Discussion :

[Cedric Chevalier]

Sécurité : une étude révèle que 55 % des internautes utilisent le même mot de passe
pour tous les sites Web qu’ils consultent

Quelles que soient les solutions de sécurité mises en place comme les pare-feu, IPS, antivirus ou politique de sécurité d’entreprise, le maillon faible de la chaine de sécurité d’une entreprise restera toujours l'utilisateur de son réseau.

Une récente étude, sur une population d’individus âgés de 16 ans et plus, vient d’être menée au Royaume-Uni par Ofcom. Plus de 55 % des sujets de l’étude utilisent le même mot de passe pour la plupart des sites web qu’ils consultent.

Pire encore, les mots de passe sont extrêmement vulnérables aux attaques par dictionnaire. En effet, ces mots de passe utilisateurs sont soit des dates de naissance soit des noms courants. 26 % des sujets de l'étude ont évoqué la difficulté qu’il y a à retenir des mots de passe différents pour chaque site web consulté.

Néanmoins, on note une petite avancée sur l’adoption des autres mesures de sécurité basiques. 62 % des sujets affirment protéger leur point d’accès Wi-Fi, tandis que 61 % prennent la précaution de vérifier le petit cadenas (symbole de HTTPS) ou de lire les messages de sécurité du système avant une introduction quelconque de leurs informations confidentielles.


Source : Ofcom


Et vous ?

Avez-vous recours au même mot de passe pour l’ensemble des sites que vous consultez ?

Sinon, comment procédez-vous pour retenir plusieurs mots de passe forts différents pour chaque site que vous consultez ?

[herve4]

Bonjour,

Pour ma part, j'utilise KeePass (gratuit, tres simple je le recommande) qui gère tout mes mots de passe.
Ca me pemet de mettre à chaque fois le mots de passe le plus long donc le plus complexe à dechiffrer.

De nos jours, pour les activités web tel les achats sur Internet, consulter sa boite mail, etc ... il FAUT mettre un mot de passe différents.
Utiliser un logiciel pour assurer la sécurité des mots de passe, c'est aussi important que l'installation d'un antivirus.

Rien ne garanti la confidentialité des mots de passe sur les site commerciaux ou autres, alors n'hesitez pas !

A bon entendeur ...

[Starbug]

Sympa, merci pour l'info herve4 .

C'est vrai qu'on est submergé par le nombre de différents mot de passe pour les boîtes mails, paypal,facebook, developpez.com ...

[sevyc64]

Avez-vous recours au même mot de passe pour l’ensemble des sites que vous consultez ?

Pas sur l'ensemble des sites, mais j'ai un groupe de site ou j'ai effectivement le même mot de passe. C'est généralement des sites ou mon identité est bidon, avec une adresse mail poubelle.

Sinon, comment procédez-vous pour retenir plusieurs mots de passe fort différents, pour chaque site que vous consultez ?

Pour le reste j'utilise un gestionnaire de mot de passe, Sticky Password, car il est impossible de retenir ne serait-ce qu'un seul mot de passe fort, alors des dizaines ...

[ternel]

En même temps, vous avez appris 50 règles de grammaire tordu, vos tables de multiplications, votre emploi du temps, et vous n'arriveriez pas à vous souvenir d'une quinzaine de mots de passe?

à ce propos… le mot de passe "L'agréable inclination à l'élégante compagnie" est un mot de passe fort symple à retenir et suffisamment solide.
(quatre noms verbes ou adjectifs)

Autrement plus long que "Dsu7e3k#" qui ne s'apprend pas simplement.

[benzoben]

Ce qui serait intéressant, ce serait de faire ce sondage sur les utilisateurs de developpez.net!

[Squisqui]

Idem à sevyc64.
J'utilise un mot de passe pour un ensemble de sites dont l'identité/mail est bidon. À vrai dire, j'y introduis de vagues variantes afin de ne pas taper le même trop souvent (ce qui peut expliquer pourquoi j'ai 2 ou 3 essais lorsque je me connecte à un vieux site ).
Par contre, pour les accès un poil plus critiques, c'est mot de passe unique long et compliqué (J'en ai qu'une demi-dizaine, donc ça se retient facilement).
Parfois, il est assez difficile de faire quelque chose d'efficace lorsqu'on est coincé par un champ de 4-8 caractères alphanumériques seulement.

[benzoben]

Bonjour,

Pour ma part, j'utilise KeePass (gratuit, tres simple je le recommande) qui gère tout mes mots de passe.
Ca me pemet de mettre à chaque fois le mots de passe le plus long donc le plus complexe à dechiffrer.

C'est une bonne méthode mais que ce passe t-il quand tu n'as pas accès à KeePass (en vacances ou chez des amis)?

[olituks]

Personnellement, j'utilise la double authentification de mon compte Google. Simple, efficace, sécurisé (pour ce que j'en sais). JE le recommande à toutes et tous qui ont un compte chez Google et bientôt également chez Crosoft.

[niarkyzator]

Le problème avec ton mot de passe "L'agréable inclination à l'élégante compagnie" est qu'il est trop long pour la plupart des site.

Chaque site à une regex différente sur ce qu'il accepte ou n'accepte pas, et au final t'es souvent obligé de sortir un truc de 10 caractère avec des $#%° partout des chiffres et des majuscules parce que sinon il n'est pas accepté.

[Invité]

Comme déjà dit plus tôt, chaque site impose des types de mots de passe différents.
Certains nécessitent une majuscule + un chiffre et pas deux lettres identiques.
D'autres demandent au moins 8 caractères, d'autres maximum 8, d'autres enfin te laissent encoder 50 caractères mais n'utilisent que les 10 premiers, donc après l'inscription tu n'arrives pas à te logger...
Enfin, pour ma part il ne s'agit pas d'une quinzaine de mots de passe à retenir mais bien d'une centaine... alors à force j'utilise des astuces.

Début de mot de passe non critique + nom-du-site + fin de mot de passe non critique, afin au moins d'avoir un hash différent sur chaque site.

Pour certains sites plus sensibles :
Début de mot de passe complexe + nom-du-site + fin du mot de passe complexe.

Certains sites imposent des limites stupides, pour ceux là je n'hésite pas à faire un renvoi de mot de passe quand j'ai besoin de m'y connecter, jusqu'à ce que je retienne le mot de passe sur le site.

Enfin, j'ai pas envie de lier qqch à Google, car Google peut très bien vous bannir un jour de ses services, on ne met pas tous les oeufs dans le même panier surtout vu le paquet de services Google qui ont été fermés ces dernières années, obligeant chaque fois à aller voir ailleurs.

Et garder les mots de passe dans un outil, pas question... car du coup on ne s'en souvient pas quand on en a besoin et que l'outil n'est pas dispo... par exemple j'utilise Smartphone, Tablette, Pc portable Dual boot, Pc fixe dual boot, PC de bureau, pc de X, Pc de y... j'ai pas envie de mettre l'outil partout ...

Bref la mémoire et quelques astuces ça reste pratique.
Pour ma part j'utilise souvent donc un mot de passe intelligent, ensuite j'y remplace certaines lettres par des caractères spéciaux et chiffres, enfin je coupe le mot de passe en deux et j'insère au milieu le nom de domaine du site.
Cela me va bien jusqu'ici....

[Loceka]

Presque pareil que sevyc64 et Squisqui (allez, encore un peu et on fait une chaîne !) : j'utilise des mots de passe différents et que j'espère sécurisé pour mes boîtes mails (qui contiennent pour le coup des données perso et des liens vers les différents comptes), par contre pour les sites web (et c'est plutôt une cinquantaine qu'une quinzaine pour répondre à leternel), y compris pour les sites de paiement en ligne (de toute façon y'a pas mes coordonnées bancaires dessus), je tourne entre 5 mots de passe (selon les règles de sécurité imposées par le site).

[lvr]

Le problème avec ton mot de passe "L'agréable inclination à l'élégante compagnie" est qu'il est trop long pour la plupart des site

T'as pas compris le principe !!!!
"L'agréable inclination à l'élégante compagnie"
donne comme mot de passe (par exemple)
L'aIalec

La phrase est un truc mnémotechnique pour retenir un mot de passe complexe.

Perso, j'utilise 2 types de mot de passe.
Pour les sites critiques, un mot de passe complexe, mémorisé par une phrase mnémotechnique
Pour les sites non-critiques:
- un mot de passe composé d'une base commune et d'une base dépendante du siteweb.
- un login par domaine

[Ky-Gf]

Avez-vous recours au même mot de passe pour l’ensemble des sites que vous consultez ?

J'utilise une méthode qui marche plutôt bien et que je conseille à tous le monde (ou non si vous avez mieux) : utiliser un pattern.

Exemple : votre pattern pourrait être abcdXXcdbaYY

où abcd et cdba sont fixe, donc à retenir par coeur avec ici 2 'clés' à modifier en fonction du site sur lequel vous avez le mot de passe. Pour Gmail on pourrait imaginer XX = g et YY = mail

Bref il est possible d'être imaginatif et de ne retenir qu'un seul et même pattern que l'on pourra adapter en fonction du site. Même si les clés peuvent parraitres évidentes (mail,gmail ...) tant que votre pattern est non divulgés, aucuns risques.

[noctua]

comme Ky-Gf,
j'utilise ce genre de méthode pour les sites sensibles (e-mail, achat en ligne...)

Par contre, pour les forums c'est plutôt un mot de passe facile à retenir.

En fait, je varie mes mots de passe en fonction du côté sensibles du sites.

ça doit me faire 4 à 5 mot de passe plus les variantes.

Pour les mots de passe, compliqués, je prends soit le titre d'un bouquin soit un proverbe et je complète avec des chiffres pris avec la disposition du pavé numériques (je retiens le chemin à effectuer). Pour ces pass là, je retiens comment je les ai conçu et non le pass final.

[Bintux]

Avez-vous recours au même mot de passe pour l’ensemble des sites que vous consultez ?

Plus maintenant, mais il y a quelques années je variais entre 2-3 mots de passe beaucoup trop simples. J'ai bien entendu changé de comportement et maintenant j'utilise des mots de passe forts et différents sur tout mes comptes et sites à lesquels je suis inscrit.

Sinon, comment procédez-vous pour retenir plusieurs mots de passe forts différents pour chaque site que vous consultez ?

Pour ma part j'utilise souvent donc un mot de passe intelligent, ensuite j'y remplace certaines lettres par des caractères spéciaux et chiffres, enfin je coupe le mot de passe en deux et j'insère au milieu le nom de domaine du site.

C'est à peu près la technique que j'utilise

[ulspider]

C'est une bonne méthode mais que ce passe t-il quand tu n'as pas accès à KeePass (en vacances ou chez des amis)?

Salut,

personnellement j’utilise Passpack qui est un gestionnaire de mot de passe Online.

Le protocole de sécurité est très efficace et très sûr :

• Connexion au site de Passpack (HTTPS) avec un couple login / password
• Si l'authentification est correcte, Passpack renvoit une archive cryptée contenant les mots de passe de l'utilisateur.
• Le décryptage de l'archive se fait via un autre mot de passe et est réalisé en javascript coté client (Passpack ne gère pas le décryptage et stocke uniquement l'archive cryptée, pas le second mot de passe). Ainsi Passpack ne connait qu'un des 2 mots de passe et si le site tombe, un attaquant est incapable de récupérer les mots de passe des utilisateurs puisqu'il récupérera uniquement les archives cryptées.

Ce système me semble extrêmement fiable et je l'utilise depuis 4 ans. Le site n'a jamais été offline. De plus, une version desktop est disponible et cela permet de faire un backup de son archive cryptée et de l'ouvrir en mode offline.

Testé c'est l'adopté ! Pour un compte gratuit Passpack, vous êtes limité à 100 mots de passe donc c'est amplement suffisant.

[bobyboby]

Vous etes parano, y a pas une horde de hacker a vos trousses en permanence en train d'essayer de lire vos mails... Sauf si vous êtes une personne a risque, célèbre / influente.

C'est quoi le pire qui puisse vous arriver?
- voler votre carte de crédit? remboursé immédiatement par la banque
- voler votre carnet d'adresse? et alors??
- voler votre compte facebook? facile a bloquer et a récupérer

Et a quoi ca sert d'avoir un pass différent pour tous les sites si y a le nom du site dedans sérieux... j'ai envie de dire ALLO? mais ALLO QUOI! Si ton mot de passe c'est aaaDEVELOPPEZbbb123 et que je le trouve, je vais pas avoir de mal a deviner ton password facebook ahahah!

J tant que votre pattern est non divulgés, aucuns risques.

Eh ben alors ça c'est de l'astuce! Tant que mon mot de passe est secret aucun risque? Je suis rassuré alors je vais utiliser ta technique!! Sinon, ton mot de passe pourrait etre abcd, tant qu'il est non divulgué, aucun risque!

Non mais serieux... Le forum de l’élite IT française dans toute sa splendeur.

[vampirella]

Aller, c'est vendredi, je me lâche !

[sevyc64]

Vous etes parano, y a pas une horde de hacker a vos trousses en permanence en train d'essayer de lire vos mails... Sauf si vous êtes une personne a risque, célèbre / influente.

Ce n'est pas forcément les mails des personnes a risque, célèbres / influentes qui interessent le plus les hackers.
Les machines tout à fait banales, anonymes, de monsieur Tout-Le-Monde et les identités sont aussi très intéressantes pour eux. Généralement peu sécurisées, elles sont facilement compromissibles pour être utiliser ensuite soit dans des actions groupées (bot de spam, attaque Ddos, etc...) soit pour masquer sa propre identité.

C'est quoi le pire qui puisse vous arriver?
- voler votre carte de crédit? remboursé immédiatement par la banque

Ca c'est la théorie. Dans la pratique, ce n'est pas toujours très simple de se faire rembourser, et ça peu prendre plusieurs mois, surtout s'il y a de fortes sommes à l'étranger. Entre-temps tu peux te retrouver avec un compte vide, voire tous les comptes bloqués et interdit bancaire, etc...

- voler votre carnet d'adresse? et alors??

Et ça ne te dérange pas que tes amis soient assaillis de pub, voire de messages indiquant tu es bloqué dans un pays africain, gravement malade, avec un besoin important d'argent pour pouvoir rentrer ?
Heureusement que l'on est pas amis.

- voler votre compte facebook? facile a bloquer et a récupérer

Avoir un compte Facebook est déjà en soi une grosse faille de sécurité

Et a quoi ca sert d'avoir un pass différent pour tous les sites si y a le nom du site dedans sérieux... j'ai envie de dire ALLO? mais ALLO QUOI! Si ton mot de passe c'est aaaDEVELOPPEZbbb123 et que je le trouve, je vais pas avoir de mal a deviner ton password facebook ahahah!

Sauf qu'il faudra d'abords découvrir le premier et l'analyser pour comprendre comment il est construit et espérer ainsi en découvrir d'autres sur le même principe.

Eh ben alors ça c'est de l'astuce! Tant que mon mot de passe est secret aucun risque? Je suis rassuré alors je vais utiliser ta technique!! Sinon, ton mot de passe pourrait etre abcd, tant qu'il est non divulgué, aucun risque!

Oui, "tant qu'il est non divulgué, aucun risque!", sauf qu'il n'a pas besoin d'être divulgué. Un mot de passe simple a de très fortes chances d'être présent dans les dico d'attaque par BruteForce. Ton mdp n'as pas besoin d'être divulgué, il suffit que sa combinaison soit essayée aléatoirement pour être découvert.

Non mais serieux... Le forum de l’élite IT française dans toute sa splendeur.

Dont tu en es un parfait représentant avec toutes les anneries et la mauvaise fois que tu viens de donner
On pourrait croire au troll, mais quelque chose me dit que non.


Maintenant, libre à toi de choisir un mot de passe hyper simple et de l'utiliser partout. Je te le souhaite pas, mais si un jour il est découvert, probablement que tu changeras d'avis.