Discussion :

[Patrick Ruiz]

Quelle est la façon la plus aisée de créer un mot de passe sécurisé ? L’institut Carnegie Mellon en propose une qui génère des MdP en sus faciles à retenir
Sur la base d’une approche scientifique

78 % des internautes oublient leurs mots de passe et procèdent à une réinitialisation, d’après une étude de HYPR parue en fin d’année dernière. En matière de gestion des MdP, la difficulté est là : trouver un équilibre entre sécurité et utilisabilité qui inclut la facilité à les retenir. La donne devrait changer avec une publication de l’institut Carnegie Mellon selon laquelle 12 caractères suffisent à créer un mot de passe à la fois sécurisé et aisé à retenir.

Lors de la création d’un mot de passe pour un nouveau compte, chaque internaute s’est en principe déjà heurté à un jeu de règles destinées à rendre l'accès plus difficile aux pirates informatiques. Il consiste en l’utilisation de lettres majuscules, des chiffres et des caractères spéciaux. L’institut Carnegie Melon se veut clair à ce propos : ces exigences ne renforcent pas les mots de passe. « Il est intéressant de noter que nos données montrent que le fait d'exiger davantage de classes de caractères - lettres majuscules, symboles et chiffres - n'augmente pas la force des mots de passe et tend à avoir un impact négatif sur la facilité d'utilisation des mots de passe », indique Lorrie Crane à la tête du laboratoire de recherche lancé sur le projet.

Dans la pratique, l’institution universitaire propose un outil de mise sur pied de mots de passe qui requiert de l’utilisateur qu’il saisisse à minima 12 caractères qu’il est capable de retenir. Ce dernier lui fait ensuite des suggestions d’amélioration allant dans le sens du renforcement de la sécurité offerte par le mot de passe, ce, tout en maintenant le caractère d’utilisabilité. L’outil s’appuie sur une combinaison de méthodes déjà éprouvées par d’autres équipes de recherche, mais de façon séparée : utilisation de listes d’exclusion de mots de passe usuels, définition de la longueur minimale de mot de passe, classes de caractères à considérer pour la génération de mots de passe forts, exploitation de bases de données de mots de passe ayant fait l’objet de fuite.

C’est la pertinence de l’utilisation d’un tel outil qui est à questionner quand on sait que d’autres connus comme étant des générateurs de mots de passe existent. Un sondage paru sur cette plateforme au terme du mois de septembre en liste quelques-uns : Keepass, Bitwarden, Lastpass, Dashlane, 1Password, etc. Un générateur de mots de passe ôte à son utilisateur la nécessité d’en retenir, ce qui est un avantage quand on sait à quel rythme les services en ligne se multiplient dans un contexte de pandémie de coronavirus comme l’actuel. L’outil proposé par l’université de Carnegie Mellon peut s’utiliser en tandem avec un navigateur pour conserver les mots de passe et donc ôter la nécessité de les retenir. Toutefois, les risques d’une telle approche sont connus. En effet, les applications de génération de mots de passe indépendantes offrent de meilleurs gages de sécurité que celles intégrées aux navigateurs. La publication de l’institut Carnegie Mellon a fait l’objet de présentation lors de la dernièreconférence annuelle de l’Association for Computing Machinery qui s’est tenue en ligne du 9 au 13 novembre 2020.

Source : Carnegie, plateforme de démonstration

Et vous ?

L’outil de l’université de Carnegie Mellon a-t-il une quelconque pertinence ?
Quelle est votre approche pour la création de mots de passe qui offrent le maximum de sécurité ?

Voir aussi :

KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe

La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport

Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur

Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?

Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité

[emilie77]

Je trouve la chose un peut stupide. On doit etre inscrit a combien de site web? on doit retenir 100/200 password en memoire?

[JPLAROCHE]

Je trouve la chose un peut stupide. On doit etre inscrit a combien de site web? on doit retenir 100/200 password en memoire?

avec kepasscx c'est gratuis et fiable

[tanaka59]

Bonsoir,

L'institut Carnegie propose une méthode scientifique de génération de mots de passe forts et aisés à retenir

L’outil de l’université de Carnegie Mellon a-t-il une quelconque pertinence ?

Bof non pas vraiment . Il y a des parades bien plus simples ... Mettre des "conditions" c'est déjà piper le travail pour d'éventuelle pirates qui tenteraient de mettre la mains sur la data ...

Quelle est votre approche pour la création de mots de passe qui offrent le maximum de sécurité ?

1) Utiliser des mails "alias" qui vont recevoir exclusivement du mails, déjà en cas de piratage , c'est "coupable" direct et radical, sans changer de boite mail

2) Pour les sites utilisés de manière occasionnelles > utilisation de la fonction " mot de passe oublié " et à chaque connexion refaire un nouveau mot de passe , reste juste à retenir l'identifiant / login . Le noter est déjà "moins risqué" qu'une clef ... C'est comme voler un coffre ou une voiture sans la clef ... c'est difficilement voir inutilisable ...

3) Pour les sites plus utilisés (messagerie, facebook ...) , allez 3/4 mots de passes . C'est largement possible de les retenir.

4) Choisir un thème , sujet qu'on aime bien et utiliser une passe phrase , y ajouter un soupçon de langue étrangère ... Genre sur un site francophone avoir un mot de passe , même phonétiquement en allemand / russe , en cas de piratage avec un force brute et / ou déhashage via un dico latin ... le pirate va rester sur sa faim ... le mot de passe en allemand sera difficilement cassable

Parfois les solutions les plus simples sont les plus efficaces, pas besoin d'avoir un gestionnaire de mot de passe ... Du moins j'arrive à m'en passer ...

---

Exemple de mot de passe :

" tarzandansunslipenpeaudeleopard " , la même chose avec des petits changements " Tarzanimleopardenfelleunterhose99* " ... Niveau sécurité le second est quand même bien plus costaud ...

[Steinvikel]

Plutôt d'accord avec ton approche, mais pour se prémunir du social engineering, il faudrait éviter de choisir un thème qui nous plais, et plutôt tabler sur un domaine que l'on n'aime pas, ou dont on ne parle pas car peu d'intérêt (ex: les plantes, la mécanique, le sport, l'architecture, l'histoire, la politique, la médecine, l'économie, les sciences...)

Parfois les solutions les plus simples sont les plus efficaces, pas besoin d'avoir un gestionnaire de mot de passe ... Du moins j'arrive à m'en passer ...

Le gestionnaire de mots de passe a ses avantages et inconvéniant, le mot de passe générique aussi, le carnet papier aussi, le stockage cerveau aussi ...tout est question de savoir quels sont tes contextes d'usage, et quls avantages te sont profitables en pratique.
Dans tous les cas, on s'accordera à dire que les stocker dans un fichier txt est proscrit ...d'autant plus s'il est en clair ! ^^'

[leomath]

Pourquoi pas les fichiers .txt ?
Deux fichiers .csv avec des noms quelconques (évidemment !) avec les logins dans l'un et les MDP dans l'autre.
Les quelques essentiels : Banque , FAI, boite mail principale sont à retenir par cœur ce qui 3 MDP à retenir. Si on a Alzheimer ou des pertes de mémoire importantes la vie sur le net devient impossible.
Deux clics dans Excel ou autre tableur.
Faut pas se prendre la tête de toutes façons c'est sur des machines tiers que les MDP sont piratés (sites marchands par exemple)

[tanaka59]

Bonsoir,

Pourquoi pas les fichiers .txt ?
Deux fichiers .csv avec des noms quelconques (évidemment !) avec les logins dans l'un et les MDP dans l'autre.

Dans les faits à partir d'un éditeur de texte brute on peut stocker à n'importe quel extension ... Genre testez MySQL et importez un .toto .tete .titi ...

Les quelques essentiels : Banque , FAI, boite mail principale sont à retenir par cœur ce qui 3 MDP à retenir.

D'après une étude, une français utilise entre 20 et 30 sites d'administrations / entreprises fournissant un service "publique" . (eau,gaz, banque, assurance, fai , impots, établissement scolaire ... ) . A part la banque et le la boite mail du fai , le reste des services sont utilisés 1 à 2 fois par mois/an ... Donc on peut allégrement se passer de retenir ces mots de passes ...

Si on a Alzheimer ou des pertes de mémoire importantes la vie sur le net devient impossible.

Effectivement la cela devient très problèmatique et pas le choix que de passer par une personne tiers ...

Faut pas se prendre la tête de toutes façons c'est sur des machines tiers que les MDP sont piratés (sites marchands par exemple)

Les serveurs sont les principales portes de vols des datas piratées. Il y a aussi le keylogging ... bon la cela nécessite quand même soit un accès physique soit l'installation d'un logiciel de manière assez avance.

Quand on a une hygiène numérique "saine" , le risque tend vers zéro.

[Invité]

Bonjour,
Je dois être trop simple et même simpliste. J'ai six adresses de messagerie, chacune contenant des catégories de sites et le tout se trouvant dans un fichier avec 65 adresses (quelle que soit la catégorie du logiciel utilisé). Cela doit faire au moins quinze ans que j'utilise ce fichier qui comprend le nom que j'attribue, l'adresse du site, l'adresse personnelle utilisée et le mot de passe. J'ouvre ce fichier et je clique sur le mot de passe puis "copier", je clique sur l'adresse du site en appuyant sur "Ctrl" et voilà. Seules les adresses des comptes bancaires, impôts, etc. sont sous forme de code me permettant de retrouver le mot de passe. Voilà, ce n'est sans doute pas la meilleure solution et, bien évidemment, cela dépend aussi des sites sur lesquels on se rend, mais en tout cas, je n'ai jamais eu un seul problème (la chance ?).

[tanaka59]

Bonjour,

Bonjour,
Je dois être trop simple et même simpliste. J'ai six adresses de messagerie, chacune contenant des catégories de sites et le tout se trouvant dans un fichier avec 65 adresses (quelle que soit la catégorie du logiciel utilisé). Cela doit faire au moins quinze ans que j'utilise ce fichier qui comprend le nom que j'attribue, l'adresse du site, l'adresse personnelle utilisée et le mot de passe. J'ouvre ce fichier et je clique sur le mot de passe puis "copier", je clique sur l'adresse du site en appuyant sur "Ctrl" et voilà. Seules les adresses des comptes bancaires, impôts, etc. sont sous forme de code me permettant de retrouver le mot de passe. Voilà, ce n'est sans doute pas la meilleure solution et, bien évidemment, cela dépend aussi des sites sur lesquels on se rend, mais en tout cas, je n'ai jamais eu un seul problème (la chance ?).

Cela s'appelle l'hygiène numérique.

Si tu as déjà un barrage assez costaud niveau comportement , tu limites drastiquement les risques. A l'ancienne écrire sur un txt / word / excel sur un PC qui reste à la maison , calculer le risque de vol / dégradation / perte physique versus le risque de piratage informatiques.

C'est le second risque le plus important.

Entre un vol de pc et le voleur qui se dit "tiens je vais allez fouiller dans le disque dure de Mr duschmolle" au risque de se faire repérer en se connectant frauduleusement ... et le groupe de pirates à l'autre bout du monde. Le scénario 2 est on ne peut plus plausible que le 1 ...

"L'hygiène numérique" joue beaucoup.