Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Savoir créer un bon mot de passe, avec un niveau de sécurité suffisant
Bonjour,
Voici un nouveau tutoriel, qui parle de comment choisir un bon mot de passe qui vous sera personnel, et qui contiendra un niveau de sécurité suffisant.
Le but n'est pas de vous donner une recette miracle, mais de vous donner les principes qui vous permettront de créer le votre.
Bonne lecture
Tous les meilleurs cours et tutoriels pour apprendre la sécurité informatique
Hello,
Bon tuto, mais il serait bon d'y ajouter des liens vers des outils comme Keepass...
En expliquant le principe et l'utilité.
@+
Je ne l'ai pas mis justement, car le but n'est pas d'avoir un programme tiers pour aider à se souvenir du mot de passe... le but est de définit un mot de passe et ensuite de lui ajouter une logique en fonction de l'utilisation.Envoyé par JayGr
Avec des minuscules, des majuscules, des chiffres et des caractères spéciaux
Je ne vois que des chiffres dans les exemples ?
Bonjour,
C'est le nombre de possibilités qui est indiqué.
Très bon tutoriel au passage. Merci bien.
Le tutoriel est bon, mais ce qui me gène le plus dans les mots de passe aujourd'hui c'est que les sites/logiciels/entreprises qui demandent des mots de passe définissent très souvent leurs propres règles qui sont parfois contradictoires.
Si la plupart impose simplement un minima de sécurité, j'ai vu également des sites web qui imposent un maxima (!), c'est-à-dire que les mots de passe ne pouvaient pas contenir de caractère spécial ni faire plus de 8 caractères... Du coup on ne peut pas encore se fier à une règle utilisable partout, ça ne marche pas encore.
Par ailleurs, deuxième souci, certains systèmes vous forcent à utiliser des mots de passe qu'ils ont générés eux-mêmes (notamment les banques). Là encore on ne peut pas gérer ses mots de passe comme on le souhaite.
Tout cela mène au problème principal selon moi : la difficulté n'est pas tant de créer un mot de passe facile à retenir, mais de parvenir à se souvenir de tous les mots de passe et du contexte d'utilisation de chacun. Rien qu'au boulot j'utilise de façon régulière 7 mots de passe différents, et je ne travaille même pas sur de la technique, je suis fonctionnel ! Sur ces 7 mots de passe il y en a 3 qui ne bougent pas ou peu, 2 qui varient très régulièrement et qui doivent être différents des 5 derniers utilisés, et 2 qui sont automatiquement régénérés par le système. Tout cela additionné aux mots de passe que j'utilise chez moi qui varient selon les sites web, ceux fournis par la banque, etc etc... J'estime que j'ai une vingtaine de mots de passe que j'utilise de façon semi-régulière. Je ne suis pas capable de mémoriser tous ces mots de passe, et après avoir tenté de lutter contre ce foutoir sans nom, j'ai fini par abandonner, et j'ai mes mots de passe du boulot joliment écrits sur un post-it. On repassera pour la sécurité. Et pour chez moi j'ai adopté une solution basée sur la criticité : pour la plupart des sites web j'ai un unique mot de passe faible parce qu'il n'y aura aucune vraie conséquence si je me fais pirater, pour les sites qui me tiennent à cœur j'ai un unique mot de passe moyen, et pour les sites critiques (notamment les comptes mails) j'ai plusieurs mots de passe sécurisés.
Bon, mon commentaire dévie un peu du sujet de ton tuto, mais je te rassure ton tuto est très bienTes méthodes sont bien expliquées et intéressantes. Mon reproche est plus sur le fait que les systèmes tentent de combler les lacunes des utilisateurs en matière de sécurité des mots de passe, et que du coup ça handicape les utilisateurs avertis, selon moi.
EDIT : et j'ai même pas parlé des identifiants qui varient eux-aussi et sont parfois également générés par le système...
Bonjour,
Pour stocker les couples login / pass de manière sécurisée, et pouvoir les copier/coller (sachant qu'on ne peut coller le mdp une seule fois), je ne peux que conseiller password Safe de B. Schneier, un expert reconnu en sécurité : https://www.schneier.com/passsafe.html
D'accord... Je peux comprendre. Mais aujourd'hui peu de personne sont capable de retenir 10 mots de passes différents... Alors un outil comme Keepass peut s'avérer très utile (puisque l'on peut tout aussi bien définir ses propres passwords dans ce soft). Mais en tout cas le tuto est très facile à comprendre et à lire ;-).
Keepass et password safe c'est la même chose je crois ...
@+
JayGr
Bonjour voici la vision du SANS que je trouve pas mal en complément de votre tuto
Voici un lien (ci-dessous) je pense que c'est vraiment un bon complément à votre tuto :
par exemple 5/6 mots qui n'ont pas forcément quelque chose à voir ensuite on adapte.
Cheval trois dans le contexte : merci
facile à retenir et on adapte :
Cheval Tr01s d@ns le cont€xTe : merci !&
C'est déjà très suffisant, à tester avec John ou autre rainbow...
Le site online site1 donne :
154 novemdecillion years
Le lien :
http://www.securingthehuman.org/news...-201305_fr.pdf
En toute modestie...
« L’homme qui déplace une montagne commence par déplacer les petites pierres. », dixit Confucius.
Bonjour,
comme l'explique très justement B. schneier, le fait de remplacer e par 3 ou par € ne sert a peu près à rien, car les logiciels qui servent a craquer les mots de passe font eux aussi ce genre de remplacement. Bah oui, faut pas croire que les gens qui écrivent ce genre de logiciels sont plus bêtes que les autres : ils lisent les mêmes tutos que nous, et s'en servent pour améliorer leur logiciel. Ainsi, d'un logiciel qui teste en brute-force un ensemble de mots de passe (un dictionnaire), on se retrouve avec des logiciels qui font des remplacements de lettre, ajoutent des points ou des chiffres a la fin, etc...
et c'est pour ça que azerty est presque aussi peu sécurisé que azerty0 ou az3rty0
Je suis d'accord, mais c'est bien pour cela que l'on a inventé le chiffrement polyalphabétique...
Salut à tous.
Je lisais ce sujet avec intérêt, mais je trouve toujours qu'il existe pas de manière efficace de gérer ce problème de mots de passe.
Parce que tous les conseils pour avoir un bon password ne résolvent pas le principal problème : S'en souvenir.
Quant aux logiciels comme Keepass, je reste un peu dubitatif. Déjà, ça permet pas d'avoir accès à ses mots de passe où que l'on soit (sauf à se balader avec une clé USB en permanence). Ensuite, on doit eux aussi les protéger par un mot de passe qui peut lui même être craqué, qui est sensible aux keyloggers, tout ça. Et pour finir, si le logiciel est ouvert, quelqu'un d'autre peut récupérer vos mots de passe (et si vous ouvrez le logiciel à chaque fois que vous entrez un mot de passe, c'est poussif pour l'utilisateur).
Ce qui m'a fait avoir une idée que je vous soumets (pour qu'elle se fasse démonter ^^) :
Un site web, sur lequel on s'identifie mais sans que l'identification soit sensible. On peut donc laisser Chrome se rappeler du mot de passe.
A l'intérieur, on peut rentrer (ou générer) ses mots de passe. On choisit donc un nom (style compte bancaire ou forum développez), une image, et on rentre son mot de passe.
Pour le récupérer, il faudra qu'on clique sur l'image qu'on a rentré parmi un choix conséquent d'images d'autres utilisateurs, et ça mettra alors le mot de passe dans le presse papier.
Avantages :
- Accessible de partout.
- Protégé contre la force brute (suffit de mettre un nombre maximum d'essai avant de bloquer le compte).
- Protégé contre les key loggers (on appuie sur une image).
- Inutilisable par quelqu'un qui accèderai à votre machine alors que le site est ouvert (faut connaître l'image), sauf si le mot de passe est toujours dans le presse papier (mais pour ça, on peut même imaginer une manière de nettoyer le presse papier après avoir entré le mot de passe, comme un timer avec nettoyage du presse papier après 1 minute).
- On a besoin de se rappeler d'images uniquement. Comme en plus ce sont des images qu'on a nous même uploadé sur le site, c'est facile de s'en rappeler. Et si on veut complexifier, on peut même demander à l'utilisateur de définir l'image avant de lui en envoyer une liste. Genre il upload un éléphant, et il indique que son image se trouve dans la catégorie animaux/éléphant. Là, pour retrouver l'image de l'utilisateur quand tu veux hacker un mot de passe, tu t'accroches. Et ce même si tu connais des choses sur cet utilisateur (comme le fait d'avoir déjà vu la photo de l'éléphant sur un quelconque réseau social).
Voila. Je me demandais si pour vous, ce pourrait être une technique de protection des mots de passe efficace.
Toutes les idées sont bonnes à prendre, donc il faut toujorus les soumettre.
Cette idée d'utiliser des images n'est pas intrinsèquement nouvelle, il y a eu des chercheurs qui avaient proposé une solution en ce sens, je pense qu'une recherche sur le net permettrait de retrouver l'article. Il y avait d'ailleurs eu un bout de débat sur l'un des forums de développez.
Là tout de suite, je suis forcément contre (les 4 étapes d'acceptation, tout ça tout ça), mais je vais essayer d'être pragmatique :
- oui, les gens reconnaissent mieux des images que u8ghue#~@42pass''
- oui, pour le moment, l'analyse automatique des images en est au balbutiements, et donc il n'existe pas encore trop d'attaques.
Mais, mon soucis est comment tu transferts de manière sécurisée le mot de passe entre le site distant et l’ordinateur local. Et ça m'amène vite à un autre point, qui est que le site distant devra forcément stocker le mot de passe en clair, ce qui est une hérésie : on entend souvent des informations sur des sites qui se son fait pirater quelques millions de mots de passe, alors imagine si un site est connu pour être LE point central qui garde tous les mots de passe de tout le monde, ca va être la cible de prédilection de tout le monde.
Par contre, on pourrait imaginer une solution dérivée de la tienne :
Lorsque tu arrives sur developpez.net (au pif hein), tu rentres un login et un site de stockage des images. Dvp fait alors une requête vers ce site, qui lui renvoie X images, voir un jpg construit comme une mosaïque, qui contient bien sur l'image que tu as choisi pour te logger sur dvp. A partir de là, tu cliques sur l'éléphant : dvp envoie les coordonnées de ton clic au site de confiance, qui dit si oui ou non tu as le droit de te logger. Si oui, bienvenue, si non, tu recommences.
Les limites immédiates (avant même que vous ne défonciez cette idée à coup de bludozer) :
- même si une seule image change dans la mosaïque à chaque demande, il "suffit" de faire pas mal de demandes, et on finit par trouver quelle est l'image
- Il faut un site de confiance, or par définition je n'ai pas confaince dans les sites de confiance
- Il faut obligatoirement s'inscrire sur le ou les sites "reconnus" par chaque site, ce qui fout la grouille car il va vite y en avoir plusieurs, et que tu ne peux pas avoir confiance en tous (il y a déjà eu des problèmes avec un site de confiance dont je ne trouve plus le nom, et je crains que ce ne soit pas le dernier).
Enfin, l'avantage des mathématiques, c'est que certaines personnes peuvent prouver qu'un algorithme est sûr, ou bien est tout pourri. Avec le coup des images, je ne sais pas ce qu'il en est, mais vu le volume de login chaque jour dans le monde, une solution fiable dans presque tous les cas est forcément désastreuse.
Perso, je ferais confiance à des technologies de cryptage standard, style SSL. Protéger un site web, ça se fait, et c'est assez commun.
Complètement d'accord. Mais ce risque là existe toujours. Après, l'avantage d'avoir un site qui centralise les mots de passe, c'est qu'on peut aussi centraliser la sécurité plutôt que de l'éclater entre tous plein de sites et d'intervenants différents. Je pense justement que c'est potentiellement plus sécurisé (même si c'est aussi plus dangereux).
Le soucis de cette solution est qu'elle demande de revoir la sécurité de tous les sites actuels. C'est donc extrêmement coûteux, et y en aura toujours pour pas faire le saut. Mais oui, clairement, choisir une image plutôt qu'un mot de passe serait la solution la plus pratique (moi je parle de remplacer les mots de passe, pour pas avoir à s'en souvenir, pas de leur ajouter une couche de sécurité supplémentaire).
Là je te suis pas ^^
Ce site sera le centre de toutes les attentions, et le problème est qu'une seule faille permettant une intrusion est dévastatrice. Avec mes connaissances actuelles en tout cas, jamais je ne cnfie mon mot de passe le plus faible à un site web "centralisateur" en tout cas.l'avantage d'avoir un site qui centralise les mots de passe, c'est qu'on peut aussi centraliser la sécurité plutôt que de l'éclater entre tous plein de sites et d'intervenants différents. Je pense justement que c'est potentiellement plus sécurisé (même si c'est aussi plus dangereux).
Dans le cas des images qui changent à chaque fois, mais avec toujours l'éléphant qui sera affiché quelque part, il est théoriquement possible de trouver l'image. Exemple bête avec 4 lettres : celle en majuscule est l'éléphant :Là je te suis pas ^^
La première fois, tu as ça :
A b c d. Et la seconde, tu as A e f g. Ensuite e A h i... Et ainsi de suite.
Dans ce cas précis, il est démontrable mathématiquement (pas par moi, mais c'est faisable) qu'au bout de X essais, tu peux identifier A de maière certaine. Alors certes, en augmentant le nombre d'images et avec quelques modifications tu rends X "assez grand", mais il est toujours trouvable.
En revanche, si on considère les algorithmes mathématiques de cryptographie actuelle, il est démontré qu'en ayant le mot de passe crypté et la clef publique, il n'est pas possible de retrouver le mot de passe. Alors oui, c'est valable tant que bla bla, mais ça reste beaucoup plus valable que le fait de trouver une image parmi d'autres.
Une autre solution toute conne consiste à séparer le contenu entre 3 sites différents, chacun gérant sa sécurité de manière séparée. Ainsi, pour avoir un mot de passe entier, tu dois craquer les 3 sites. Bon, après, tu peux avoir un tier de mot de passe plus facilement, mais ça reste quand même chaud.
C'est pour ça que je parlais d'un certain nombre d'essai. Si après 3 affichages de l'éléphant, tu n'as pas cliqué dessus, ton compte est bloqué et un message est envoyé à ton addresse email pour le réactiver.
Et avec le système de catégorie, le problème est réglé. Si tu sais pas que tu cherches un éléphant, tu peux passer du temps à chercher dans les voitures et les visages.
une simple longue phrase ne suffit-elle pas ?
Par exemple :
mdp : c'est l'été qu'il fait le plus chaud !
combien de temps pour le cracker ?
mdp : les 2 Radiateurs à ma Gauche sont Jaunes
mdp : les imprimantes laser coûtent - chères à terme
C'est très facile à retenir (comparé à jZp1' utqlm1Zanpp€ !!!), je ne pense pas que ce soit facile à cracker ... voir image jointe.
Vers la fin des mots de passe ?
Le problème des mots de passe est effectivement de s'en souvenir! Des règles trop compliquées auront comme conséquences directes que les utilisateurs les noterons dans un fichier, sur un post-it, dans leur carnet ou téléphone. En plus il faut un mot de passe par usage. Aussi les solutions du type "mot de passe bloqué pendant 3 minutes après 3 essais erronés" ou les solutions d'authentification forte sont à favoriser à chaque fois que possible. Mon conseil est de recommander des règles hyper-simples aux utilisateurs du type un seul mot de passe pour tous leurs comptes avec un préfixe ou suffixe déduit en fonction du site web ou de l'application par exemple : geMotdePasseGénérique pour google (première et dernière lettre), trMotdePasseGénérique pour Twitter, etc.
Mais non.
La robustesse d'un mot de passe est fonction notamment de son caractère plus ou moins aléatoire.
Non seulement il est important d'avoir des mdp robustes, mais il faut que les protections mises en oeuvre le soient aussi.
Si vous utilisez tels quels des mots d'un dictionnaire vous affaiblissez l'entropie du mot de passe et il est donc plus vulnérable à des attaques par dico, force brute , ...
Voir aussi:
Note : "Fgpyyih804423" fait 13 caractères.http://fr.wikipedia.org/wiki/Rainbow_table
...
L'algorithme, déjà efficace avec des mots de passe correctement hashés (le mot de passe Windows "Fgpyyih804423" est retrouvé en 160 secondes) l'est a fortiori avec les mots de passe de LAN Manager, qui utilisent LM hash (et donc un niveau de sécurité très faible). Ces derniers sont ainsi trouvés en l'espace de quelques secondes s'ils sont alphanumériques. Les tables peuvent être utilisées avec toute autre fonction de hachage comme MD5 ou encore SHA-1, ces dernières étant nettement plus robustes du point de vue cryptographique que LAN Manager et nécessitent des tables plus grandes.
...
Quant au salage des mdp avant d'appliquer un hash:
Si vous avez réussi à obtenir la table contenant les hash, vous devriez pouvoir y trouver le hash correspondant à votre mdp salé et donc peut-être arriver à retrouver le sel.
Mes traductions : Pourquoi les signatures numériques ne sont pas des signatures
Répondre avec citation
Partager