IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

L'institut Carnegie propose une méthode scientifique de génération de mots de passe forts et aisés à retenir


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    1 998
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 1 998
    Points : 54 825
    Points
    54 825
    Par défaut L'institut Carnegie propose une méthode scientifique de génération de mots de passe forts et aisés à retenir
    Quelle est la façon la plus aisée de créer un mot de passe sécurisé ? L’institut Carnegie Mellon en propose une qui génère des MdP en sus faciles à retenir
    Sur la base d’une approche scientifique

    78 % des internautes oublient leurs mots de passe et procèdent à une réinitialisation, d’après une étude de HYPR parue en fin d’année dernière. En matière de gestion des MdP, la difficulté est là : trouver un équilibre entre sécurité et utilisabilité qui inclut la facilité à les retenir. La donne devrait changer avec une publication de l’institut Carnegie Mellon selon laquelle 12 caractères suffisent à créer un mot de passe à la fois sécurisé et aisé à retenir.

    Lors de la création d’un mot de passe pour un nouveau compte, chaque internaute s’est en principe déjà heurté à un jeu de règles destinées à rendre l'accès plus difficile aux pirates informatiques. Il consiste en l’utilisation de lettres majuscules, des chiffres et des caractères spéciaux. L’institut Carnegie Melon se veut clair à ce propos : ces exigences ne renforcent pas les mots de passe. « Il est intéressant de noter que nos données montrent que le fait d'exiger davantage de classes de caractères - lettres majuscules, symboles et chiffres - n'augmente pas la force des mots de passe et tend à avoir un impact négatif sur la facilité d'utilisation des mots de passe », indique Lorrie Crane à la tête du laboratoire de recherche lancé sur le projet.

    Dans la pratique, l’institution universitaire propose un outil de mise sur pied de mots de passe qui requiert de l’utilisateur qu’il saisisse à minima 12 caractères qu’il est capable de retenir. Ce dernier lui fait ensuite des suggestions d’amélioration allant dans le sens du renforcement de la sécurité offerte par le mot de passe, ce, tout en maintenant le caractère d’utilisabilité. L’outil s’appuie sur une combinaison de méthodes déjà éprouvées par d’autres équipes de recherche, mais de façon séparée : utilisation de listes d’exclusion de mots de passe usuels, définition de la longueur minimale de mot de passe, classes de caractères à considérer pour la génération de mots de passe forts, exploitation de bases de données de mots de passe ayant fait l’objet de fuite.

    Nom : 3.png
Affichages : 57534
Taille : 53,4 Ko

    C’est la pertinence de l’utilisation d’un tel outil qui est à questionner quand on sait que d’autres connus comme étant des générateurs de mots de passe existent. Un sondage paru sur cette plateforme au terme du mois de septembre en liste quelques-uns : Keepass, Bitwarden, Lastpass, Dashlane, 1Password, etc. Un générateur de mots de passe ôte à son utilisateur la nécessité d’en retenir, ce qui est un avantage quand on sait à quel rythme les services en ligne se multiplient dans un contexte de pandémie de coronavirus comme l’actuel. L’outil proposé par l’université de Carnegie Mellon peut s’utiliser en tandem avec un navigateur pour conserver les mots de passe et donc ôter la nécessité de les retenir. Toutefois, les risques d’une telle approche sont connus. En effet, les applications de génération de mots de passe indépendantes offrent de meilleurs gages de sécurité que celles intégrées aux navigateurs. La publication de l’institut Carnegie Mellon a fait l’objet de présentation lors de la dernièreconférence annuelle de l’Association for Computing Machinery qui s’est tenue en ligne du 9 au 13 novembre 2020.

    Source : Carnegie, plateforme de démonstration

    Et vous ?

    L’outil de l’université de Carnegie Mellon a-t-il une quelconque pertinence ?
    Quelle est votre approche pour la création de mots de passe qui offrent le maximum de sécurité ?

    Voir aussi :

    KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe

    La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport

    Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur

    Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?

    Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité

  2. #2
    Membre éprouvé
    Femme Profil pro
    Inscrit en
    Juillet 2012
    Messages
    265
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Italie

    Informations forums :
    Inscription : Juillet 2012
    Messages : 265
    Points : 1 005
    Points
    1 005
    Par défaut
    Je trouve la chose un peut stupide. On doit etre inscrit a combien de site web? on doit retenir 100/200 password en memoire?

  3. #3
    Membre expérimenté

    Homme Profil pro
    Retraite
    Inscrit en
    Octobre 2005
    Messages
    481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Retraite
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2005
    Messages : 481
    Points : 1 361
    Points
    1 361
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par emilie77 Voir le message
    Je trouve la chose un peut stupide. On doit etre inscrit a combien de site web? on doit retenir 100/200 password en memoire?
    avec kepasscx c'est gratuis et fiable

  4. #4
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Bonsoir,

    L'institut Carnegie propose une méthode scientifique de génération de mots de passe forts et aisés à retenir

    L’outil de l’université de Carnegie Mellon a-t-il une quelconque pertinence ?
    Bof non pas vraiment . Il y a des parades bien plus simples ... Mettre des "conditions" c'est déjà piper le travail pour d'éventuelle pirates qui tenteraient de mettre la mains sur la data ...

    Quelle est votre approche pour la création de mots de passe qui offrent le maximum de sécurité ?
    1) Utiliser des mails "alias" qui vont recevoir exclusivement du mails, déjà en cas de piratage , c'est "coupable" direct et radical, sans changer de boite mail

    2) Pour les sites utilisés de manière occasionnelles > utilisation de la fonction " mot de passe oublié " et à chaque connexion refaire un nouveau mot de passe , reste juste à retenir l'identifiant / login . Le noter est déjà "moins risqué" qu'une clef ... C'est comme voler un coffre ou une voiture sans la clef ... c'est difficilement voir inutilisable ...

    3) Pour les sites plus utilisés (messagerie, facebook ...) , allez 3/4 mots de passes . C'est largement possible de les retenir.

    4) Choisir un thème , sujet qu'on aime bien et utiliser une passe phrase , y ajouter un soupçon de langue étrangère ... Genre sur un site francophone avoir un mot de passe , même phonétiquement en allemand / russe , en cas de piratage avec un force brute et / ou déhashage via un dico latin ... le pirate va rester sur sa faim ... le mot de passe en allemand sera difficilement cassable

    Parfois les solutions les plus simples sont les plus efficaces, pas besoin d'avoir un gestionnaire de mot de passe ... Du moins j'arrive à m'en passer ...

    ---

    Exemple de mot de passe :

    " tarzandansunslipenpeaudeleopard " , la même chose avec des petits changements " Tarzanimleopardenfelleunterhose99* " ... Niveau sécurité le second est quand même bien plus costaud ...

  5. #5
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 261
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 261
    Points : 3 404
    Points
    3 404
    Par défaut
    Plutôt d'accord avec ton approche, mais pour se prémunir du social engineering, il faudrait éviter de choisir un thème qui nous plais, et plutôt tabler sur un domaine que l'on n'aime pas, ou dont on ne parle pas car peu d'intérêt (ex: les plantes, la mécanique, le sport, l'architecture, l'histoire, la politique, la médecine, l'économie, les sciences...)

    Citation Envoyé par tanaka59 Voir le message
    Parfois les solutions les plus simples sont les plus efficaces, pas besoin d'avoir un gestionnaire de mot de passe ... Du moins j'arrive à m'en passer ...
    Le gestionnaire de mots de passe a ses avantages et inconvéniant, le mot de passe générique aussi, le carnet papier aussi, le stockage cerveau aussi ...tout est question de savoir quels sont tes contextes d'usage, et quls avantages te sont profitables en pratique.
    Dans tous les cas, on s'accordera à dire que les stocker dans un fichier txt est proscrit ...d'autant plus s'il est en clair ! ^^'

  6. #6
    Membre du Club

    Profil pro
    Inscrit en
    Juin 2010
    Messages
    40
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2010
    Messages : 40
    Points : 68
    Points
    68
    Par défaut 2 fichiers csv
    Pourquoi pas les fichiers .txt ?
    Deux fichiers .csv avec des noms quelconques (évidemment !) avec les logins dans l'un et les MDP dans l'autre.
    Les quelques essentiels : Banque , FAI, boite mail principale sont à retenir par cœur ce qui 3 MDP à retenir. Si on a Alzheimer ou des pertes de mémoire importantes la vie sur le net devient impossible.
    Deux clics dans Excel ou autre tableur.
    Faut pas se prendre la tête de toutes façons c'est sur des machines tiers que les MDP sont piratés (sites marchands par exemple)

  7. #7
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Bonsoir,

    Citation Envoyé par leomath Voir le message
    Pourquoi pas les fichiers .txt ?
    Deux fichiers .csv avec des noms quelconques (évidemment !) avec les logins dans l'un et les MDP dans l'autre.
    Dans les faits à partir d'un éditeur de texte brute on peut stocker à n'importe quel extension ... Genre testez MySQL et importez un .toto .tete .titi ...

    Citation Envoyé par leomath Voir le message
    Les quelques essentiels : Banque , FAI, boite mail principale sont à retenir par cœur ce qui 3 MDP à retenir.
    D'après une étude, une français utilise entre 20 et 30 sites d'administrations / entreprises fournissant un service "publique" . (eau,gaz, banque, assurance, fai , impots, établissement scolaire ... ) . A part la banque et le la boite mail du fai , le reste des services sont utilisés 1 à 2 fois par mois/an ... Donc on peut allégrement se passer de retenir ces mots de passes ...

    Citation Envoyé par leomath Voir le message
    Si on a Alzheimer ou des pertes de mémoire importantes la vie sur le net devient impossible.
    Effectivement la cela devient très problèmatique et pas le choix que de passer par une personne tiers ...

    Citation Envoyé par leomath Voir le message
    Faut pas se prendre la tête de toutes façons c'est sur des machines tiers que les MDP sont piratés (sites marchands par exemple)
    Les serveurs sont les principales portes de vols des datas piratées. Il y a aussi le keylogging ... bon la cela nécessite quand même soit un accès physique soit l'installation d'un logiciel de manière assez avance.

    Quand on a une hygiène numérique "saine" , le risque tend vers zéro.

  8. #8
    Invité
    Invité(e)
    Par défaut
    Bonjour,
    Je dois être trop simple et même simpliste. J'ai six adresses de messagerie, chacune contenant des catégories de sites et le tout se trouvant dans un fichier avec 65 adresses (quelle que soit la catégorie du logiciel utilisé). Cela doit faire au moins quinze ans que j'utilise ce fichier qui comprend le nom que j'attribue, l'adresse du site, l'adresse personnelle utilisée et le mot de passe. J'ouvre ce fichier et je clique sur le mot de passe puis "copier", je clique sur l'adresse du site en appuyant sur "Ctrl" et voilà. Seules les adresses des comptes bancaires, impôts, etc. sont sous forme de code me permettant de retrouver le mot de passe. Voilà, ce n'est sans doute pas la meilleure solution et, bien évidemment, cela dépend aussi des sites sur lesquels on se rend, mais en tout cas, je n'ai jamais eu un seul problème (la chance ?).

  9. #9
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Bonjour,

    Citation Envoyé par jacques_jean Voir le message
    Bonjour,
    Je dois être trop simple et même simpliste. J'ai six adresses de messagerie, chacune contenant des catégories de sites et le tout se trouvant dans un fichier avec 65 adresses (quelle que soit la catégorie du logiciel utilisé). Cela doit faire au moins quinze ans que j'utilise ce fichier qui comprend le nom que j'attribue, l'adresse du site, l'adresse personnelle utilisée et le mot de passe. J'ouvre ce fichier et je clique sur le mot de passe puis "copier", je clique sur l'adresse du site en appuyant sur "Ctrl" et voilà. Seules les adresses des comptes bancaires, impôts, etc. sont sous forme de code me permettant de retrouver le mot de passe. Voilà, ce n'est sans doute pas la meilleure solution et, bien évidemment, cela dépend aussi des sites sur lesquels on se rend, mais en tout cas, je n'ai jamais eu un seul problème (la chance ?).
    Cela s'appelle l'hygiène numérique.

    Si tu as déjà un barrage assez costaud niveau comportement , tu limites drastiquement les risques. A l'ancienne écrire sur un txt / word / excel sur un PC qui reste à la maison , calculer le risque de vol / dégradation / perte physique versus le risque de piratage informatiques.

    C'est le second risque le plus important.

    Entre un vol de pc et le voleur qui se dit "tiens je vais allez fouiller dans le disque dure de Mr duschmolle" au risque de se faire repérer en se connectant frauduleusement ... et le groupe de pirates à l'autre bout du monde. Le scénario 2 est on ne peut plus plausible que le 1 ...

    "L'hygiène numérique" joue beaucoup.

Discussions similaires

  1. Réponses: 16
    Dernier message: 24/08/2017, 01h17
  2. Réponses: 3
    Dernier message: 21/01/2009, 09h35
  3. Réponses: 2
    Dernier message: 24/11/2008, 13h39
  4. Réponses: 3
    Dernier message: 08/11/2008, 09h23
  5. Réponses: 23
    Dernier message: 13/09/2006, 09h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo