pour moi. Je connais quelques mots de passes par cœur (qui sont en réalité des phrases assez longues en camel case) notamment mes mots de passes root (quand il y en a), mes mots de passes utilisateur, les passephrases de déchiffrement des partitions, les mots de passe des boites mails, etc.

    • [^] # Re: KeePassX

      Posté par . Évalué à 0. Dernière modification le 10/05/13 à 13:43.

      Moi aussi, avec en plus keepass sous windows et keepassdroid sous android, et un fichier stocké "dans le cloud".
      J'en suis hyper satisfait, le must c'est le raccourci global "autotype" (sous windows en tout cas, avec keepassx je ne sais pas) qui détecte le site où tu te trouves, et saisit automatiquement ton nom d'utilisateur et mot de passe, sans avoir à ré-ouvrir keepass.
      Et puis ça permet aussi d'avoir un suivi de tous ses comptes, ce qui est appréciable (et quand je vois que j'en ai saisi presque une cinquantaine, je me demande comment je faisais avant !).

      • [^] # Re: KeePassX

        Posté par (page perso) . Évalué à 2. Dernière modification le 10/05/13 à 15:43.

        "dans le cloud"

        Hm, et il se passe quoi si ton cloud se fait démonter par des pirates et que, comme c'est déjà arrivé trop souvent par le passé, le chiffrage de des données se révèle insuffisant voir inexistant ?

        Pour ma part, je stocke ça sur mes machines perso. Ça ne veut pas dire que je suis à l'abri d'un piratage, mais ça veut dire que je sais à peu prêt comment la sécurité de mes mots de passe est assurée. Aussi, à mon avis, il y a quand même moins de chances que mes machines perso se fassent démonter par une attaque ciblée qu'un service de cloud (nettement plus rentable pour un pirate).

        • [^] # Re: KeePassX

          Posté par . Évalué à 10.

          Tu n'as pas compris le principe du "cloud". Tu ne peux pas le « démonter », parce que tu ne peux pas l'attraper. Il est tout à fait nébuleux, partout et nulle part à la fois. Le pirate qui veut l'attaquer va avancer vers lui et passer au travers sans même s'en être rendu compte.

          Please do not feed the trolls

        • [^] # Re: KeePassX

          Posté par . Évalué à 2.

          Evidemment, les fichiers keepass sont chiffré, c'est quand même le minimum.
          Et puis "cloud" n'est pas incompatible avec machine perso. L'idée est simplement d'avoir un accès facile à ta base de mots de passe, que ce soit depuis ta machine perso, un dropbox, une clé usb, peu importe.

        • [^] # Re: KeePassX

          Posté par (page perso) . Évalué à 3.

          Hm, et il se passe quoi si ton cloud se fait démonter par des pirates et que, comme c'est déjà arrivé trop souvent par le passé, le chiffrage de des données se révèle insuffisant voir inexistant ?

          Je pense qu'actuellement, le seul risque que j'ai, c'est que ma KDB soit corrompue ou effacer.

          Je la partage entre mes machines via Ubuntu One (parce que, faut pas déconner, une KDB qui n'est pas synchroniser entre tes machines, c'est inutile). Donc, même si un « attaquant » a accès aux données qui sont sur Ubuntu One, il lui faut encore la première parie du mot de passe (que je connais), plus la seconde partie, stocké dans sur ma Yubikey pour déverrouiller la base.

  • # Générateurs de mots de passe ?

    Posté par . Évalué à 0.

    Salut,

    Je ne sais pas si utiliser une suite de mots présents dans le dictionnaire est une bonne idée: Est-ce que ça ne rends pas vulnérable à une attaque par dictionnaire ?

    Personnellement, j'utilise PasswordMaker qui me génère un mot de passe de 15 caractères à partir d'une URL, d'un nom d'utilisateur et d'un mot de passe maître…

    Il me semble que 1615 possibilités doivent suffirent, mais comme les mots de passe sont générés avec quasiment toujours le même nom d'utilisateur et l’adresse du site, je me demande si ils ne sont pas prédictibles…

    Envoyé depuis ma Debian avec Firefox

    • [^] # Re: Générateurs de mots de passe ?

      Posté par (page perso) . Évalué à 2. Dernière modification le 10/05/13 à 15:19.

      Je ne sais pas si utiliser une suite de mots présents dans le dictionnaire est une bonne idée: Est-ce que ça ne rends pas vulnérable à une attaque par dictionnaire ?

      Tu peux voir un dictionnaire de 300000 mots comme un alphabet A avec 300000 lettres. Un mot de passe habituel est un mot dans un alphabet B avec environ 70 lettres.

      Comme log(300000) / log(70) est environ égal à 3, une mot de passe de 6 lettres dans A est aussi sûr qu'un mot de passe de 18 = 3 x 6 lettres dans B.

      Si au lieu de regarder un dictionnaire de 300000 mots tu te restreints au 20000 mots les plus courants (alphabet C), le rapport est environ égal à 7/3 et un mot de passe de 6 lettres dans C est aussi sûr qu'un mot de passe de 6 x 7/3 = 14 lettres dans B.

      Deux liens:

      http://world.std.com/~reinhold/diceware.html

      http://xkcd.com/936/

  • # passgrid

    Posté par (page perso) . Évalué à 1.

    LA solution: http://devnewton.bci.im/projects/passgrid/home

    http://devnewton.bci.im

  • # Wiki

    Posté par . Évalué à 4.

    Un petit message juste pour rappeler qu'il y a quelques articles sur le wiki de LinuxFR et que chacun peut y contribuer s'il a envie.

  • # Les habitudes

    Posté par (page perso) . Évalué à 2.

    Il y a quelques années, j'ai réussi à me débarrasser de l'habitude d'utiliser deux mots de passe partout.

    J'ai un mot de passe généré par pwgen pour chaque service, le tout précieusement conservé dans Keepass. Maintenant, étant assez en accord avec le xkcd 936, je me palucherait bien la modif de tous ces mots de passe pour des phrases aléatoires, éventuellement en latin (j'ai une phrase en latin pour le WPA qui est assez forte). En plus ça permettrait de modifier mes mots de passe, ce qui ne fait jamais de mal. Il me manque juste la motivation…

    Prochainement, je vous proposerai peut-être un commentaire constructif.

  • # Single Point of Failure

    Posté par . Évalué à 6.

    S'ils en parlent tous, c'est parce qu'ils étaient tous sur Linked.in et autre et que leur mot de passe a fuité et ont été sensibilisé à leur dépens. Sinon, je pense qu'ils s'en taperaient toujours.

    Mettre un mot de passe différent sur chaque compte, c'est pour éviter la réutilisation en cas de fuite: Sauf qu'en général il suffit uniquement d'obtenir le mot de passe du compte mail de l'utilisateur pour avoir le moyen de changer tous les autres…

    • [^] # Re: Single Point of Failure

      Posté par . Évalué à 2.

      S'ils en parlent tous, c'est parce qu'ils étaient tous sur Linked.in et autre et que leur mot de passe a fuité et ont été sensibilisé à leur dépens. Sinon, je pense qu'ils s'en taperaient toujours.

      McAffe et Intel ? J'ai un doute quand même.

      Mettre un mot de passe différent sur chaque compte, c'est pour éviter la réutilisation en cas de fuite: Sauf qu'en général il suffit uniquement d'obtenir le mot de passe du compte mail de l'utilisateur pour avoir le moyen de changer tous les autres…

      Tu as raison. Tu as une solution pour ça ? Certains service font de l'authentification 2 steps pour changer le mot de passe mais en l'état, pour les utilisateurs ça leur fait une belle jambe.

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: Single Point of Failure

        Posté par . Évalué à 4.

        Avoir son propre serveur mail et s'y connecter avec une clé privée ?

        Please do not feed the trolls

      • [^] # Re: Single Point of Failure

        Posté par . Évalué à 1.

        Avec gmail tu peux avoir l'authentification 2 steps systématique, pas seulement pour le changement de mot de passe.
        J'imagine que ça doit pas être difficile à mettre en place pour un serveur perso. Sur synology DSM en tout cas y'a une option pour ça (je ne l'ai pas testée).

  • # Mots de passe via HMAC

    Posté par . Évalué à 6. Dernière modification le 10/05/13 à 14:27.

    Perso pour générer mes mots de passes j'utilise HMAC tel que décrit dans la RFC2104.

    import hashlib
    import hmac
    
    class mdp:
        def __init__(self, key, msg):
            self.h = hmac.new(key,msg,hashlib.sha256)
    
        alphanumspecial = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789<>?,./;\'\\:"|[]{}`-=~!@#$%^&*()_+'
        alphanum = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'
        alpha = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
        num = '0123456789'
    
        def get(self,length=15,alphabet=alphanum):
    
            n = int(self.h.hexdigest(),16)
    
            password = ''
    
            while(len(password)<length and n>0):
                password += alphabet[n%len(alphabet)]
                n=n//len(alphabet)
    
            return(password)
    
    

    J'ai ma clef secrete, que je ne communique à personne, et pour chaque site j'utilise une chaine pour l'identifier, par exemple linuxfr ou servicepublic. Je calcule condensat HMAC (SHA256), puis je décompose ce condensat dans un alphabet et je tronque. Par defaut j'utilise l'alphabet alphanumérique (donc base62), et je tronque à 15 caractères.

    Cela se résume en :

    from mdp import mdp
    mdp('ma_clef','le_service').get()
    
    

    Si la clef est suffisament forte, cela fait une entropie de 89 bits.

    Après dans la vrai vie j'ai une toute petite gui que je lance avec un raccourci clavier, je rentre ma clef et le nom du site, puis je valide et ça me met le mot de passe dans le champ de texte. (Ce code fait appel à celui cité içi, mais il est trop moche pour que je publie ici), et j'ai une version de secours qui s'utilise en ligne de commande sur mon mobile au cas où.

    De cette manière, je n'ai aucun soucis de synchronisation d'une quelquonque base de donnée.

    • [^] # Re: Mots de passe via HMAC

      Posté par . Évalué à 3.

      L’inconvénient évident de cette méthode est que tu ne pourras jamais changer ta clé sans changer tous tes mots de passes sur tous tes sites.

      • [^] # Re: Mots de passe via HMAC

        Posté par . Évalué à 2.

        C'est parfaitement vrai.

        Toutefois les avantages de cette methode dépasse cette inconvéniant, c'est à dire méthode de construction du digest éprouvé, flexibilité (sur toutes mes machines) et absence de synchronisation.

        Alors je fais avec ce désavantage.

  • # Carnet

    Posté par (page perso) . Évalué à 4.

    Je note la plupart de mes mot de passe dans un carnet et retiens par cœur la poignée de mot de passe vraiment importants (la banque et mes deux mails principaux, machine).

    Pour une personne privée (hors contexte entreprise, défense, sûreté, etc.) c'est une politique de sécurité complètement raisonnable.

    • [^] # Re: Carnet

      Posté par (page perso) . Évalué à 3.

      Il faut penser à mettre Amazon dans les mot de passe "sensibles" à ne pas noter vu qu'ils conservent ton numéro de CB pour la commande en 1 clic.

      Prochainement, je vous proposerai peut-être un commentaire constructif.

  • # Le problème, c’est les autres ...

    Posté par (page perso) . Évalué à 2.

    Parfois, on aimerait bien utiliser un mot de passe fort, mais c’est le fournisseur du service qui impose des contraintes à la con.
    D’ailleurs, j’ai remarqué que ce sont souvent ceux qui nécessiterais le plus de sécurité qui sont le plus à la rue …

    Exemple avec impots.gouv.fr ou on aimerait bien que les informations qu’on leur fournit ne se retrouve pas dans la nature :
    Le mot de passe doit respecter les critères suivants :
    * être une série de chiffres et lettres ne comportant ni espaces, ni caractères accentués.
    * longueur minimale de 8 caractères et de 20 caractères au maximum.

    Pourquoi ces règles arbitraires ?

    Et je parle même pas de ma banque …

    • [^] # Re: Le problème, c’est les autres ...

      Posté par (page perso) . Évalué à 3.

      Ma banque (le Crédit Mutuel) ne tolère pas les mots de passes dépassant 8 caractères et l'identifiant est une valeur super difficile à obtenir : le n° du compte courant.

      • [^] # Re: Le problème, c’est les autres ...

        Posté par . Évalué à 2.

        Dans ma banque, crédit coopératif, mon identifiant ressemble au mot de passe que tu décris et le mot de passe est calculé par un petit boitier avec carte bleu et est valable 30 secondes. C'est cool !

        Please do not feed the trolls

  • # Firefox, stockage des mots de passe

    Posté par . Évalué à 1.

    Si tu utilises le stockage des mots de passe dans firefox, fais bien attention à utiliser un "master password" bien robuste. Cela évitera à n'importe qui (cad n'importe quel code malveillant) de récupérer directement tous tes mots de passes.

    Sinon, Keepass a été mentionné, il a la particularité (dans sa version 2, sous Windows) d'avoir été certifié CSPN, ce qui donne un minimum de garanties sur sa robustesse : http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/certificat_cspn_2010_07.html

    Sinon, clairement, le plus gros risque est la réutilisation de mots de passes : si un forum pourri stocke les mots de passe en clair, la personne malveillante pourra essayer de le rejouer sur le mail, sur d'autres sites, etc.

    Le commentaire qui parle de dérivation de mots de passe en fonction du site me semble un bon compromis : peu d'attaquants (non ciblés) vont chercher à corréler les mots de passe et de toutes manières un attaquant réellement motivé trouvera une autre solution.

  • # Plus simple

    Posté par . Évalué à 3.

    À part pour mes banques ou mes comptes emails, et quelque autres trucs surement, mais ça ne me viens pas à l'esprit là, je n'en ai pas grand chose à faire de me faire piquer mes mots de passe. Du coup, suivant l'humeur du moment, je laisse le mot de passe généré aléatoirement par le site et j'enregistre le cookie, sans retenir le mot de passe, ou alors j'utilise «toto» ou «lenomdusite» comme mot de passe. Et si je dois me connecter depuis ailleurs que mon pc habituel, je clique sur «renvoyez-moi un nouveau mot de passe» et je vais lire mes emails. Du coup, je n'ai qu'à me souvenir de cinq ou six mots de passes long et différents, je ne m'encombre pas du reste.

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

  • # root ?

    Posté par . Évalué à -10.

    Il m'est arrivé de mettre root comme mot de passe. :-D
    (C'est vrai que le matos n'allait pas sur le net non plus…)
    [On vire un admin pour moins que çà]

    Les MdP dans mon cas sont au minimum de lettre et de chiffres.
    Souvent, je mets des caractères spéciaux.
    Ce n'est pas le même mdp pour ce qui est critique et ce qui ne l'est pas.

    Sur linuxfr mon mdp est complexe [plusieurs caractères spéciaux, lettres et chiffres].
    (Vu les " méchants " ici, il vaut mieux être prudent…)

    Je change certains mdp assez souvent…
    (Le risque est faible car je suis assez exigeant)

    Le problème n'est pas dans le mot de passe je pense.
    Si quelqu'un veut pirater un compte il y arrivera quand même mais pas nécessairement en passant par un mot de passe.
    Tout dépend des moyens qu'il met bien sûr.
    Des mauvais hackers ont bien réussit à pirater le pentagone non ?

  • # en fin de compte

    Posté par . Évalué à 2.

    C'est s'occuper des sypmtômes, pas de l'origine du problème. Faut il que je développe l'utopie.. En tout cas pour sûr c'est perdu d'avance.
    Les machines vont être de plus en plus sur connectés , les gens aussi, que ce soit par la technique ou par l'ingénierie social, l'exposition étant plus forte, les failles exploitées seront plus nombreuses.
    Augmenter la force des mots de passes et une fuite en avant pour parer au plus pressé.

    Quoiqu'il en soit et pour revenir à des réalités plus immédiates, si mon rssi pouvait communiquer le millième de ce que les médias nous donnent à manger sur le sujet, ce serait un grand pas en avant.
    Et alors, si par le plus grand des hasard et lever d'un pied gauche, il pouvait communiquer d'une manière aussi sympathique que ces xkcd, alors il ferait de la sécurité informatique un sujet dont ces utilisateurs peuvent s'emparer pour en discuter entre eux et le faire vivre au delà des règles barbantes à respecter en permanence.
    Car oui la sécurité du point de vue l'utilisateur est souvent d'une insupportable barbarie.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.