Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    L'institut Carnegie propose une méthode scientifique de génération de mots de passe forts et aisés à retenir
    Quelle est la façon la plus aisée de créer un mot de passe sécurisé ? L’institut Carnegie Mellon en propose une qui génère des MdP en sus faciles à retenir
    Sur la base d’une approche scientifique

    78 % des internautes oublient leurs mots de passe et procèdent à une réinitialisation, d’après une étude de HYPR parue en fin d’année dernière. En matière de gestion des MdP, la difficulté est là : trouver un équilibre entre sécurité et utilisabilité qui inclut la facilité à les retenir. La donne devrait changer avec une publication de l’institut Carnegie Mellon selon laquelle 12 caractères suffisent à créer un mot de passe à la fois sécurisé et aisé à retenir.

    Lors de la création d’un mot de passe pour un nouveau compte, chaque internaute s’est en principe déjà heurté à un jeu de règles destinées à rendre l'accès plus difficile aux pirates informatiques. Il consiste en l’utilisation de lettres majuscules, des chiffres et des caractères spéciaux. L’institut Carnegie Melon se veut clair à ce propos : ces exigences ne renforcent pas les mots de passe. « Il est intéressant de noter que nos données montrent que le fait d'exiger davantage de classes de caractères - lettres majuscules, symboles et chiffres - n'augmente pas la force des mots de passe et tend à avoir un impact négatif sur la facilité d'utilisation des mots de passe », indique Lorrie Crane à la tête du laboratoire de recherche lancé sur le projet.

    Dans la pratique, l’institution universitaire propose un outil de mise sur pied de mots de passe qui requiert de l’utilisateur qu’il saisisse à minima 12 caractères qu’il est capable de retenir. Ce dernier lui fait ensuite des suggestions d’amélioration allant dans le sens du renforcement de la sécurité offerte par le mot de passe, ce, tout en maintenant le caractère d’utilisabilité. L’outil s’appuie sur une combinaison de méthodes déjà éprouvées par d’autres équipes de recherche, mais de façon séparée : utilisation de listes d’exclusion de mots de passe usuels, définition de la longueur minimale de mot de passe, classes de caractères à considérer pour la génération de mots de passe forts, exploitation de bases de données de mots de passe ayant fait l’objet de fuite.


    C’est la pertinence de l’utilisation d’un tel outil qui est à questionner quand on sait que d’autres connus comme étant des générateurs de mots de passe existent. Un sondage paru sur cette plateforme au terme du mois de septembre en liste quelques-uns : Keepass, Bitwarden, Lastpass, Dashlane, 1Password, etc. Un générateur de mots de passe ôte à son utilisateur la nécessité d’en retenir, ce qui est un avantage quand on sait à quel rythme les services en ligne se multiplient dans un contexte de pandémie de coronavirus comme l’actuel. L’outil proposé par l’université de Carnegie Mellon peut s’utiliser en tandem avec un navigateur pour conserver les mots de passe et donc ôter la nécessité de les retenir. Toutefois, les risques d’une telle approche sont connus. En effet, les applications de génération de mots de passe indépendantes offrent de meilleurs gages de sécurité que celles intégrées aux navigateurs. La publication de l’institut Carnegie Mellon a fait l’objet de présentation lors de la dernièreconférence annuelle de l’Association for Computing Machinery qui s’est tenue en ligne du 9 au 13 novembre 2020.

    Source : Carnegie, plateforme de démonstration

    Et vous ?

    L’outil de l’université de Carnegie Mellon a-t-il une quelconque pertinence ?
    Quelle est votre approche pour la création de mots de passe qui offrent le maximum de sécurité ?

    Voir aussi :

    KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe

    La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport

    Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur

    Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?

    Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Je trouve la chose un peut stupide. On doit etre inscrit a combien de site web? on doit retenir 100/200 password en memoire?

  3. #3
    Membre confirmé
    Citation Envoyé par emilie77 Voir le message
    Je trouve la chose un peut stupide. On doit etre inscrit a combien de site web? on doit retenir 100/200 password en memoire?
    avec kepasscx c'est gratuis et fiable

  4. #4
    Membre expert
    Bonsoir,

    L'institut Carnegie propose une méthode scientifique de génération de mots de passe forts et aisés à retenir

    L’outil de l’université de Carnegie Mellon a-t-il une quelconque pertinence ?
    Bof non pas vraiment . Il y a des parades bien plus simples ... Mettre des "conditions" c'est déjà piper le travail pour d'éventuelle pirates qui tenteraient de mettre la mains sur la data ...

    Quelle est votre approche pour la création de mots de passe qui offrent le maximum de sécurité ?
    1) Utiliser des mails "alias" qui vont recevoir exclusivement du mails, déjà en cas de piratage , c'est "coupable" direct et radical, sans changer de boite mail

    2) Pour les sites utilisés de manière occasionnelles > utilisation de la fonction " mot de passe oublié " et à chaque connexion refaire un nouveau mot de passe , reste juste à retenir l'identifiant / login . Le noter est déjà "moins risqué" qu'une clef ... C'est comme voler un coffre ou une voiture sans la clef ... c'est difficilement voir inutilisable ...

    3) Pour les sites plus utilisés (messagerie, facebook ...) , allez 3/4 mots de passes . C'est largement possible de les retenir.

    4) Choisir un thème , sujet qu'on aime bien et utiliser une passe phrase , y ajouter un soupçon de langue étrangère ... Genre sur un site francophone avoir un mot de passe , même phonétiquement en allemand / russe , en cas de piratage avec un force brute et / ou déhashage via un dico latin ... le pirate va rester sur sa faim ... le mot de passe en allemand sera difficilement cassable

    Parfois les solutions les plus simples sont les plus efficaces, pas besoin d'avoir un gestionnaire de mot de passe ... Du moins j'arrive à m'en passer ...

    ---

    Exemple de mot de passe :

    " tarzandansunslipenpeaudeleopard " , la même chose avec des petits changements " Tarzanimleopardenfelleunterhose99* " ... Niveau sécurité le second est quand même bien plus costaud ...

  5. #5
    Membre émérite
    Plutôt d'accord avec ton approche, mais pour se prémunir du social engineering, il faudrait éviter de choisir un thème qui nous plais, et plutôt tabler sur un domaine que l'on n'aime pas, ou dont on ne parle pas car peu d'intérêt (ex: les plantes, la mécanique, le sport, l'architecture, l'histoire, la politique, la médecine, l'économie, les sciences...)

    Citation Envoyé par tanaka59 Voir le message
    Parfois les solutions les plus simples sont les plus efficaces, pas besoin d'avoir un gestionnaire de mot de passe ... Du moins j'arrive à m'en passer ...
    Le gestionnaire de mots de passe a ses avantages et inconvéniant, le mot de passe générique aussi, le carnet papier aussi, le stockage cerveau aussi ...tout est question de savoir quels sont tes contextes d'usage, et quls avantages te sont profitables en pratique.
    Dans tous les cas, on s'accordera à dire que les stocker dans un fichier txt est proscrit ...d'autant plus s'il est en clair ! ^^'
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  6. #6
    Membre du Club
    2 fichiers csv
    Pourquoi pas les fichiers .txt ?
    Deux fichiers .csv avec des noms quelconques (évidemment !) avec les logins dans l'un et les MDP dans l'autre.
    Les quelques essentiels : Banque , FAI, boite mail principale sont à retenir par cœur ce qui 3 MDP à retenir. Si on a Alzheimer ou des pertes de mémoire importantes la vie sur le net devient impossible.
    Deux clics dans Excel ou autre tableur.
    Faut pas se prendre la tête de toutes façons c'est sur des machines tiers que les MDP sont piratés (sites marchands par exemple)

  7. #7
    Membre expert
    Bonsoir,

    Citation Envoyé par leomath Voir le message
    Pourquoi pas les fichiers .txt ?
    Deux fichiers .csv avec des noms quelconques (évidemment !) avec les logins dans l'un et les MDP dans l'autre.
    Dans les faits à partir d'un éditeur de texte brute on peut stocker à n'importe quel extension ... Genre testez MySQL et importez un .toto .tete .titi ...

    Citation Envoyé par leomath Voir le message
    Les quelques essentiels : Banque , FAI, boite mail principale sont à retenir par cœur ce qui 3 MDP à retenir.
    D'après une étude, une français utilise entre 20 et 30 sites d'administrations / entreprises fournissant un service "publique" . (eau,gaz, banque, assurance, fai , impots, établissement scolaire ... ) . A part la banque et le la boite mail du fai , le reste des services sont utilisés 1 à 2 fois par mois/an ... Donc on peut allégrement se passer de retenir ces mots de passes ...

    Citation Envoyé par leomath Voir le message
    Si on a Alzheimer ou des pertes de mémoire importantes la vie sur le net devient impossible.
    Effectivement la cela devient très problèmatique et pas le choix que de passer par une personne tiers ...

    Citation Envoyé par leomath Voir le message
    Faut pas se prendre la tête de toutes façons c'est sur des machines tiers que les MDP sont piratés (sites marchands par exemple)
    Les serveurs sont les principales portes de vols des datas piratées. Il y a aussi le keylogging ... bon la cela nécessite quand même soit un accès physique soit l'installation d'un logiciel de manière assez avance.

    Quand on a une hygiène numérique "saine" , le risque tend vers zéro.

###raw>template_hook.ano_emploi###