• # Expiration des mots de passe

    Posté par  . Évalué à 10.

    Je retiens la R24 (page 30) :

    Si la politique de mots de passe exige des mots de passe robustes et que les systèmes
    permettent son implémentation, alors il est recommandé de ne pas imposer par dé-
    faut de délai d’expiration sur les mots de passe des comptes non sensibles comme les
    comptes utilisateur.

    Et la R25 complémentaire :

    Il est recommandé d’imposer un délai d’expiration sur les mots de passe des comptes
    très sensibles comme les comptes administrateurs. Ce délai d’expiration peut par exemple être fixé à une durée comprise entre 1 et 3 ans.

    Donc bientôt, fini les mots de passe Windows des entreprises qui expirent tous les 3 mois.

    On y croit !

    • [^] # Re: Expiration des mots de passe

      Posté par  . Évalué à 9. Dernière modification le 12/10/21 à 21:36.

      Donc bientôt, fini les mots de passe Windows des entreprises qui expirent tous les 3 mois.

      Dans ma société, les responsables sont conscients qu'une expiration trop fréquente des mots de passe n'est pas une bonne pratique mais il paraît que c'est obligatoire pour obtenir je sais pas quelle certif et que certains clients sensibles demandent cette certif. Alors tant que les organismes de certification ne se mettront pas à jour, ce n'est pas prêt de disparaître.

    • [^] # Re: Expiration des mots de passe

      Posté par  . Évalué à 3.

      Personnellement je trouve ça pratique ce changement de mot de passe tous les 3 mois, j'utilise le pattern suivant : motdepasse_increment. ça me permet de me rappeler depuis quand je suis dans l'entreprise, j'ai juste à faire increment x 3.

      • [^] # Re: Expiration des mots de passe

        Posté par  (site Web personnel) . Évalué à 4.

        C'est pour ça que ce n'est pas aussi sécurisé que ça et que ce n'est pas une bonne pratique. Beaucoup de gens font ça et se refilent le tuyau.

        « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

        • [^] # Re: Expiration des mots de passe

          Posté par  . Évalué à 3. Dernière modification le 13/10/21 à 14:02.

          ce n'est pas une bonne pratique

          Bof, pas moins qu'un mot de passe valable un an ou plus, tout dépend de la racine de son mot de passe. Si elle est solide, peu importe que le voisin fasse la même chose avec une racine différente, ça n'est pas de savoir que la partie finale du mdp est incrémentée qui le fait plus facile à craquer.

          Ça me fait marrer cette manie de périmer un mdp comme si c'était un yaourt, on dirait que plus on l'utilise plus il s'use, jusqu'à ce qu'on parvienne à la trame textile, et qu'il faille le changer avant qu'on en arrive à ce point.

          Un mdp craqué, si c'est dans un environnement sensible, sera utilisé par le pirate le plus vite possible avant justement qu'il puisse être changé, le risque est donc plus lié à la faiblesse du mdp ou à la sécurité de l'environnement qu'à l'âge du mdp. Le fait de le changer régulièrement pousse au contraire les gens à avoir tendance à le noter sur un papier dans son portefeuille, dans un tiroir du bureau ou sous l'ordi. La pratique saine qui serait de le garder dans un gestionnaire de mdp implique qu'il faille rentrer le mdp du gestionnaire assez souvent (soit une fois par séance et on le laisse ouvert durant la session, ce qui est un risque, soit toutes les x minutes), et beaucoup d'employés peuvent être du coup réticents à l'utiliser (le gestionnaire). De plus, si c'est pour ouvrir une session, le gestionnaire de mdp est hors de question.

          C'est sûr que si un pirate a gagné un accès et qu'il l'utilise silencieusement, alors le changement de mdp limite cet accès dans le temps, mais est-ce que cet avantage qui concerne un évènement peu probable compense les risques cités ci-dessus ? D'ailleurs, un outil d'analyse automatique des logs, si c'est un environnement sensible, pourrait localiser des anomalies et faire durer la faille moins longtemps.

      • [^] # Re: Expiration des mots de passe

        Posté par  (site Web personnel) . Évalué à 2.

        Certaines administrations qui ont décidé qu’il fallait absolument que les utilisateurs changent de mot de passe tous les trois mois n’hésitent pas à implémenter des règles visant précisément à empêcher ce genre de pratiques.

        Dans mon ancienne université par exemple, le nouveau mot de passe ne pouvait pas contenir une séquence de plus de 4 caractères provenant de l’ancien mot de passe.

        Du coup mon astuce personnelle était de considérer mon mot de passe comme une séquence de 4𐄂4 caractères, et de permuter les quartets tous les trois mois… Genre si le mot de passe actuel est ABCD EFGH IJKL MNOP (sans espaces, ils sont juste là pour visualiser les quartets), le mot de passe suivant sera quelque chose comme ABCD MNOP IJKL EFGH, celui d’après IJKL MNOP EFGH ABCD, etc.

        • [^] # Re: Expiration des mots de passe

          Posté par  . Évalué à 5.

          Aaaah oui, j'ai ça aussi dans mon organisation. Et la question se pose alors… Oui, vous la sentez venir ? Hmmmmmm…

          Comment détecter que des sous séquences sont identiques entre deux mots de passe ?

          J'ai envie de croire très fort que c'est une comparaison qui est faite en mémoire vive, lorsque le système possède l'ancien et le nouveau mot de passe que l'utilisateur vient de saisir dans le formulaire de changement.

          Mais honnêtement, j'ai plutôt envie de penser que c'est plus mal fait que ça. Par contre, j'ai pas trop envie de chercher comment ça pourrait être mal fait :)

          • [^] # Re: Expiration des mots de passe

            Posté par  . Évalué à 2.

            Bien vu !

            J'ai envie de croire très fort que c'est une comparaison qui est faite en mémoire vive

            Et même dans ce cas, il faut pour ce faire avoir stocké le mdp lui même, chiffré ou non — et non son hash, ce qui rendrait cette comparaison impossible. Mauvaise pratique !

            Les banques font un contrôle également avec comparaison sur les anciens mdp, mais c'est juste d'interdire d'utiliser l'ancien ou l'autre encore antérieur. Dans ce cas, ça peut être fait avec les hashes.

            • [^] # Re: Expiration des mots de passe

              Posté par  (site Web personnel) . Évalué à 7.

              Pas forcément souvent sur ce genre de formulaire tu demandes :
              - l'ancien mot de passe
              - le nouveau mot de passe

              Tu as donc tous les éléments nécessaires :
              - vérifier que l’ancien est bien le courant
              - vérifier que le nouveau n'est pas trop proche de l'ancien
              - le nouveau est conforme aux règles (longueur, complexité, …)

              Et cela sans avoir à stocker l'ancien

              • [^] # Re: Expiration des mots de passe

                Posté par  . Évalué à 5. Dernière modification le 13/10/21 à 16:45.

                Il suffit de changer 2 fois de mots de passe…

                "La première sécurité est la liberté"

                • [^] # Re: Expiration des mots de passe

                  Posté par  . Évalué à 3.

                  Exact ! J'ai déjà utilisé cette "astuce" :D

                • [^] # Re: Expiration des mots de passe

                  Posté par  (site Web personnel) . Évalué à 2.

                  sauf si on t'interdit de changer le mot de passe dans les X jours (pour éviter ce genre d'astuce)

                • [^] # Re: Expiration des mots de passe

                  Posté par  . Évalué à 1. Dernière modification le 13/10/21 à 17:39.

                  … de plus, certaines banques interdisent les 2 mdp précédents, il faut donc changer 2 fois de mdp (moi aussi, j'utilise cette "astuce", pas vraiment astucieuse, d'ailleurs :-p). Après nos messages, vont-ils interdire les 10 mdp précédents ? :-D

                  La banque est justement une des catégories qui profite le moins de cette folie de forcer à changer tous les ans son mdp, un pirate ayant accès à ton compte va y faire le plus possible le plus vite possible avant que le mdp ait changé. Le fait d'interdire de garder le même mdp ajoute une vulnérabilité (la tendance à vouloir le noter pour ne pas l'oublier) et n'ajoute pas grand chose en sécurisation. Àmha, du moins.

                • [^] # Re: Expiration des mots de passe

                  Posté par  . Évalué à 2.

                  Pendant un temps, la vérification était faite sur les 5 derniers mots de passe. Je changeais 5 fois de mot de passe d'affilée.

                  • [^] # Re: Expiration des mots de passe

                    Posté par  . Évalué à 3.

                    Tu peux changer "motdepassedifficile*1" par "mercredi13octobre" puis par "motdepassedifficile2*".

                    Même si il garde le hash, il ne peuvent pas le voir.

                    "La première sécurité est la liberté"

        • [^] # Re: Expiration des mots de passe

          Posté par  (site Web personnel) . Évalué à 2.

          Dans mon ancienne université par exemple, le nouveau mot de passe ne pouvait pas contenir une séquence de plus de 4 caractères provenant de l’ancien mot de passe.

          Ça veut dire qu'ils conservent en clair ton mot de passe et non une empreinte… déjà là ils sont out.

          Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141

          • [^] # Re: Expiration des mots de passe

            Posté par  . Évalué à 4.

            Comme écrit plus haut, il n'est pas nécessaire d'imposer de garder le mot de passe en clair pour imposer de telles contraintes.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Expiration des mots de passe

              Posté par  . Évalué à 3.

              Pour ceux qui imposent de ne pas avoir de similitude avec les N mots de passe différents, comme dit plus haut dans le thread, je crains qu'ils ne les conservent en clair… Au moins les anciens.

              • [^] # Re: Expiration des mots de passe

                Posté par  . Évalué à 4.

                Il faudrait voir exactement ce qui est requis par la politique de mot de passe. Ce que j'ai personellement rencontré, ce sont les critères dont on a déjà parlé avec en plus un mot de passe qui ne doit pas être exactement le même que les X anciens. Et pour ça, il suffit de garder le hash des X anciens.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Pourquoi ?

    Posté par  . Évalué à 4.

    Au sujet de ces recommandations de l'ANSSI, je lis sur https://www.it-connect.fr/nouveau-guide-anssi-sur-les-mots-de-passe-et-lauthentification-multifacteur/

    "Ce qui est aussi l'occasion de rappeler que les mots de passe doivent être stockés dans un gestionnaire de mots de passe comme KeePass, et non dans un fichier Excel protégé par un mot de passe."

    C'est pourtant ce que je fais (pas un fichier Excel, mais un fichier texte protégé par mot de passe).

    Pourquoi est-ce mal ?

    • [^] # Re: Pourquoi ?

      Posté par  . Évalué à 10.

      Probablement que tout dépend de l'algo de chiffrage utilisé (algo au sens large: algo + salt + phrase de passe + taille de la clé) :-)

      Je n'ai aucune idée de la qualité d'excel dans ce secteur, je me souviens par contre il y a quelques années avoir trouvé en moins de 10 min comment casser un mot de passe qui était sensé protéger un fichier excel pour un client dont la personne qui avait mis le mot de passe avait disparu …

      Si ton fichier est chiffré avec une clé gpg moderne c'est pas la même chose que si c'est avec je ne sais quel outil qui utilise un algo obsolète …

      eric.linuxfr@sud-ouest.org

      • [^] # Re: Pourquoi ?

        Posté par  (site Web personnel) . Évalué à 5.

        Je n'ai aucune idée de la qualité d'excel dans ce secteur,

        Je ne sais pas si c'est vrai pour toutes les versions d'Excel et s’il y a différent type de protection par mot de passe, mais pour une feuille Excel dont les modifications sont bloquées par mot de passe, il suffit de de-zipper le fichier et de supprimer un bout de XML. Manip que j'ai eu l'occasion d'essayer avec succès.

      • [^] # Re: Pourquoi ?

        Posté par  (site Web personnel) . Évalué à 2.

        Juste une remarque, le mot de passe d'un fichier "excel", donc xls ou xlsx est facile à craquer, et il y a des applications pour ça (si ça n'a pas changé depuis que j'ai laissé tomber). En revanche le format choisi par la norme ODF pour les mots de passe les rendent quasiment impossible à craquer.

        « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: Pourquoi ?

      Posté par  (site Web personnel) . Évalué à 6.

      Accessoirement, keepass permet d’éviter les copier-coller (en simulant une saisie au clavier) donc la conservation en mémoire.

      • [^] # Re: Pourquoi ?

        Posté par  . Évalué à 2.

        OK, merci beaucoup à vous deux, rycks et flan, pour vos explications.
        Je chiffre mon fichier par :
        gpg2 --symmetric
        Et je suis seul à utiliser ma machine, à titre tout à fait privé, étant retraité.
        Je pense donc pouvoir continuer à gérer mes mots de passe ainsi…

        • [^] # Re: Pourquoi ?

          Posté par  (site Web personnel) . Évalué à 2.

          keepass sera plus simple à utiliser, rien que pour ça, il vaut le coup d'y jeter un œil ;)

          • [^] # Re: Pourquoi ?

            Posté par  . Évalué à 3.

            Comment peut-on juger de plus simple sans connaître son workflow et ses contraintes ? Je trouve, pour ma part, Pass store bien plus simple. Et Keepass c'est la galère en CLI…

            “It is seldom that liberty of any kind is lost all at once.” ― David Hume

            • [^] # Re: Pourquoi ?

              Posté par  . Évalué à 1. Dernière modification le 13/10/21 à 05:47.

              bonjour

              je m'intéressais à Keepass, mais je n'ai rien contre la simplicité :-)

              je n'ai pas trouvé Pass Store dans le moteur "gaugle"

              un lien peut-être ?

              Envoyé depuis mon Archlinux

      • [^] # Re: Pourquoi ?

        Posté par  . Évalué à 8. Dernière modification le 12/10/21 à 21:33.

        Accessoirement, keepass permet d’éviter les copier-coller (en simulant une saisie au clavier) donc la conservation en mémoire.

        Je pense que le plus important est qu'il s'assure que sur un système sain, le mot de passe n'est jamais écrit en clair nul part sans que l'utilisateur n'en ait conscience. Ce n'est pas le cas d'un fichier chiffré dont la version déchiffrée peut se retrouver dans un cache voire écrite sur le swap.

        • [^] # Re: Pourquoi ?

          Posté par  (site Web personnel) . Évalué à 4.

          Et si on chiffre tout le système de fichiers ? C'est pas plus simple que de rajouter une couche comme Keepass qui va demander des réglages et des manipulations pour chaque appli?

          Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

          • [^] # Re: Pourquoi ?

            Posté par  (site Web personnel) . Évalué à 8.

            Ça ne protège pas contre la même chose.

            Le chiffrement intégral du système de fichiers, ça protège les données lorsque le système est à l’arrêt en cas de vol ou perte du disque dur (ou de la machine qui le contient). Ça ne protège pas contre une exfiltration des données réalisée pendant que le système est en fonctionnement, puisque le système de fichiers est alors déverrouillé et tous les programmes s’exécutant sur la machine (y compris un éventuel malware) peuvent accéder de façon transparente aux données déchiffrées.

    • [^] # Re: Pourquoi ?

      Posté par  . Évalué à 4.

      Personnellement, j'utilise KeePassXC (compatible avec KeePass). J'y mets aussi tout mes OTP et je synchronise entre tous mes terminaux (perso, boulot, téléphonie) via CozyCloud.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.