Journal Sécurité des mots de passe

Posté par barmic le 10 mai 2013 à 10:24. Licence CC By‑SA.

Étiquettes :

mai

2013

Je ne sais pas s'ils se sont donné le mot, mais j'ai l'impression que tous mes flux se sont mis à parler de la sécurité des mots de passe. Ça a commencé avec developpez.com qui explique que les mots de passes sont trop simples et sont donc facilement crackables, puis ce fut autour de blogzinet de proposer une extension qui vérifie notre mauvaise utilisation des mots de passe, intel de nous dire combien mes mots de passe sont faibles et mcaffe de nous donner des conseils.

Je connais ces problématiques, mais j'avoue que j'ai toujours eu un très mauvais usage des mots de passe. Principalement car je réutilise trop mes mots de passe. Comme je fait assez confiance en Mozilla, j'ai pris une bonne résolution et je me suis mis à changer tous mes mots de passe (par des mots de passe générés par openssl : openssl rand -base64 12, intel dis qu'il met 2 millénaires à les craquer (sic)) et je compte sur l'enregistrement de ceux-ci par firefox pour les mémoriser. Je garde tout de même un fichier chiffré pour les récupérer en cas de besoin.

Blogzinet propose un panel d'extensions pour rendre plus automatisée la saisie des mots de passe (http://blogzinet.free.fr/blog/index.php?post/2013/05/05/Firefox-%3A-Toujours-retenir-les-mots-de-passe).

Et vous vous êtes très rigoureux à ce sujet ? Vous avez des outils hyper top pour gérer vos mots de passe pour vous ou vous préférez un entrainement intense pour les mémoriser tous ?

C'est pas une mais deux nimages que je vous propose, tirés toute deux de xkcd :

# Cadavre exquis !

Posté par aedrin le 10 mai 2013 à 10:38. Évalué à 2.

Ta deuxième image me suggère que finalement les surréalistes ont trouvé un moyen très simple de générer des mots de passe forts (disons de l'ordre du millénaire à craquer) mais mémorisables par un humain :-)

Cadavre exquis
- [^] # Re: Cadavre exquis !
  
  Posté par Jiehong (site web personnel) le 10 mai 2013 à 10:59. Évalué à 4.
  
  C'est exactement ce que je fais : j'utilise des phrases de 5 mots au moins. C'est assez simple à retenir je trouve, et efficace (majuscule en début de phrase, ponctuation en fin, et pourquoi pas des chiffres, hein.)
  
  Par contre, que faire quand un site nous fait chier pour des caractères spéciaux, mais qu'il n'accepte pas les mots de passe trop long ? (c'est idiot).
  
  J'ai aussi pensé à utiliser Unicode parfois. Comme par exemple avoir des mots de passe en caractères chinois.
  
  J'utilise aussi un mot de passe test au début : c'est un mot de passe que je changerai, après avoir testé le site, et pour savoir s'il m'envoie mon mot de passe ou pas. Si c'est le cas, je me désinscrit.
  - [^] # Re: Cadavre exquis !
    
    Posté par Nitchevo (site web personnel) le 10 mai 2013 à 19:38. Évalué à 2.
    
    J'utilise des titres de films que je modifie un peu et que j'écris sans espace, mon réseau wifi a été longtemps protégé par un mot de passe du style "letrainsiffleraquatrefois". En testant sur le site d'intel j'obtiens:
    
    CONGRATULATIONS!
    It would take about 66208386616748 years to crack your password.
    - [^] # Re: Cadavre exquis !
      
      Posté par 2PetitsVerres le 10 mai 2013 à 20:55. Évalué à 7.
      
      Moi si j'utilise juste mon nom de famille : CONGRATULATIONS! It would take about 317 years to crack your password.
      
      Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
# Pas entièrement d'accord avec xkcd

Posté par Jérôme Flesch (site web personnel) le 10 mai 2013 à 11:03. Évalué à 6.

À mon avis, le 1er xkcd linké tape parfaitement juste, mais le 2ième oublie une chose : il faut réussir à taper "correcthorsebatterystaple" dans un champ texte qui masque la saisie. Je suis à peu prêt sûr que la plupart gens ont déjà du mal à saisir leur mot de passe de 8 caractères sans typo, alors 26 … Peut-être faudrait-il généraliser la saisie de mot de passe avec le dernier caractère visible, comme elle est faite sur les smartphones ?

Sinon, pour répondre à ta question, moi j'utilise pwgen et pwsafe. Ça me permet d'avoir un master password qui protège ma base de données de mots de passe, et un mot de passe unique par site web. Comme ça, en cas de fuite/piratage/whatever, je n'ai jamais plus qu'un mot de passe à changer.
Il me reste toutefois le problème du login sur mes machines. J'ai le même couple login/mot de passe sur toutes mes machines perso. Pour résoudre ce problème, j'avais un ami qui avait joué avec les one-time passwords (il utilisait son téléphone portable pour les générer). Mais personnellement je n'ai pas eut le temps d'essayer.
- [^] # Re: Pas entièrement d'accord avec xkcd
  
  Posté par SpaceFox (site web personnel, Mastodon) le 10 mai 2013 à 11:15. Évalué à 6.
  
  il faut réussir à taper "correcthorsebatterystaple" dans un champ texte qui masque la saisie.
  
  D'expérience, c'est très facile pour qui a l'habitude de taper sans regarder son clavier. Par contre, je ne sais pas si Madame Michu y arriverait (on me rétorquera qu'elle utilise 1234).
  
  La connaissance libre : https://zestedesavoir.com
  - [^] # Re: Pas entièrement d'accord avec xkcd
    
    Posté par stopspam le 10 mai 2013 à 20:13. Évalué à 3.
    
    Pas sûr… Un mot de passe alphabétique sera toujours plus facile à taper étant donné qu'on utilise la fonction première de chaque touche.
    
    Pour les mots de passe chiadés, ça peste dans tous les coins du bureau : en allant vite les gens tapent mal un caractère spécial sur deux ($&@€…) et se loupent dans les majuscules. A part les dieux du ~~code~~ clavier.
  - [^] # Re: Pas entièrement d'accord avec xkcd
    
    Posté par claudex le 10 mai 2013 à 21:39. Évalué à 3.
    
    Je tape sans regarder mon clavier (de toute façon, ce ne sont pas les bons caractères écrits dessus) et pourtant, c'est le genre de truc où je ferrais facilement une faute.
    
    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
    - [^] # Re: Pas entièrement d'accord avec xkcd
      
      Posté par SlowBrain (site web personnel) le 10 mai 2013 à 23:26. Évalué à 3.
      
      Un adepte du «BÉPO» ? ;)
      
      Je sais que pour certains mots de passe j'ai tendance a plus utiliser ma mémoire musculaire que de vraiment retenir le mot de passe en lui même. En fait mes main sont tellement habituée a taper le mot de passe que les doigts fonts d'eux même les bon mouvement sur le clavier pour le taper.
      
      Mais bon, les mots de passe sont et restent un complexe sujet surtout pour les utilisateurs «simples».
      
      Je sais qu'as mon boulot, on en est arrivé a demander un mot de passe sur toutes les applications, pour finalement faire appel a un LDAP pour avoi le même couple ID/Pass partout (a quelques applications prés qui ne suivent pas se principe). Mais pour simplifier les choses, il y as 1 an ½, ils nous ont installé un SSO pour qu'on ai pas a taper toutes les 5 minutes notre mot de passe (SSO qui fonctionne moyennement)
      - [^] # Re: Pas entièrement d'accord avec xkcd
        
        Posté par claudex le 11 mai 2013 à 08:16. Évalué à 3. Dernière modification le 11 mai 2013 à 08:17.
        
        Un adepte du «BÉPO» ? ;)
        
        Non, je n'aime pas.
        
        En fait mes main sont tellement habituée a taper le mot de passe que les doigts fonts d'eux même les bon mouvement sur le clavier pour le taper.
        
        C'est le cas pour les 2/3 mots de passe que je tape très souvent mais dès que je dois taper un autre, c'est plus compliqué.
        
        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Un mot de passe par service

Posté par davandg le 10 mai 2013 à 11:08. Évalué à 2.

Perso, et je donne ce conseil autour de moi, j'ai un seul mot de passe qui se décline pour chaque service.

Je prend un mot de passe "compliqué", comme "8jS T/1D".
Sur gmail, ce mot de passe deviendra "8gjS T/1D".
Sur LinuxFr, "8ljS T/1D".

Les principales faiblesses :
- certains services ont des limitations sur le mot de passe (trop court, trop long, pas d'espace, pas de caractères spéciaux…), j'ai donc un mot de passe plus simple pour eux
- si un pirate accède à 2 de ces mots de passes, il peut trouver comment se connecter partout
- si j'ai plusieurs comptes sur le même service, ils ont le même mot de passe
- [^] # Re: Un mot de passe par service
  
  Posté par skeespin (site web personnel) le 10 mai 2013 à 11:29. Évalué à 3.
  
  Mes mots de passe son souvent mémo-technique, du genre :
  Linuxfr : Tr0llS!t3
  Gmail : B1gbr0|h3rM4il
  
  On peut augmenter la longueur du mot de passe assez simplement et rajouter des espaces.
  - [^] # Re: Un mot de passe par service
    
    Posté par barmic le 10 mai 2013 à 11:58. Évalué à 6.
    
    pour moi c'est le meilleur moyen d'oublier, les trucs mémo-techniques. Un jour je penserais à troll pour linuxfr, un jour ce sera à communauté ou je ne sais quoi.
    
    Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
  - [^] # Re: Un mot de passe par service
    
    Posté par Anonyme le 10 mai 2013 à 16:05. Évalué à 7.
    
    C'est quoi ton adresse mail déjà ? :)
- [^] # Re: Un mot de passe par service
  
  Posté par barmic le 10 mai 2013 à 11:57. Évalué à 3.
  Je prend un mot de passe "compliqué", comme "8jS T/1D".
  
  J'ai était surpris en testant la page d'Intel, mais il considère que c'est un mot de passe faible (cracké en une journée).
  - si un pirate accède à 2 de ces mots de passes, il peut trouver comment se connecter partout
  C'est un gros défaut à mon humble avis. Les mots de passe avec une base commune permettent souvent de déduire les autres, là ce n'est pas le cas mais tu n'a que 26 mot de passe possibles.
  
  Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
  - [^] # Re: Un mot de passe par service
    
    Posté par dj_ (site web personnel) le 10 mai 2013 à 14:02. Évalué à 3.
    
    J'ai était surpris en testant la page d'Intel, mais il considère que c'est un mot de passe faible (cracké en une journée).
    
    La page de test d'intel est très bizarre, quand on regarde les commentaires de gens qui ont testé sur PCinpact
    
    on peut voir qu'il y en a un qui écrit
    
    1 MdP avec 8 lettres minuscules et majuscules il faut 6H
    et un autre avec 9 lettres minuscules et majuscules + chiffres + caractères spéciaux il faut 5H.
    Complètement incoherent.
    - [^] # Re: Un mot de passe par service
      
      Posté par Faya le 10 mai 2013 à 14:58. Évalué à 2.
      
      Je confirme, c'est bizarre :
      - un simple mot du dictionnaire anglais (13 lettres quand même) dans lequel j'ai remplacé un i par un 1 : 3700 ans
      - deux mots anglais qui n'ont pas l'habitude d'être ensemble (9 lettres au total) dans lesquels j'ai remplacé un o par un 0 : 13 secondes !
      - [^] # Re: Un mot de passe par service
        
        Posté par duf le 11 mai 2013 à 11:37. Évalué à 3.
        
        Je suis d'accord, ou alors ils ont mis le seul dictionnaire anglais. Avec le mot : "anticonstitutionnellement" cela donne : "786646735746960700000 years to crack"
        
        Avec mon mot de passe aléatoire que j'estime compliqué, avec 4 majuscules, une minuscule, 2 chiffres et 3 caractères spéciaux le tout dans le désordre, il me dit qu'il faut seulement un mois pour le trouver…
        
        Le pire, si je réduis le mot du dico ci dessus et que je le limite à 10 caractères, la même longueur que mon mot de passe, il estime à 5 mois le délai pour le trouver… En plus d'être ridicule cette page est limite dangereuse de faire croire qu'un mot de passe comme "anticonsti" est sûr (on a le message congratulations il faut 5 mois pour le trouver) alors qu'un mot de passe comme "FGiMZµ!98;" se fait tirer les oreilles car "oh no" il faut seulement un mois pour le trouver….
        
        Malgré ces résultats, je crois que je ne vais pas suivre ses conseils en gardant mon mot de passe et en n'utilisant pas un mot du dictionnaire français, tout aussi long soit-il :-)
        
        [^] # Re: Un mot de passe par service
        
        Posté par Marotte ⛧ le 11 mai 2013 à 12:28. Évalué à 3.
        
        Autant je suis d'accord avec ton message autant :
        
        En plus d'être ridicule cette page est limite dangereuse de faire croire qu'un mot de passe comme "anticonsti" est sûr
        
        Et bien il n'est pas fort mais il n'est pas si faible non plus.
        
        Il n'est pas dans un dictionnaire, en tous cas pas dans les langues les plus répandues
        
        Si on sait que c'est un mot aléatoire avec seulement des minuscules on a encore 26¹⁰ possibilité, soit plus de 1633 jours à 1000000 essais/seconde
        
        Bon, il reste faible en fait car on peut imaginer une attaque mixte qui prendrait pour chaque mot du dico, en plus du mot lui même, toutes les « diminutions » possible, ex :
        
        voiture, voitur, voitu, voitu, voit, voi, vo, v
        
        Même en ajoutant des variations genre minuscule/majuscule, 4 à la place du a, etc… On a toujours nettement moins de possibilités à tester que du pur aléatoire.
        
        Le logiciel jacktheripper permet justement de créer ce genre de liste de variations à partir d'un dico, par contre j'ai jamais vraiment bien saisi sa syntaxe pour définir ces règles.
        
        [^] # Re: Un mot de passe par service
        
        Posté par oinkoink_daotter le 13 mai 2013 à 08:48. Évalué à 2.
        
        Le logiciel jacktheripper
        
        johntheripper, non ?
        
        [^] # Re: Un mot de passe par service
        
        Posté par Marotte ⛧ le 13 mai 2013 à 19:50. Évalué à 2.
        
        toutafé
        
        Jack c'est le tueur de péripatétiputes.
        
        (flemme de chercher le lien, synapses encrassées tout ça…)
    - [^] # Re: Un mot de passe par service
      
      Posté par Guillaume Knispel le 10 mai 2013 à 15:00. Évalué à 2.
      
      Complètement incoherent
      
      Ça dépend des mdp. Par ex entre un mot du dico long et du pur aléatoire un peu plus court, la meilleure sécu peut être sur le pur aléatoire.
      - [^] # Re: Un mot de passe par service
        
        Posté par Marotte ⛧ le 11 mai 2013 à 11:27. Évalué à 2. Dernière modification le 11 mai 2013 à 11:31.
        
        Par ex entre un mot du dico long et du pur aléatoire un peu plus court, la meilleure sécu peut être sur le pur aléatoire.
        
        C'est même sûr. Pour trouver le mot de passe en générale on fait d'abord une attaque par dictionnaire, ce qui est assez rapide, il n'y a pas tant de mot que ça dans une (voir deux ou trois) langue(s) donnée(s), de l'ordre de 200000 pour le français par exemple, ce qui est nettement inférieur à 26^5.
        
        Cela n'explique pas :
        
        1 MdP avec 8 lettres minuscules et majuscules il faut 6H
        et un autre avec 9 lettres minuscules et majuscules + chiffres + caractères spéciaux il faut 5H.
    - [^] # Re: Un mot de passe par service
      
      Posté par Tonton Benoit le 11 mai 2013 à 22:19. Évalué à 3.
      
      Mieux que la page d'Intel : https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html
      
      Eux au moins ils expliquent le calcul.
      - [^] # Re: Un mot de passe par service
        
        Posté par Anonyme le 12 mai 2013 à 00:10. Évalué à 2.
        
        Y a juste un truc que je ne comprends pas : si on considère le mot de passe « -_1234554321_- », le script considère qu’il faut trois jours pour le casser (le mot de passe est faible, mais c’est un simple exemple). La démarche est la suivante :
        
        « -_ » → bruteforce ;
        
        « 12345 » → dictionaire de mot de passe ;
        
        « 54321 » → suite de chiffre décroissante ;
        
        « _- » → bruteforce.
        
        Pourquoi la « symétrie » n’est pas testé ? C’est courant de voir des effets du genre « -=texte=- », je pense que ça doit apparaître souvent dans des mots de passe.
        
        [^] # Re: Un mot de passe par service
        
        Posté par Anonyme le 12 mai 2013 à 00:19. Évalué à 2.
        
        Je viens de trouver un exemple un peu plus parlant.
        
        En considérant le mot de passe « -_ifdkkdfi_- » voilà ce que j’obtiens :
        
        « -_ » → instantané ;
        
        « _- » → instantané ;
        
        « ifdkkdfi » » → 17 heures ;
        
        « -_ifdk » → 10 heures ;
        
        « kdfi_- » → 15 heures ;
        
        « -_ifdkkdfi_- » → centuries.
# KeePassX

Posté par Anonyme le 10 mai 2013 à 11:26. Évalué à 6.

Et vous vous êtes très rigoureux à ce sujet ? Vous avez des outils hyper top pour gérer vos mots de passe pour vous ou vous préférez un entrainement intense pour les mémoriser tous ?

J'utilise KeePassX qui génère et retient les mots de passes pour moi. Je connais quelques mots de passes par cœur (qui sont en réalité des phrases assez longues en camel case) notamment mes mots de passes root (quand il y en a), mes mots de passes utilisateur, les passephrases de déchiffrement des partitions, les mots de passe des boites mails, etc.
- [^] # Re: KeePassX
  
  Posté par paco81 le 10 mai 2013 à 13:41. Évalué à 0. Dernière modification le 10 mai 2013 à 13:43.
  
  Moi aussi, avec en plus keepass sous windows et keepassdroid sous android, et un fichier stocké "dans le cloud".
  J'en suis hyper satisfait, le must c'est le raccourci global "autotype" (sous windows en tout cas, avec keepassx je ne sais pas) qui détecte le site où tu te trouves, et saisit automatiquement ton nom d'utilisateur et mot de passe, sans avoir à ré-ouvrir keepass.
  Et puis ça permet aussi d'avoir un suivi de tous ses comptes, ce qui est appréciable (et quand je vois que j'en ai saisi presque une cinquantaine, je me demande comment je faisais avant !).
  - [^] # Re: KeePassX
    
    Posté par Jérôme Flesch (site web personnel) le 10 mai 2013 à 15:42. Évalué à 2. Dernière modification le 10 mai 2013 à 15:43.
    
    "dans le cloud"
    
    Hm, et il se passe quoi si ton cloud se fait démonter par des pirates et que, comme c'est déjà arrivé trop souvent par le passé, le chiffrage de des données se révèle insuffisant voir inexistant ?
    
    Pour ma part, je stocke ça sur mes machines perso. Ça ne veut pas dire que je suis à l'abri d'un piratage, mais ça veut dire que je sais à peu prêt comment la sécurité de mes mots de passe est assurée. Aussi, à mon avis, il y a quand même moins de chances que mes machines perso se fassent démonter par une attaque ciblée qu'un service de cloud (nettement plus rentable pour un pirate).
    - [^] # Re: KeePassX
      
      Posté par Zylabon le 10 mai 2013 à 16:03. Évalué à 10.
      
      Tu n'as pas compris le principe du "cloud". Tu ne peux pas le « démonter », parce que tu ne peux pas l'attraper. Il est tout à fait nébuleux, partout et nulle part à la fois. Le pirate qui veut l'attaquer va avancer vers lui et passer au travers sans même s'en être rendu compte.
      
      Please do not feed the trolls
    - [^] # Re: KeePassX
      
      Posté par paco81 le 10 mai 2013 à 16:05. Évalué à 2.
      
      Evidemment, les fichiers keepass sont chiffré, c'est quand même le minimum.
      Et puis "cloud" n'est pas incompatible avec machine perso. L'idée est simplement d'avoir un accès facile à ta base de mots de passe, que ce soit depuis ta machine perso, un dropbox, une clé usb, peu importe.
    - [^] # Re: KeePassX
      
      Posté par Anonyme le 10 mai 2013 à 16:27. Évalué à 3.
      
      Hm, et il se passe quoi si ton cloud se fait démonter par des pirates et que, comme c'est déjà arrivé trop souvent par le passé, le chiffrage de des données se révèle insuffisant voir inexistant ?
      
      Je pense qu'actuellement, le seul risque que j'ai, c'est que ma KDB soit corrompue ou effacer.
      
      Je la partage entre mes machines via Ubuntu One (parce que, faut pas déconner, une KDB qui n'est pas synchroniser entre tes machines, c'est inutile). Donc, même si un « attaquant » a accès aux données qui sont sur Ubuntu One, il lui faut encore la première parie du mot de passe (que je connais), plus la seconde partie, stocké dans sur ma Yubikey pour déverrouiller la base.
# Générateurs de mots de passe ?

Posté par mrr le 10 mai 2013 à 11:44. Évalué à 0.

Salut,

Je ne sais pas si utiliser une suite de mots présents dans le dictionnaire est une bonne idée: Est-ce que ça ne rends pas vulnérable à une attaque par dictionnaire ?

Personnellement, j'utilise PasswordMaker qui me génère un mot de passe de 15 caractères à partir d'une URL, d'un nom d'utilisateur et d'un mot de passe maître…

Il me semble que 16¹⁵ possibilités doivent suffirent, mais comme les mots de passe sont générés avec quasiment toujours le même nom d'utilisateur et l’adresse du site, je me demande si ils ne sont pas prédictibles…

Envoyé depuis ma Debian avec Firefox
- [^] # Re: Générateurs de mots de passe ?
  
  Posté par Michaël (site web personnel) le 10 mai 2013 à 15:18. Évalué à 2. Dernière modification le 10 mai 2013 à 15:19.
  
  Je ne sais pas si utiliser une suite de mots présents dans le dictionnaire est une bonne idée: Est-ce que ça ne rends pas vulnérable à une attaque par dictionnaire ?
  
  Tu peux voir un dictionnaire de 300000 mots comme un alphabet A avec 300000 lettres. Un mot de passe habituel est un mot dans un alphabet B avec environ 70 lettres.
  
  Comme log(300000) / log(70) est environ égal à 3, une mot de passe de 6 lettres dans A est aussi sûr qu'un mot de passe de 18 = 3 x 6 lettres dans B.
  
  Si au lieu de regarder un dictionnaire de 300000 mots tu te restreints au 20000 mots les plus courants (alphabet C), le rapport est environ égal à 7/3 et un mot de passe de 6 lettres dans C est aussi sûr qu'un mot de passe de 6 x 7/3 = 14 lettres dans B.
  
  Deux liens:
  
  http://world.std.com/~reinhold/diceware.html
  
  http://xkcd.com/936/
# passgrid

Posté par devnewton 🍺 (site web personnel) le 10 mai 2013 à 11:44. Évalué à 1.

LA solution: http://devnewton.bci.im/projects/passgrid/home

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# Wiki

Posté par BFG le 10 mai 2013 à 12:18. Évalué à 4.

Un petit message juste pour rappeler qu'il y a quelques articles sur le wiki de LinuxFR et que chacun peut y contribuer s'il a envie.
# Les habitudes

Posté par Arthur Geek (site web personnel) le 10 mai 2013 à 12:43. Évalué à 2.

Il y a quelques années, j'ai réussi à me débarrasser de l'habitude d'utiliser deux mots de passe partout.

J'ai un mot de passe généré par pwgen pour chaque service, le tout précieusement conservé dans Keepass. Maintenant, étant assez en accord avec le xkcd 936, je me palucherait bien la modif de tous ces mots de passe pour des phrases aléatoires, éventuellement en latin (j'ai une phrase en latin pour le WPA qui est assez forte). En plus ça permettrait de modifier mes mots de passe, ce qui ne fait jamais de mal. Il me manque juste la motivation…

Prochainement, je vous proposerai peut-être un commentaire constructif.
# Single Point of Failure

Posté par fcartegnie le 10 mai 2013 à 13:05. Évalué à 6.

S'ils en parlent tous, c'est parce qu'ils étaient tous sur Linked.in et autre et que leur mot de passe a fuité et ont été sensibilisé à leur dépens. Sinon, je pense qu'ils s'en taperaient toujours.

Mettre un mot de passe différent sur chaque compte, c'est pour éviter la réutilisation en cas de fuite: Sauf qu'en général il suffit uniquement d'obtenir le mot de passe du compte mail de l'utilisateur pour avoir le moyen de changer tous les autres…
- [^] # Re: Single Point of Failure
  
  Posté par barmic le 10 mai 2013 à 14:06. Évalué à 2.
  
  S'ils en parlent tous, c'est parce qu'ils étaient tous sur Linked.in et autre et que leur mot de passe a fuité et ont été sensibilisé à leur dépens. Sinon, je pense qu'ils s'en taperaient toujours.
  
  McAffe et Intel ? J'ai un doute quand même.
  
  Mettre un mot de passe différent sur chaque compte, c'est pour éviter la réutilisation en cas de fuite: Sauf qu'en général il suffit uniquement d'obtenir le mot de passe du compte mail de l'utilisateur pour avoir le moyen de changer tous les autres…
  
  Tu as raison. Tu as une solution pour ça ? Certains service font de l'authentification 2 steps pour changer le mot de passe mais en l'état, pour les utilisateurs ça leur fait une belle jambe.
  
  Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
  - [^] # Re: Single Point of Failure
    
    Posté par Zylabon le 10 mai 2013 à 15:03. Évalué à 4.
    
    Avoir son propre serveur mail et s'y connecter avec une clé privée ?
    
    Please do not feed the trolls
  - [^] # Re: Single Point of Failure
    
    Posté par paco81 le 10 mai 2013 à 15:33. Évalué à 1.
    
    Avec gmail tu peux avoir l'authentification 2 steps systématique, pas seulement pour le changement de mot de passe.
    J'imagine que ça doit pas être difficile à mettre en place pour un serveur perso. Sur synology DSM en tout cas y'a une option pour ça (je ne l'ai pas testée).
# Mots de passe via HMAC

Posté par jben le 10 mai 2013 à 14:26. Évalué à 6. Dernière modification le 10 mai 2013 à 14:27.
Perso pour générer mes mots de passes j'utilise HMAC tel que décrit dans la RFC2104.
```
import hashlib
import hmac

class mdp:
    def __init__(self, key, msg):
        self.h = hmac.new(key,msg,hashlib.sha256)

    alphanumspecial = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789<>?,./;\'\\:"|[]{}`-=~!@#$%^&*()_+'
    alphanum = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'
    alpha = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
    num = '0123456789'

    def get(self,length=15,alphabet=alphanum):

        n = int(self.h.hexdigest(),16)

        password = ''

        while(len(password)<length and n>0):
            password += alphabet[n%len(alphabet)]
            n=n//len(alphabet)

        return(password)
```
J'ai ma clef secrete, que je ne communique à personne, et pour chaque site j'utilise une chaine pour l'identifier, par exemple linuxfr ou servicepublic. Je calcule condensat HMAC (SHA256), puis je décompose ce condensat dans un alphabet et je tronque. Par defaut j'utilise l'alphabet alphanumérique (donc base62), et je tronque à 15 caractères.

Cela se résume en :
```
from mdp import mdp
mdp('ma_clef','le_service').get()
```
Si la clef est suffisament forte, cela fait une entropie de 89 bits.

Après dans la vrai vie j'ai une toute petite gui que je lance avec un raccourci clavier, je rentre ma clef et le nom du site, puis je valide et ça me met le mot de passe dans le champ de texte. (Ce code fait appel à celui cité içi, mais il est trop moche pour que je publie ici), et j'ai une version de secours qui s'utilise en ligne de commande sur mon mobile au cas où.

De cette manière, je n'ai aucun soucis de synchronisation d'une quelquonque base de donnée.
- [^] # Re: Mots de passe via HMAC
  
  Posté par Moonz le 11 mai 2013 à 00:37. Évalué à 3.
  
  L’inconvénient évident de cette méthode est que tu ne pourras jamais changer ta clé sans changer tous tes mots de passes sur tous tes sites.
  - [^] # Re: Mots de passe via HMAC
    
    Posté par jben le 11 mai 2013 à 00:47. Évalué à 2.
    
    C'est parfaitement vrai.
    
    Toutefois les avantages de cette methode dépasse cette inconvéniant, c'est à dire méthode de construction du digest éprouvé, flexibilité (sur toutes mes machines) et absence de synchronisation.
    
    Alors je fais avec ce désavantage.
# Carnet

Posté par Michaël (site web personnel) le 10 mai 2013 à 15:26. Évalué à 4.

Je note la plupart de mes mot de passe dans un carnet et retiens par cœur la poignée de mot de passe vraiment importants (la banque et mes deux mails principaux, machine).

Pour une personne privée (hors contexte entreprise, défense, sûreté, etc.) c'est une politique de sécurité complètement raisonnable.
- [^] # Re: Carnet
  
  Posté par Arthur Geek (site web personnel) le 10 mai 2013 à 16:05. Évalué à 3.
  
  Il faut penser à mettre Amazon dans les mot de passe "sensibles" à ne pas noter vu qu'ils conservent ton numéro de CB pour la commande en 1 clic.
  
  Prochainement, je vous proposerai peut-être un commentaire constructif.
# Le problème, c’est les autres ...

Posté par zebul0n (site web personnel) le 10 mai 2013 à 16:32. Évalué à 2.

Parfois, on aimerait bien utiliser un mot de passe fort, mais c’est le fournisseur du service qui impose des contraintes à la con.
D’ailleurs, j’ai remarqué que ce sont souvent ceux qui nécessiterais le plus de sécurité qui sont le plus à la rue …

Exemple avec impots.gouv.fr ou on aimerait bien que les informations qu’on leur fournit ne se retrouve pas dans la nature :
Le mot de passe doit respecter les critères suivants :
* être une série de chiffres et lettres ne comportant ni espaces, ni caractères accentués.
* longueur minimale de 8 caractères et de 20 caractères au maximum.

Pourquoi ces règles arbitraires ?

Et je parle même pas de ma banque …
- [^] # Re: Le problème, c’est les autres ...
  
  Posté par Anonyme le 10 mai 2013 à 16:47. Évalué à 3.
  
  Ma banque (le Crédit Mutuel) ne tolère pas les mots de passes dépassant 8 caractères et l'identifiant est une valeur super difficile à obtenir : le n° du compte courant.
  - [^] # Re: Le problème, c’est les autres ...
    
    Posté par Zylabon le 10 mai 2013 à 17:42. Évalué à 2.
    
    Dans ma banque, crédit coopératif, mon identifiant ressemble au mot de passe que tu décris et le mot de passe est calculé par un petit boitier avec carte bleu et est valable 30 secondes. C'est cool !
    
    Please do not feed the trolls
# Firefox, stockage des mots de passe

Posté par cowboy le 10 mai 2013 à 16:45. Évalué à 1.

Si tu utilises le stockage des mots de passe dans firefox, fais bien attention à utiliser un "master password" bien robuste. Cela évitera à n'importe qui (cad n'importe quel code malveillant) de récupérer directement tous tes mots de passes.

Sinon, Keepass a été mentionné, il a la particularité (dans sa version 2, sous Windows) d'avoir été certifié CSPN, ce qui donne un minimum de garanties sur sa robustesse : http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/certificat_cspn_2010_07.html

Sinon, clairement, le plus gros risque est la réutilisation de mots de passes : si un forum pourri stocke les mots de passe en clair, la personne malveillante pourra essayer de le rejouer sur le mail, sur d'autres sites, etc.

Le commentaire qui parle de dérivation de mots de passe en fonction du site me semble un bon compromis : peu d'attaquants (non ciblés) vont chercher à corréler les mots de passe et de toutes manières un attaquant réellement motivé trouvera une autre solution.
# Plus simple

Posté par 2PetitsVerres le 10 mai 2013 à 20:45. Évalué à 3.

À part pour mes banques ou mes comptes emails, et quelque autres trucs surement, mais ça ne me viens pas à l'esprit là, je n'en ai pas grand chose à faire de me faire piquer mes mots de passe. Du coup, suivant l'humeur du moment, je laisse le mot de passe généré aléatoirement par le site et j'enregistre le cookie, sans retenir le mot de passe, ou alors j'utilise «toto» ou «lenomdusite» comme mot de passe. Et si je dois me connecter depuis ailleurs que mon pc habituel, je clique sur «renvoyez-moi un nouveau mot de passe» et je vais lire mes emails. Du coup, je n'ai qu'à me souvenir de cinq ou six mots de passes long et différents, je ne m'encombre pas du reste.

Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
# root ?

Posté par kadalka le 12 mai 2013 à 00:24. Évalué à -10.

Il m'est arrivé de mettre root comme mot de passe. :-D
(C'est vrai que le matos n'allait pas sur le net non plus…)
[On vire un admin pour moins que çà]

Les MdP dans mon cas sont au minimum de lettre et de chiffres.
Souvent, je mets des caractères spéciaux.
Ce n'est pas le même mdp pour ce qui est critique et ce qui ne l'est pas.

Sur linuxfr mon mdp est complexe [plusieurs caractères spéciaux, lettres et chiffres].
(Vu les " méchants " ici, il vaut mieux être prudent…)

Je change certains mdp assez souvent…
(Le risque est faible car je suis assez exigeant)

Le problème n'est pas dans le mot de passe je pense.
Si quelqu'un veut pirater un compte il y arrivera quand même mais pas nécessairement en passant par un mot de passe.
Tout dépend des moyens qu'il met bien sûr.
Des mauvais hackers ont bien réussit à pirater le pentagone non ?
# en fin de compte

Posté par maboiteaspam le 12 mai 2013 à 03:08. Évalué à 2.

C'est s'occuper des sypmtômes, pas de l'origine du problème. Faut il que je développe l'utopie.. En tout cas pour sûr c'est perdu d'avance.
Les machines vont être de plus en plus sur connectés , les gens aussi, que ce soit par la technique ou par l'ingénierie social, l'exposition étant plus forte, les failles exploitées seront plus nombreuses.
Augmenter la force des mots de passes et une fuite en avant pour parer au plus pressé.

Quoiqu'il en soit et pour revenir à des réalités plus immédiates, si mon rssi pouvait communiquer le millième de ce que les médias nous donnent à manger sur le sujet, ce serait un grand pas en avant.
Et alors, si par le plus grand des hasard et lever d'un pied gauche, il pouvait communiquer d'une manière aussi sympathique que ces xkcd, alors il ferait de la sécurité informatique un sujet dont ces utilisateurs peuvent s'emparer pour en discuter entre eux et le faire vivre au delà des règles barbantes à respecter en permanence.
Car oui la sécurité du point de vue l'utilisateur est souvent d'une insupportable barbarie.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.