Journal La loose des mots de passe sur les sites webs

Posté par . Licence CC by-sa
23
19
juin
2014

Bonjour Nal,

Plein de sites webs permettent de s'inscrire via un login et un mot de passe. Les mots de passe, on le sait, c'est la loose absolue. Entre la très grande majorité des gens qui continuent de mettre 123456 ou password comme mot de passe et les formulaires webs qui imposent un minimum de 23 caractères dont au moins une majuscule, une minuscule, un nombre, un caractère spécial, deux emojis et une résistance au dictionnaire, on ne sait pas trop quoi faire.

Des couples login/pass, j'en ai des stocks entiers. Et ça va depuis le site linuxfr (vous connaissez? c'est un très bon site) en passant par des forums techniques, le site EdF pour payer mes factures, mon prestataire de santé, des webmails, boobpedia, etc etc.. Comme je suis un utilisateur concerné par la sécurité de mes données, je n'utilise pas le même couple login/pass sur tous les sites (mettre une petite auréole au dessus de ma tête et un petit coq qui fait cocorico derrière moi dans le soleil levant).

J'ai trouvé 247 méthodes pour stocker les mots de passe. Généralement on conseille:

  • tout stocker dans le navigateur. Pour cela, il faut utiliser le même navigateur tout le temps. J'ai un ordi au boulot, un chez moi + un portable + un smartphone, avec opera, Firefox et Chrome. C'est pas jouable
  • utiliser un logiciel de stockage de mot de passe comme keeppass etc.. Je trouve ça pénible, et le côté multisystème n'arrange rien
  • avoir une bonne mémoire. C'est dommage, mais quand j'étais petit, on m'avait donné le choix entre un gros sexe et une bonne mémoire et je ne me souviens plus de ce que j'ai choisi.
  • Noter tout ça sur un papier avec un crayon (ça se trouve encore dans certaines boutiques d'antiquité. Ca ne consomme pas de piles, ça se backupe facilement et ça ne fait jamais de kernel panic)

Bref. Je n'ai rien trouvé de vraiment pratique, alors je vous soumet ma solution.

J'ai trié les sites webs selon leur importance:

  • vital (linuxfr, webmail)
  • important (autres sites)
  • tout venant (forum à inscription obligatoire, etc..)

Les sites vitaux, je connais le mot de passe.
Les sites importants ont tous un système de récupération de mot de passe oublié. Lorsque ma mémoire fait défaut, je coche l'option et zou, direction webmail et login sur le site visé.
Les autres, j'utilise des one time password avec des @mail jetables comme il en existe tant.

c'est finalement la solution la plus rapide et la plus pratique, qui marche partout, et qui ne me laisse pas locké dehors.

J'ai l'impression d'avoir complètement détourné la sécurité des sites webs: leur mot de passe est inutile, et je détourne la fonction de récupération de pass en login. La sécurité repose donc uniquement sur mon webmail.

Et vous, comment faites vous?

  • # pareil ou presque

    Posté par . Évalué à 5.

    Sur les site, dont je me fous, je mets le même mots de passe. Les trucs important que l'on utilise pas souvent, j'utilise un papier (genre le compte admin pour un gestionnaire de domaine).

    "La première sécurité est la liberté"

    • [^] # Re: pareil ou presque

      Posté par . Évalué à 10.

      Perso, j'ai une méthode foireuse : je fais tourner les mots de passe. Pour les trucs importants (les mails du boulot, etc), je change le mot de passe de temps en temps. Du coup, le nouveau devient "méga-secret", et je recycle les anciens pour les trucs un peu moins importants, etc.

      Le problème, c'est quand quand j'essaye de me logguer à un site web, du coup, je fais défiler la série de mots de passe tant que ça marche pas. J'ai toujours prévu de devenir méchant un jour, et de créer un site bidon qui ne fait que demander des couples login/password sans jamais te laisser rentrer.

      • [^] # Re: pareil ou presque

        Posté par . Évalué à 2.

        Il y a bien déjà des sites de phishing qui stocke les mots de passe en plus de ne pas de laisser entrer.

        • [^] # Re: pareil ou presque

          Posté par . Évalué à 3.

          J'avoue que je ne sais pas comment fonctionnent les sites de phishing, j'imaginais qu'ils te laissaient entrer avec n'importe quel couple login/passwd.

  • # Variante

    Posté par (page perso) . Évalué à 1.

    Les autres, j'utilise des one time password avec des @mail jetables comme il en existe tant.

    J'utilise une variante avec un mail "jetable persistant" quand c'est possible (yopmail.com). Comme ça, je peux aussi utiliser la méthode du "j'ai oublié un mot de passe" aussi pour ceux là.

  • # le site EdF

    Posté par (page perso) . Évalué à 8.

    Hors-Sujet, mais tout le monde a-t-il autant de problèmes que moi avec le site EDF? Dès que j'ai quelque chose à y faire (modifier une coordonnées, saisir un relevé, récupérer une info…), je dois batailler un moment avant qu'il ne tombe en marche. C'est presque systématique.

    Prochainement, je vous proposerai peut-être un commentaire constructif.

    • [^] # Re: le site EdF

      Posté par (page perso) . Évalué à 10.

      J'ai la même expérience utilisateur que toi! J'espère que les centrales sont mieux gérées…

      http://devnewton.bci.im

    • [^] # Re: le site EdF

      Posté par . Évalué à 2.

      En ce moment j’aime beaucoup le « nous vous confirmons votre paiement de montant_de_la_facture_précédente € », euh ? ah non, c’est bon, c’est le montant de la facture actuelle qui a été prélevé…

    • [^] # Re: le site EdF

      Posté par . Évalué à 2.

      Si mes souvenirs sont bons, le comble c'est que le site d'EDF n’accepte pas les @ dans les mots de passe.

    • [^] # Re: le site EdF

      Posté par . Évalué à 9.

      J'ai eu une conseillère un jour au téléphone et je lui ai fait remarquer que leur site web était en platre. Elle m'a répondu : "Je comprends pas tout semble fonctionner normalement".

      J'en ai donc déduit que le non fonctionnement du site web était la norme.

      • [^] # Re: le site EdF

        Posté par (page perso) . Évalué à 4.

        Bon, vous me rassurez, je commençais à penser que j'étais visé personnellement.

        Prochainement, je vous proposerai peut-être un commentaire constructif.

  • # Algo

    Posté par . Évalué à 6.

    J'ai un algo en tête pour générer/retrouver un mot de passe en fonction du nom du site. Ainsi tous les mots de passes sont différents mais je les retrouve automatiquement. En local j'ai un petit script pour les calculer à ma place, en dehors je fait mon petit calcul dans la tête.
    Comme genre d'algo ça peut être je prend le nombre de lettre du nom du site, je le multiplie par 42, je prend les lettres de chaque chiffres puis le nombre de voyelles etc… Il faut prendre le temps de concocter un petit algo qui ne soit pas trop simple mais pas trop compliqué non plus.
    Le plus embêtant c'est les sites où on est restreint, par exemple on n'a pas toujours la possibilité d'utiliser les signes. Généralement majuscules/minuscules et chiffres c'est accepté partout et la combinaison des 3 me semble assez robuste. Pour les exceptions je les notes en clair, ça n'indique pas assez de renseignements pour le cacher, ex edf : pas de tirets.

    • [^] # Re: Algo

      Posté par (page perso) . Évalué à 10.

      Même chose ici, avec trois classes de mots de passe selon le sérieux du service qui me le demande : je commence par essayer avec un algo pour construire des mots de passe plutôt solides, puis si c'est refusé à cause de contraintes débiles je passe à une classe inférieure de mot de passe, et ainsi de suite.

      Le cas où j'ai dû dégrader le plus mon mot de passe, c'est ma banque, qui demande que ce soit exclusivement des chiffres : le résultat est comme demandé un mot de passe de merde.

      • [^] # Re: Algo

        Posté par (page perso) . Évalué à 6.

        Le cas où j'ai dû dégrader le plus mon mot de passe, c'est ma banque, qui demande que ce soit exclusivement des chiffres : le résultat est comme demandé un mot de passe de merde.

        Pour ma banque c'est pareil mais comme tu n'as le droit qu'à 3 essais pour un code à 6 chiffres, il est peu probable qu'ils tombent bons…
        La limitation du nombre d'essais me semble plus pertinente que des mots de passes à rallonge que tout le monde oublie.

        • [^] # Re: Algo

          Posté par (page perso) . Évalué à 3. Dernière modification le 19/06/14 à 14:47.

          La limitation du nombre d'essais me semble plus pertinente que des mots de passes à rallonge que tout le monde oublie.

          C'est pertinent, oui, tant que tu ne te fait pas pomper ta base de données (les "mechants" peuvent alors tester autant de fois qu'il veulent, et 6 chiffres, c'est très très rapide à faire).
          A faire que si ta base est très très bien protégée (donc que tes admins font plus de choses que ceux de Twitter pour ne prendre qu'un exemple de "gros" non bancaire qui se loupe)

          • [^] # Re: Algo

            Posté par . Évalué à 1.

            les "mechants" peuvent alors tester autant de fois qu'il veulent, et 6 chiffres, c'est très très rapide à faire

            • si c'était en clair, pas besoin de plus d'une fois ^^
            • si c'est chiffré en symétrique, pas facile de retrouver la clé : faut en essayer un paquet pour tomber sur une qui ne donne que des chiffres pour toutes les entrées
            • si c'est du MD5, pas besoin d'essayer plusieurs fois, tu fais tous les nombre de 0 à 999999 et quand un MD5 est dans la liste, tu as le code
            • si il y a un salt, là ça devient très dur.
            • si tu es la NSA, tu as la clé.
            • [^] # Re: Algo

              Posté par . Évalué à 3.

              si il y a un salt, là ça devient très dur.

              Tu plaisantes j'espère ?

              Je récupère le sel, qui est pas utilisateur en même temps que la base. Pour chaque utilisateur, je bruteforce connaissant le sel, chez moi, avec mon vieux processeur je fais 10⁵ hash/seconde, bref en espérance 5 secondes pour avoir le mot de passe d'un utilisateur.

              Alors c'est vrai que qu'on ne peux pas travailler de manière globale, et qu'on doit travailler utilisateur par utilisateur, mais ça me parait un peu faiblard de baser la sécurité là dessus.

              Ça me fait penser aux incompétents qui anonymisent une base de donnée de faisant un hash(nom.prenom) en fournissant à coté la liste des (nom,prenom)s.

        • [^] # Re: Algo

          Posté par (page perso) . Évalué à 4.

          C'est bien si personne ne s'amuse à bloquer ton compte. Ça peut vite arriver si une personne fait une erreur dans son numéro de compte et que ça tombe par malchance sur le tien.

          Il y a quelques années, mon accès était régulièrement bloqué, il fallait que je passe à l'agence pour le réactiver.

        • [^] # Re: Algo

          Posté par (page perso) . Évalué à 4.

          La limitation du nombre d'essais me semble plus pertinente que des mots de passes à rallonge que tout le monde oublie.

          Soit tu fais une limite globale, et dès que quelqu'un connaît ton user, il peut s'amuser à bloquer ton login. Soit tu fais un limite par IP mais n'importe qui avec un botnet peut contourner ça et dès qu'un collègue se plante dans l'entreprise, tout le monde derrière le NAT est impacté. Ce qui se fait, c'est un captcha au bout de 3 essais foireux, c'est loin d'être parfait pour lutter contre le bruteforce mais ça doit être le seul qui n'impacte pas trop les utilisateurs.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Algo

            Posté par . Évalué à 2.

            avec un compteur "ip+user", tu n'impacte pas les users derrière un NAT.
            et tu peux avoir un compteur pour juste "user" très haut, genre 100, pour préserver du botnet.
            captcha c'est un plus mais peu résistent à un réseau criminel : entre les algos qui en cassent la majeur partie et les humains qui font ça pour une poignée de cents, ça casse vite.

    • [^] # Re: Algo

      Posté par . Évalué à 3.

      Pourquoi ne pas utiliser cette solution qui est assez portable : http://www.passwordmaker.org

  • # Mémoire

    Posté par . Évalué à 10.

    • avoir une bonne mémoire. C'est dommage, mais quand j'étais petit, on m'avait donné le choix entre un gros sexe et une bonne mémoire et je ne me souviens plus de ce que j'ai choisi.

    Ben si tu as choisi d'avoir une bonne mémoire, je pense que tu t'es fais arnaquer…

    • [^] # Re: Mémoire

      Posté par . Évalué à 3.

      Ben non, il se rappelle qu'on le lui a demandé, donc il a dû choisir ça.

    • [^] # Re: Mémoire

      Posté par . Évalué à 5.

      je pense que tu t'es fais arnaquer

      Je pense que c'est précisément ça qui est drôle.

  • # Même tronc commun mais variantes

    Posté par . Évalué à 4.

    J'ai résolu ce problème en utilisant un même tronc commun que j'ai appris par cœur et en rajoutant quelques lettres / chiffres en fonction du nom du site sur lequel je me trouve.
    Imaginons que mon tronc commun soit azert•¿∫ÎË et que je suis sur Linuxfr, mon mot de passe pourrait ressembler au suivant : azertL•¿∫ÎFRË.

    Cependant, il m'arrive d'avoir au final des mots de passes similaires entre certains sites mais c'est assez rare. Au final, il suffit d'augmenter le nombre de caractères à prendre dans le nom de domaine pour réduire au maximum les doublons. À noter aussi qu'au début j'avais du mal à bien gérer les sous-domaines, j'étais incapable de me rappeler si je prenais ou non en compte cela pour mes passwords .

    • [^] # Re: Même tronc commun mais variantes

      Posté par . Évalué à 3.

      Je fais la même chose que toi pour la définition de mes mdp pour ma mémoire :
      - même convention pour le choix d'un mdp
      - tronc commun
      - partie variable dépendant du service où je m'authentifie

      J'utilise un stupide fichier texte pour stocker tout ça chiffré avec ccrypt que je peux dupliquer à l'infini : ça évite de sortir les usines à gaz en provenance du cloud.

      En conclusion, efficace et pas cher, c'est le fichier texte que je préfère.

      Dire que vous vous n'en avez rien à faire de la vie privée parce que vous n'avez rien à cacher, c'est comme dire que vous n'en avez rien à faire de la liberté d'expression parce que vous n'avez rien à dire. Edward Snowden

  • # Keepassx + SparkleShare

    Posté par (page perso) . Évalué à 6.

    Des fois que ça en inspire d'autres, voici la solution pour laquelle j'ai opté:
    De base, j'ai opté pour Keepassx. Pour ce qui est de travailler sur plusieurs postes, j'ai résolu le problème en utilisant SparkleShare. Il synchronise automatiquement ma base de mots de passe sur la plupart de mes postes. Vu que SparkleShare utilise Git comme backend, j'ai aussi pu me mettre une copie de ma base de mots de passe sur mon téléphone Android : Il y un client Git/Android appelé agit, et KeePassDroid pour lire et modifier la base de données de mot de passe. Le seul défaut est que je dois faire la synchro de la base sur mon téléphone à la main de temps en temps.

    • [^] # Re: Keepassx + SparkleShare

      Posté par . Évalué à 1.

      Je fais à peu près la même chose mais avec dropbox au lieu de sparkleshare. Je le faisais avec owncloud avant mais dropbox à l'avantage d'être interfacé avec keepass2android.

      • [^] # Re: Keepassx + SparkleShare

        Posté par (page perso) . Évalué à 1.

        Je fais à peu près la même chose mais avec dropbox au lieu de sparkleshare. Je le faisais avec owncloud avant mais dropbox à l'avantage d'être interfacé avec keepass2android.

        Pareil ici et ça marche plutôt bien. Bon par contre, il vaut mieux éviter de mettre un fichier monmotdepassedekeepassx.txt dans la dropbox.

        • [^] # Re: Keepassx + SparkleShare

          Posté par . Évalué à 0.

          Pareil ici. La solution keepass+dropbox à l'avantage de marcher sous linux, windows, android et ios (et sans doute macosx maisje n'utilise pas).

      • [^] # Re: Keepassx + SparkleShare

        Posté par . Évalué à 1.

        Keepass2android support webdav, tout comme Owncloud. J'utilisais ça avant de passer a Seafile et ça marchait parfaitement.

    • [^] # Re: Keepassx + SparkleShare

      Posté par . Évalué à 2.

      Pareil pour moi, mais avec SpiderOak à la place de SparkleShare. Il y a un client SpiderOak pour Android, et avec KeePassDroid ça roule.

  • # Firefox Sync + Keepassx

    Posté par . Évalué à 5.

    Moi j'utilise firefox sync (avec des mots de passe chiffrés) et keepassx. J'utilise Firefox de partout.

    Keepassx me sert pour générer mes mots de passe et pour pouvoir les voir de partout.

    J'aimerais bien ajouter tout ce qu'il y a dans keepassx dans le gestionnaire de mot de passe de firefox (gestion du format kdb, organisation des mots de passe par groupe avec des méta données en plus (comme la date de validité), historique des mots de passe,…).

    Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: Firefox Sync + Keepassx

      Posté par . Évalué à 1. Dernière modification le 19/06/14 à 13:40.

      Y a-t-il un intérêt à utiliser les deux?

      Perso, j'utilise le raccouci global de keepass(x), qui la recherche du couple login/mot de passe correspondant à la fenêtre active, et fait la saisie tout seul. Et en bonus, ça marche dans un terminal \o/
      Et au passage, je hais les sites qui nécessitent de s'authentifier par un clavier virtuel, parce que ça rend impossible la saisie automatique, et ça oblige à avoir un pauvre mot de passe du type "468935" plutôt que de "4ngWq/&?l+Y6NwWo".

      • [^] # Re: Firefox Sync + Keepassx

        Posté par . Évalué à 3.

        Je ne connais pas la fonction dont tu parle. Qu'est ce que c'est/comment ça fonctionne ?

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Firefox Sync + Keepassx

          Posté par . Évalué à 2. Dernière modification le 19/06/14 à 15:31.

          Dans keepassx l'option est dans les préférences>avancé, "raccourci global de saisie automatique".

          Tu places le curseur dans le champ login, tu actives le raccourci global, keepass détecte le couple login/mdp en fonction du titre de la page courante de ton navigateur (ou de ton terminal, ou toute autre application - j'ai activé l'option "utiliser le titre de l'entrée…" dans les préférences ; par exemple il va sélectionner l'entrée linuxfr si le titre de la page courante contient "linuxfr"), puis va saisir (login)(tab)(mdp)(enter)

    • [^] # Re: Firefox Sync + Keepassx

      Posté par . Évalué à 1.

      Hello,

      moi c'est plutot Master Password + firefox sync + apg

  • # authentification par certificat

    Posté par . Évalué à 4.

    À ce propos, il me semble qu'une solution assez simple existe pourtant : l'authentification par certificat.

    Il me semble que c'est nettement mieux sécurisé, pas forcément moins simple (finit la multitude de mots de passe à stocker/retenir), mais extrêmenent peu implémenté. Le seul exemple que je connaisse est le CNRS.

    Sauriez-vous pourquoi ?

    • [^] # Re: authentification par certificat

      Posté par (page perso) . Évalué à 4.

      C'est sans doute plus simple d'expliquer à des personnes qui n'ont pas idée de la "sécurité informatique" que mettre un mot de passe (qui du coup peut être simple et court : "bichon", par exemple) que de dire qu'il faudra se trimballer avec le certificat sur tous les postes pour pouvoir se connecter.

      Mais si on était dans un autre monde et que les mots de passe n'avaient jamais existés, on aurait des technologies de synchronisation de certificats mieux foutues reposant sur un accès par mot de… hé merde.

      Bon ben, reste plus que l'identification par la rétine.

      Love – bépo

      • [^] # Re: authentification par certificat

        Posté par . Évalué à 3.

        Typiquement je pense naïvement à un système similaire que certaines banques utilisent : elles fournissent une zapette qui donne un mot de passe pour accéder aux comptes.

        On pourrait tout à fait imaginer un système de smartcard ou clé USB. Un organisme pourrait délivrer un certificat, et quand on veut l'utilise hop on branche le machin et voila. De l'extérieur, ça ne me semble pas vraiment compliqué à mettre en place dans une grosse organisation, et bien plus sécurisé. Typiquement pour des données importantes genre les impots, la caf, EDF, les banques, etc.

        Le problème étant que c'est pas fait. Pourquoi ?? Juste parce que les DSI pensent qu'il n'y a que le système de mot de passe qui fonctionne avec les utilisateurs ? ou j'ai loupé un truc ?

        • [^] # Re: authentification par certificat

          Posté par . Évalué à 4.

          On pourrait tout à fait imaginer un système de smartcard ou clé USB.

          … compatible uniquement Windows et MAC. Et avec un peu de bol, ce serait compatible Linux mais les utilisateurs de xBSD seraient lésés. Non, merci.

        • [^] # Re: authentification par certificat

          Posté par (page perso) . Évalué à 6.

          Le problème étant que c'est pas fait. Pourquoi ?? Juste parce que les DSI pensent qu'il n'y a que le système de mot de passe qui fonctionne avec les utilisateurs ? ou j'ai loupé un truc ?

          En fonction des modèles ça peut coûter très cher (il me semble qu'il y a que la Yubikey qui est abordable). Et si tu te fait voler ton truc et qu'il n'est pas désactivé tout de suite, n'importe qui peut se logger (sauf à ajouter un mot de passe en plus (c'est d'ailleurs se fait ma banque: mot de passe + lecteur de carte + code pin de la carte pour avoir un nombre).

          Sans compter les ennuis logistiques lors de la mise en place et l'utilisation (si quelqu'un a oublié son appareil, il ne peut plus bosser (souvent dans les boîtes, si tu n'as pas ton badge, tu peux quand même rentrer))

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: authentification par certificat

          Posté par . Évalué à 2.

          Tu dois aussi pouvoir éditer une carte rempli de chiffre dans un tableau. Le site web demande ensuite des combinaison, genre 2 ou 3 adresses.

          Mais le problème est le même : ne pas perdre ce papier.

          Les impots et radiospares fonctionnent aussi avec un numéro uniquement marqué sur les envois papiers.

          "La première sécurité est la liberté"

        • [^] # Re: authentification par certificat

          Posté par (page perso) . Évalué à 1.

          Il faudrait que tous les claviers et les tablettes soient vendus avec un lecteur de carte intégré.

    • [^] # Re: authentification par certificat

      Posté par . Évalué à 3.

      finit la multitude de mots de passe à stocker/retenir

      L'un empêche pas l'autre. Tu peut chiffrer le certificat.

      pas forcément moins simple

      Si parce qu'il faut une très bonne rigueur pour gérer correctement les certificats ne pas les laisser traîner, avertir qu'un certificat est compromis, renouveler périodiquement les certificats, etc.

      En vrai c'est utilisé dans des environnement assez cloisonnés avec des certificats stockés sur des smartcards.

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: authentification par certificat

        Posté par . Évalué à 4.

        Si parce qu'il faut une très bonne rigueur pour gérer correctement les certificats ne pas les laisser traîner, avertir qu'un certificat est compromis, renouveler périodiquement les certificats, etc.

        C'est pareil pour les mots de passe : ne pas les mettre n'importe où, renouveller périodiquement, mais aussi avoir un mot de passe sécurisé (donc difficilement mémorisable), avoir des mots de passe différents à chaque fois…

        Si on fait n'importe quoi avec les mots de passe, on peut le faire avec des certificats. Mais au moins, ça corrige les problèmes de mots de passe triviaux et de multitude de mots de passe à retenir.

    • [^] # Re: authentification par certificat

      Posté par . Évalué à 4.

      À ce propos, il me semble qu'une solution assez simple existe pourtant : l'authentification par certificat.

      Il me semble que c'est nettement mieux sécurisé

      Ca doit être pour ça que les impots ont décidé de changer de méthode d'authentification ….

      A une époque c'était plutôt stable, mais je me rappelle avoir du batailler pour m'authentifier : a une époque, chaque année, la méthode d'authentification changeait et il fallait se réauthentifier (avec son No de télédéclarant, et tout les choses qui sont sur papier, mais que je n'ai jamais à portée de main parce que justement j'ai choisi d'utiliser l'accès internet pour ne pas avoir à le retrouver).

      • [^] # Re: authentification par certificat

        Posté par (page perso) . Évalué à 2.

        En plus, de mémoire, ça n'avait absolument aucun intérêt, il n'y avait aucune "authentification" (il suffisait de cliquer sur un bouton pour "créer ton certificat", de facto valide).

        blog.rom1v.com

        • [^] # Re: authentification par certificat

          Posté par . Évalué à 2.

          Je ne crois pas : je me rappelle que, lorsque tu devais générer ou regénérer un certificat, il te demandait certaines infos qui étaient soit sur la déclaration papier (plusieurs numéros) pour générer le certificat. Celà dit, il y a peut-être eu une époque telle que tu la décris, mais si c'est le cas je ne l'ai pas connue.

  • # Ma solution a moi

    Posté par (page perso) . Évalué à 6.

    Un fichier texte de type

    site1    mot_de_passe
    site2    mot_de_passe
    

    Quand j'ai besoin d'un mot de passe, je fais un grep siteX mon_fichier. En gros je n'ai aucune protection sur ce fichier.

    Par contre, ce fichier n'est disponible que sur mon serveur perso, via ssh (configuré uniquement par clef publique). En gros, c'est ma clef ssh qui me sert à débloquer l'accès au fichier et donc d'accéder aux mots de passe.

    Je préfère me baser sur la sécurité de ssh plutôt que d'implémenter moi même une solution bancale, et ça me permet de récupérer mes mots de passe sur n'importe quel PC (il faut avoir une connexion internet, mais c'est le minimum si on souhaite un mot de passe pour un site donné…)

    • [^] # Re: Ma solution a moi

      Posté par (page perso) . Évalué à 6.

      Sinon dans Vi tu peux faire un « :X » pour avoir un fichier chiffré.
      Par contre, je ne connais pas le chiffrement par défaut (mais manifestement il peut être changé).

      Mes 0,1µ bitcoins

      • [^] # Re: Ma solution a moi

        Posté par (page perso) . Évalué à 3.

        Sous Emacs, quand tu sauves un fichier avec l'extension .gpg il est chiffré.

      • [^] # Re: Ma solution a moi

        Posté par (page perso) . Évalué à 2.

        Par contre, je ne connais pas le chiffrement par défaut (mais manifestement il peut être changé).

        Par défaut c’est le même algorithme (peu sûr) que celui utilisé par PkZip. Il peut être changé pour Blowfish via l’option cryptmethod.

        Sous Emacs, quand tu sauves un fichier avec l'extension .gpg il est chiffré.

        Pour Vim, le plugin gnupg.vim offre une fonctionnalité similaire.

  • # récupération du mot de passe

    Posté par . Évalué à 6. Dernière modification le 19/06/14 à 13:59.

    Moi ce qui m'emmerde, ce n'est pas d'avoir 250 couples login/passphrase. Je trouve que keepass fait ça très bien. Ma base "maître" reste sur mon smartphone et je la synchronise régulièrement sur le pc du boulot et de la maison. Je reste assez convaincu que si je perds mon smartphone il ne sera probablement par récupéré par quelqu'un capable d'avoir la patience et l'infra pour déchiffrer la base et je ne crois pas être une cible privilégiée par les services secrets. Le plus embêtant, c'est que pour avoir une sécurisation décente il faut activer le lockage de la base keepass dès que l'écran est locké.

    Non ce qui me dérange, c'est la façon dont mes mots de passe pourraient être récupérés/modifiés. La très grande majorité des sites permettent de récupérer son mot de passe par email. J'ai certe plusieurs adresses email, mais je ne peux décemment pas créer une adresse par compte. Ce qui veut dire que si quelqu'un arrive à avoir accès à un de mes comptes email il pourra "me voler" par la même occasion un nombre important de comptes. Alors pour éviter ça j'essaye d'effacer systématiquement tout mail de confirmation, abonnements à des newsletters ou mail automatique créés par ces sites, ce qui permet d'éviter qu'un intrus puisse deviner quels comptes j'ai créé avec quelle adresse mais ça reste un beau bordel.

    Les "security question", j'essaye d'éviter. Même en restant un poil discret sur sa vie privée ça ne me semble pas hyper sûr.

    Et ça c'est sans compter sur ce qu'on peut faire avec quelques coups de fils et un peu de social engineering grâce à des procédures pas forcément très sûres.

    Naoki Hiroshima - How I lost my $50'000 twitter username

    • [^] # Re: récupération du mot de passe

      Posté par . Évalué à 3.

      Une autre histoire qui montre le danger du "chainage des comptes":
      http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

    • [^] # Re: récupération du mot de passe

      Posté par . Évalué à 4.

      mais je ne peux décemment pas créer une adresse par compte

      Tu peux le faire sans problème si tu gères toi-même ton serveur mail.

      Et ça a l’énorme avantage de te dire qui a leaké (intentionnellement ou non) ton adresse mail :)

      Perso je me suis même acheté deux noms de domaine, un en .name que je communique qu’à mes connaissances IRL, et un en .net pour lequel j’ai un username par site.

      • [^] # Re: récupération du mot de passe

        Posté par . Évalué à 1.

        J'ai voulu faire ça à une époque, mais ce que je voulais par dessus tout c'est avoir un système de création automatique d'adresses mail
        Genre je rentre example@name.com sur un site (alors que cette adresse n'existe pas) et au premier mail reçu, elle est créée
        Mais j'ai pas trouvé de système simple pour le faire

        Est ce que tu as mis en place un système comme ça, ou est ce que créée tes adresses avant une inscription?

        • [^] # Re: récupération du mot de passe

          Posté par . Évalué à 7.

          Pour l’instant j’ai fait simple :

          • un mails.txt maintenu à la main pour une association domaine <-> mail (genre linuxfr lopha@example.net), lopha étant généré par pwgen -0 5 1 (bon, linuxfr est un mauvais exemple, c’est une très vieille adresse mail dessus, la flemme de changer…)
          • un catch-all sur mon serveur de mail qui passe tout à procmail
          • ensuite procmail fait le tri : les adresses que j’ai (manuellement) notées comme spammées passent dans le spam, le reste dans l’inbox. Je ne fais pas encore de tri "l’email doit exister dans mon mails.txt sinon c’est poubelle" mais si le besoin s’en fait sentir ça doit être assez trivial à faire.
        • [^] # Re: récupération du mot de passe

          Posté par . Évalué à 3.

          Il y a le service SpamGourmet.com qui te permet justement d'utiliser des adresses qui n'existent pas encore, avec limite automatique d'email reçu par adresse.

          Une description par SebSauvage: http://sebsauvage.net/rhaa/index.php?2008/09/10/08/29/31-choper-les-cafteurs

      • [^] # Re: récupération du mot de passe

        Posté par . Évalué à 2.

        J'ai un domaine à moi (enfin plusieurs mais passons) et je le fais déjà mais avec des alias plutôt que de vrais boites. Mais ça c'est parce que j'ai justement pas envie de gérer mon propre serveur de mail.

      • [^] # Re: récupération du mot de passe

        Posté par (page perso) . Évalué à 2.

        Tu peux le faire sans problème si tu gères toi-même ton serveur mail.

        Ou que tu as un hébergeur doué à la base.
        Plus sign has a very useful usage in lots of mail providers.

  • # mot de passe à la con

    Posté par (page perso) . Évalué à 5.

    moi j'utilise le bout de js de alacon: http://motdepassealacon.com/, reposer chez moi : http://password.rebattu.fr avec ma propre seed, j'ai un peu galérer au début pour savoir ce que je prenais comme nom de site, et j’utilise maintenant uniquement le domaine principale sans tld, du coup j'ai le même mot de passe pour linuxfr.org et truc.linuxfr.de mais ça ne me pose pas de problèmes. ça me génère des mdp impossible à retenir, mais chez moi il sont enregistrés dans le navigateur et pas chez moi, je fais un tour sur mon site. la solution étant entièrement en js, ni ma passphrase ni mon mot de passe généré ne transite sur le réseau.

  • # Test de fiabilité

    Posté par (page perso) . Évalué à 6.

    Une fois que vous avez choisi un mot de passe, n'oubliez pas de vérifier en ligne s'il est fiable :
    http://www.inutile.ens.fr/estatis/password-security-checker/index.php

    :-p

    blog.rom1v.com

    • [^] # Re: Test de fiabilité

      Posté par (page perso) . Évalué à 7.

      Je suis tombé par le passé sur un site du genre qui créait une rainbow table avec ton mot de passe. La première fois que tu rentrais un mot de passe ou un hash d'un mot de passe qu'il ne connaît pas "c'est bon, il est cool", toutes les autres fois "ah non c'est pas sécurisé".

      Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

  • # gpg

    Posté par (page perso) . Évalué à 4.

    De mon côté j'utilise gpg: j'écris les informations (login, mdp, …) dans un fichier texte, je le chiffre avec gpg avec ma clé publique, je supprime le fichier texte et voilà.

    C'est totalement portable, je peux me connecter en ssh de l'extérieur et récupérer n'importe quel mot de passe, etc.
    Le backup des fichiers chiffrés est sans problème, seul le backup de la clé est un peu plus compliquée, mais c'est déjà fait pour l'email donc rien de plus à faire!

  • # lastpass

    Posté par . Évalué à 1.

    J'utilise lastpass.com (il y a un plugin pour chrome et firefox, et une appli android).
    Le principe est que le seul mot de passe que l'on doit retenir est celui de lastpass.
    Et ce mot de passe final, je l'ai généré à partir de ce site : http://www.passwordcard.org/fr

    L'avantage : plus de mot de passe à retenir, lastpass remplit les champs tout seul !
    L'inconvénient : Je ne connais plus aucun mot de passe :( si lastpass crash benh … j'irai me promener ;)

    • [^] # Re: lastpass

      Posté par . Évalué à 4.

      L'inconvénient : Je ne connais plus aucun mot de passe :( si lastpass crash benh … j'irai me promener ;)

      Tu n'a pas moyen de faire un export régulier des tes mots de passe ?

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: lastpass

        Posté par (page perso) . Évalué à 2.

        • [^] # Re: lastpass

          Posté par . Évalué à 0.

          Évidemment j'exporte de temps en temps (en fait une fois)
          Par contre je ne savais pas que les plugins fonctionnaient en offline, donc merci :)

        • [^] # Re: lastpass

          Posté par . Évalué à 2.

          De rien.

          Tu sais moi j'ai une solution qui me convient c'est juste que je trouvais bizarre qu'il n'existait pas d'export possible.

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: lastpass

      Posté par (page perso) . Évalué à 4.

      Une alternative à lastpass, libre, auto hébergée et qui supporte de multiples clés maîtres (mais compatible Firefox uniquement) => gPass

  • # La lose

    Posté par (page perso) . Évalué à 10.

    La vraie lose, c'est de croire que to lose s'écrit to loose.

    • [^] # Re: La lose

      Posté par . Évalué à 9.

      Moi je l'écris Toulouse…

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: La lose

        Posté par . Évalué à 10. Dernière modification le 19/06/14 à 16:48.

        [ Le Saviez-Vous ? ] À Toulouse ils sont tellement défaitistes que le SSID de la borne wifi du THSF c'est "Borne Toulouse HackerSpace Factory" .

        splash!

    • [^] # Re: La lose

      Posté par . Évalué à 1.

      C'est vraiment la loose alors :-)

    • [^] # Re: La lose

      Posté par . Évalué à -1.

      • [^] # Re: La lose

        Posté par (page perso) . Évalué à 1.

        Donc il suffit d'un clampin analphabète qui édite une page de wiki pour donner une parole d'évangile ?

        Wi mé dabor g réson

        La phrase ci-dessus est correcte par hypercorrection.

  • # La 4ème classe de sites

    Posté par (page perso) . Évalué à 2.

    Le pire, ce sont les sites qui stockent les mots de passe en clair. Dans ce cas mon mot de passe est une insulte destinée à l'admin qui pourrait le lire.

    • [^] # Re: La 4ème classe de sites

      Posté par (page perso) . Évalué à 3.

      Comment peux-tu savoir si ton mot de passe est stocké en clair ?

      Bon, on peut toujours le savoir en demandant une récupération de mot de passe : s'ils renvoient le mot de passe pour rappel au lieu de proposer une procédure de définition d'un nouveau, c'est qu'ils le stockaient en clair, mais ça, ce n'est possible qu'après avoir choisi un mot de passe…

      • [^] # Re: La 4ème classe de sites

        Posté par (page perso) . Évalué à 4.

        Disons que si le mot de passe est renvoyé, alors il est stocké en clair (ou presque). Dans le cas contraire, on n'en sait rien.

      • [^] # Re: La 4ème classe de sites

        Posté par . Évalué à 3.

        Quand il demande un mot de passe significativement différent des 15 derniers ?

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: La 4ème classe de sites

        Posté par . Évalué à -3.

        s'ils renvoient le mot de passe , c'est qu'ils le stockaient en clair,

        raté http://fr.wikipedia.org/wiki/Bijection_r%C3%A9ciproque

        • [^] # Re: La 4ème classe de sites

          Posté par . Évalué à 2. Dernière modification le 20/06/14 à 02:43.

          Si la bijection réciproque est facile à calculer (du genre ce n'est pas un chiffrement avec une clef non disponible), c'est strictement équivalement à un stockage en clair.

          Différencier le stockage via une fonction bijective dont la réciproque est connu et le stockage en clair stricto sensu, c'est caractéristique soit d'une incompétence flagrante soit d'une volonté de nuire. Je te laisse choisir.

          • [^] # Re: La 4ème classe de sites

            Posté par . Évalué à -3.

            Faut oser quand même. Considérer que des mdp en clair dans une base ou dans un fichier, c'est strictement équivalemment à un stockage chiffré bijectif.

            Les mecs qui stockent leur mdp sur des bases keepass doivent apprécier.

            La réciproque est connue
            Il existe des technologies de type puce Palladium et autre trusted computer. Ce n'est pas parce que tu as accès à la méthode que c'est exploitable.

            Et puis, il faut voir le nombre de mot de passe protégé par un hachage avec un simple md5, donc, théoriquement non bijectif, mais qui pour le coup équivaut à un stockage en clair.

            une incompétence flagrante soit d'une volonté de nuire. Je te laisse choisir.

            Ridicule, j'espère que tu ne code que des applis en php.

            • [^] # Re: La 4ème classe de sites

              Posté par . Évalué à 0.

              Cher ami,

              Tu as du lire la discussion en diagonale, je te pardonne. L'hypothèse de départ était quelque chose comme « si un site est capable de renvoyer son mot de passe à un utilisateur, alors il est stocké en clair ». Là tu distingues le stockage via une bijection dont la réciproque est aisément calculable et le stockage en claire.

              Je confirme, distinguer ces deux formes de stockage, c'est de la nuisance au minimum. Les arguments que tu m'invoques, c'est-à-dire possibilité de calculer la réciproque en un temps raisonnable ne sont pas adéquats. Nous sommes dans l’hypothèse d'un site qui renvoie à l'utilisateur son mot de passe.

              Crois-tu sérieusement qu'un site qui te renvoie ton mot de passe l'avait hashé et l'a brutforcé rien que pour le le renvoyer ? Moi je n'y crois pas une seconde.

              Relis bien le thread auquel tu réponds, et tu comprendras que tu fais preuve de nuisance, à dessein ou non, ça je ne le sais.

              Ridicule, j'espère que tu ne code que des applis en php.

              Ce que je code est bien plus interessant que des applis.

              • [^] # Re: La 4ème classe de sites

                Posté par . Évalué à -3.

                Cher ami,

                Ca m'étonnerais

                L'hypothèse de départ était quelque chose comme « si un site est capable de renvoyer son mot de passe à un utilisateur, alors il est stocké en clair »

                Cette hypothèse est juste fausse, pleine de préjugé et stupide.

                Crois-tu sérieusement qu'un site qui te renvoie ton mot de passe l'avait hashé et l'a brutforcé rien que pour le le renvoyer ?

                Le chiffrement, ca existe.

                tu comprendras que tu fais preuve de nuisance

                Je répond sur le sujet en cours, pas la peine de jouer le pédant et de suffisance.

                Sans rancune, je te laisse à ton thread d'expert de comptoir.

                • [^] # Re: La 4ème classe de sites

                  Posté par . Évalué à 2.

                  Cher ami,

                  Ca m'étonnerais

                  Moi aussi vois-tu. Mais il en est ainsi des formules de politesse. De même que quand tu clôtures lettre adressé au service des impôts par « je vous prie, Madame, Monsieur, bla bla bla les plus sincères », tu n'en pense pas un mot, mais tu l'écris. Tu préfereras donc cette version je pense :

                  Cher contradicteur,

                  Cette hypothèse est juste fausse, pleine de préjugé et stupide.

                  Soit. C'est ton avis, qui ne semble pas partager par tous les intervenants de la discussion.

                  Le chiffrement, ca existe.

                  Oui. Mais pour que le mot de passe puisse t'être envoyé, il faut que la clef de déchiffrement soit accessible par le système automatisé. Nous nous plaçons, depuis le début, dans l'hypothèse d'une compromission du système de traitement automatisé, sinon le fait de discuter du mode de stockage n'aurait point d'intérêt. Dans ce cas, si la base est compromise, la clef de déchiffrement est également compromise, et donc au niveau sécurité, je le répète, c'est équivalent à un stockage en clair.

                  Sans rancune, je te laisse à ton thread d'expert de comptoir.

                  Peux-tu nous donner des références en matière de sécurité ? Que je sache à qui ne jamais faire confiance.

            • [^] # Re: La 4ème classe de sites

              Posté par (page perso) . Évalué à 3.

              Faut oser quand même. Considérer que des mdp en clair dans une base ou dans un fichier, c'est strictement équivalemment à un stockage chiffré bijectif.

              J'ose : si quelqu'un a réussi à choper ta base, c'est qu'il a cassé ta protection du stockage chiffré bijectif, il est passé par ailleurs, avec des droits (avec le mot de passe maitre) qui lui permettent de choper ta base.
              Donc en pratique, dans ce cas, c'est strictement pareil : quand l'entreprise se fait trouer (et ça n'arrive pas qu'aux autres), tes pass sont en clair dans la nature.

              • [^] # Re: La 4ème classe de sites

                Posté par . Évalué à -1.

                Rien n'est plus faux.

                Arriver à faire un select sur une table dans une table de user via une SQL injection ne signifie pas du tout que la fonction de chiffrement est cassée.

                Et dans ce cas, une fonction non bijective n'apporte pas plus de sécurité.

                Dans la pratique, beaucoup d'entreprise ignore qu'elle ont été attaquée, et c'est là le premier soucis.

    • [^] # Re: La 4ème classe de sites

      Posté par . Évalué à 2.

      T'as beau les hasher, tu est admin tu connait les seeds.
      Ce qui fait peur, c'est que ça prend 3 min ( 1 pour trouver le top 10000 , 1 pour le script et 1 pour le lancer ) pour trouver 10 à 20 % des mots de passe.
      Donc réinitialisation des mots de passe un peu trop facile.

  • # Si vous n'arrivez pas à retenir vos mots de passe ...

    Posté par . Évalué à 7.

    … envoyez-les moi, je les retiendrai pour vous. Envoyez-moi également (et surtout) vos Nos de carte bleue avec date de péremption, le No à 3 chiffres qui se trouve derrière, les codes PIN. Je les stockerai dans une méga-base hyper sécurisée, imperméable à la NSA et consorts :)

  • # connecter vous avec facebook

    Posté par . Évalué à -5. Dernière modification le 19/06/14 à 15:35.

    comme ça un seul mot de passe a retenir, solution multplateforme meme linux
    un autre compte facebook pas le vrai bien sur

  • # Teampass, une bonne solution...

    Posté par . Évalué à 0. Dernière modification le 19/06/14 à 15:45.

    Bonjour,

    Perso, je suis en train de tester Teampass, qui à l'air très prometteur. La gestion des utilisateurs est par ailleurs très pratique si on veut déléguer des mots de passe en RO.

    De plus, il y a un mode Offlinet et une API.

    Gauth,

  • # Ce que j'aimerais

    Posté par . Évalué à 3.

    C'est un système à la keeppass, mais sur un serveur central. Ça serait un service sympa pour owncloud ou d'autres.

    Je sais qu'on va me répondre que c'est sacrément dangereux, mais je ne suis pas sûr que correctement fait ça le soit plus qu'avoir 3 ou 4 appareils différents qui stockent tous localement l'intégralité de la base de mots de passe et qui vont sur la toile…

    Après, pour reprendre d'autres proposition, on peut faire des catégories: sites critiques (1 mot de passe à rentrer à chaque demande d'accès), sites non critiques (1 mot de passe par session), et pourquoi pas sites dont on se fout: remplissage direct des champs sans poser la moindre question, l'unique intérêt étant de ne pas répliquer la base dans tous les navigateurs (mais bon, vu qu'ils peuvent accéder sans l'utilisateur pour cette dernière catégorie, on n'est pas mieux que ma situation présente).

  • # Génération d’un mot de passe par site

    Posté par (page perso) . Évalué à 1.

    Hello,

    De mon côté, je me suis développé un petit JavaScript (que j’héberge chez moi via TLS) qui me permet de construire un mot de passe par site à partir d’un mot de passe maître.
    La construction d’un mot de passe pour un site se fait via un sha1(mot de passe maître + protocole + domaine) et ce, répéter plusieurs dizaines de fois pour rendre cela un peu plus robuste en cas de brute force (c’est paramétrable).

    Concrètement, je tape mon mot de passe maître sur le site, je clique sur un bookmarklet qui va charger ce script et m’ajoute un lien (generate password) à côté de chaque , je clique dessus et voilà, le mot de passe maître a été remplacé par un mot de passe unique pour ce site.

    Le gros avantage de passer par un bookmarklet est que ça fonctionne sur toutes les plateformes (y compris mobile, enfin, pas encore sous Firefox OS car il me faut le copier/coller :-D ).

    Enfin, le système ne stocke aucun mot de passe (ce qui lui permet d’être léger) mais il y a quelques limitations du coup :
    1/ si le protocole ou le domaine change, le mot de passe généré change,
    2/ le mot de passe généré dépend du mot de passe maître et du domaine. Du coup, ce n’est pas possible de changer un mot de passe juste pour un site (il faut changer de mot de passe maître et donc tous les changer),
    3/ De la même façon les règles de générations (longueur du mot de passe, alphabet utilisé) est le même pour tous les sites, j’ai donc été obligé de le limiter afin de trouver un ensemble qui marche à peu près partout.

    Il y a également un risque dans le cas où un keylogger sur un site renvoie tous les caractères tapées… Il sera alors possible de connaître mon mot de passe maître ce qui craint… (après, c’est une question de confiance et si je n’en ai pas pour un site, j’ouvre la console JavaScript pour voir s’il y a des requêtes qui partent).

    Si ça vous intéresse, il y a une page qui explique le projet et vous pourrez jouer avec ici :
    http://javascript.training.free.fr/uniquepasswordbuilder/
    Le code source est sur https://code.google.com/p/uniquepasswordbuilder/ et il y a des tests unitaires que vous pourrez lancer : http://javascript.training.free.fr/uniquepasswordbuilder/test/uniquePasswordBuilderTest.html

    Attention, si vous considérez utiliser ce système, je vous encourage fortement à jeter un oeil aux sources et à héberger vous même ce fichier, de préférence via TLS.

    Grégory

    • [^] # Re: Génération d’un mot de passe par site

      Posté par (page perso) . Évalué à 1.

      Oups, je n’avais pas vu le message sur http://motdepassealacon.com/ mais globalement, j’ai l’impression que c’est la même idée. Donc rien de nouveau, juste une variante.

    • [^] # Re: Génération d’un mot de passe par site

      Posté par . Évalué à 8.

      Pourquoi réinventer la roue à chaque fois ? On a un standard pour faire cela, reconnu et tout et tout, ça se nomme HMAC et ça s'utilise avec un algo de calcul de condensat (MD5, SHA-1, SHA-2, SHA-3…). J'en parle dans un commentaire sur un des nombreux journaux sur le sujet. Moi je le fais en python, vous le faites en javascript, soit, on se fout de l'implémentation. Mais c'est pas une raison pour ne pas utiliser HMAC au lieu d'un algo maison.

      Commentaire sur le reste du journal : à chaque fois on utilise les mêmes arguments, à chaque fois on voit les mêmes propositions, à chaque fois avec les mêmes défauts, et à chaque fois les même réponses. Ce genre de débat est aussi inintéressant qu'un débat sur la moto.

      • [^] # Re: Génération d’un mot de passe par site

        Posté par (page perso) . Évalué à 0. Dernière modification le 19/06/14 à 17:42.

        Effectivement. C’est mieux. :-)
        Au temps pour moi, je n’avais pas connaissance de ce billet et je n’avais pas bien compris HMAC.
        J’adapterais mon algo pour respecter cette RFC (je trouve qu’il y a un avantage à utiliser JavaScript pour le côté portable via bookmarklet).

        • [^] # Re: Génération d’un mot de passe par site

          Posté par . Évalué à 2.

          Effectivement. C’est mieux. :-)

          Si j'ai bien compris, c'est mieux pour protéger ton mot de passe "originel" pour celui qui sait la méthode que tu utilises. Mais ce n'est pas (forcement) mieux pour le mot de passe que tu utilises au final sur le site. Car pour cela, une bonne fonction de hashage (qui a une bonne répartition) suffit.

          PS (Grégory): Entre personnes de la même société, il faut se serrer les coudes ;)

    • [^] # Re: Génération d’un mot de passe par site

      Posté par . Évalué à 2.

      et ce, répéter plusieurs dizaines de fois pour rendre cela un peu plus robuste en cas de brute force

      On a inventé scrypt et PBKDF-2 pour ça tu sais :)

  • # passphrase

    Posté par . Évalué à 1.

    J'ai réglé le problème avec des passphrase et une variable par site.

    Ce qui nous donne par exemple "mon super mot de passe pour le site linuxfr"

    Pas besoin d'outils pour retenir tout ça a ma place ni de lister mes mots de passe dans un fichier.

    Pour complexifier on peux utiliser plusieurs passphrase en fonction du niveau d'importance qu'on accorde au site.

    Je m’embête pas avec des caractères spéciaux, un bon passphrase est suffisamment sécure, il suffit de le tester sur ce genre de site https://howsecureismypassword.net/ pour se rendre compte de la difficulté a "brute force" ce type de mot de passe.

    • [^] # Re: passphrase

      Posté par (page perso) . Évalué à 0.

      Si je comprends bien, ta passphrase est la même mais c’est juste le nom du site qui change ?

      Si c’est bien cela, le problème est que si un attaquant trouve l’une de tes passphrase, il est facile de deviner les passphrases des autres sites.

      En fait, le gros problème est que les entreprises se font régulièrement pirater leur base de mots de passe (dernier exemple en date ebay puis dominos pizza) qui se retrouve donc dans la nature.
      Si elle n’a pas fait les choses proprement (PKDF2, scrypt, etc), c’est un peu comme si le mot de passe était maintenant en clair sur pastebin…

      Et malheureusement, il y a beaucoup d’exemple où les choses ne sont pas fait proprement (l’exemple le plus flagrant est la fuite chez adobe).

      • [^] # Re: passphrase

        Posté par . Évalué à 0.

        J'ai donné un exemple très simplifié.
        A partir de cette base tu peux le complexifier grâce a la formulation ou encore en substituant les lettres du nom du site par exemple.

        De plus j'utilise différents passphare selon le degrés de sécurité que j'accorde au site.

        L’intérêt de ce système c'est que je retrouve a coup sur le mot de passe sans avoir besoin de le stocker quelque part et c'est plus simple a écrire et retenir qu'un mot de passe biscornu.

  • # SQRL ?

    Posté par (page perso) . Évalué à 6.

    J’en profite pour signaler que j’ai entendu parler de SQRL qui permet de se logger sans mot de passe.
    Les spécification sont en cours de finition et l’implémentation de référence en cours d’écriture.
    L’idée est qu’une graine (un gros bon random) est initialement générée sur ton périphérique et permet de générer à la volée une paire de clé privée/publique par site. Ce sont ces clés qui permettent de répondre à un challenge différent à chaque login et pour chaque site.
    Ainsi, on peut se logger fortement sans mot de passe.
    L’autre avantage est que le site ne sait rien de toi (il n’a qu’une clé publique, aucun autre identifiant tel que login ou mot de passe).

    Je trouve le concept génial mais c’est balbutiant (et le problème est que personne ne le supporte aujourd’hui).

    Le protocole est ouvert et il n’y a pas de problème de brevet à priori.

    Plus d’info sur wikipedia : https://en.wikipedia.org/wiki/SQRL

  • # Carte de mots de passe

    Posté par (page perso) . Évalué à 2.

    Perso, j'utilise une carte de mots de passe (oui, écrite, sur papier) et des mnémotechniques différentes pour retrouver les mots de passe en fonction du site.

    Une carte, ça ressemble à ça :

    cric&drucDoc4
    ErdAirm2swek=
    ,ulpoxMivCom1
    8ostEctyoyff>
    Far%flewtyap4
    vosAnBu4swid#
    3frecWokvupp-
    Eenfevarn.os6
    Riwrelj3ogic/
    Proimvot(ots7
    D^reitsefPab9
    anPitol5Frec[
    Rurn}4Knenid'
    

    ou ça :

    Apdod"Frourn9
    Seodharsh2ov=
    Serg5jiemjac>
    kiaw\QuogRac2
    7keld'GreTwip
    ad@ofDamnoud6
    FenEth{giurs2
    Wow3Kootceth#
    Trac2WrepWit'
    <SlatFedwimt9
    Gac2greirgir)
    Jer'6gropesKu
    

    (générées pour l'ocaz, merci apg)

  • # Nom du site modifié

    Posté par (page perso) . Évalué à 0.

    Moi, c'est à partir du nom du site :

    linuxfr.org, ça pourrait être LiNuXfR.org666

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.