IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 028
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 028
    Points : 148 206
    Points
    148 206
    Par défaut Le National Cyber Security Centre émet des conseils sur les meilleures pratiques en matière de mots de passe
    Nombreux sont les internautes qui utilisent des mots de passe facile à deviner,
    le National Cyber Security Centre émet des conseils sur les meilleures pratiques en matière de mots de passe

    Les internautes utilisent des mots de passe faciles à deviner, y compris le nom de leur animal, les noms des membres de la famille, les dates importantes, leur équipe sportive préférée – voire le fameux "password" comme mot de passe, et cela pourrait les exposer au risque que leurs comptes soient compromis par des cybercriminels. Des recherches menées par le National Cyber Security Center (NCSC) suggèrent que 15 % des internautes britanniques ont utilisé le nom de leur animal comme mot de passe à un moment donné, tandis que 14 % ont utilisé le nom d'un membre de la famille. 13 % ont utilisé une date importante, comme leur jour d'anniversaire ou l'anniversaire d'un évènement qui les a marqués (anniversaire de mariage par exemple), tandis que 6 % ont utilisé l'équipe sportive qu'ils soutiennent comme mot de passe.

    Les cyberexperts ont exhorté les internautes à suivre les meilleures pratiques en créant des mots de passe avec trois mots aléatoires après avoir révélé que 15 % des Britanniques utilisent le nom de leur animal pour protéger leurs comptes. Les résultats d'un sondage indépendant au nom du National Cyber Security Center (NCSC), qui fait partie du GCHQ, ont été publiés avant la Journée nationale des animaux de compagnie du dimanche 11 avril.

    L'enquête sur les mots de passe au Royaume-Uni a montré qu'ils sont souvent composés de choses que les gens peuvent facilement prédire – comme les noms de leurs animaux de compagnie (15 %), les noms des membres de leur famille (14 %), une date importante (13 %) ou leur équipe sportive préférée ( 6 %). 6 % des Britanniques ont admis avoir utilisé le mot de passe comme tout ou partie de leur mot de passe.

    Bien que ces mots de passe soient faciles à retenir pour les internautes, cela pourrait mettre leurs comptes à la merci des méfaits des cybercriminels. Les attaquants pourraient extraire des informations des publications publiques sur les réseaux sociaux qui pourraient fournir des indices sur des choses comme les noms d'animaux de compagnie. Ils pourraient alors tenter d'utiliser ces informations pour pénétrer par effraction dans des comptes.

    Ils pourraient également se servir d'un outil d'attaque par force brute pour tenter de pirater des comptes, qui utilisent des mots de passe simples en un seul mot avec une relative facilité. L'utilisation d'informations d'identification par défaut telles que « password » fournit également aux cybercriminels une méthode simple de violation de comptes.

    En utilisant un mot de passe faible, les gens peuvent mettre en danger des informations personnelles ou des détails financiers, surtout si ce même mot de passe est utilisé sur plusieurs comptes.

    Ils pourraient même potentiellement exposer leur employeur à des cyberattaques, si le mot de passe volé est également utilisé pour sécuriser les comptes d'entreprise et que les cybercriminels tentent de voir si le mot de passe qu'ils ont pris d'un compte personnel fonctionne.

    Le NCSC exhorte donc les gens à suivre ses conseils et à faire des mots de passe composés de trois mots aléatoires pour aider à sécuriser leurs comptes, mots de passe qui peuvent être enregistrés dans un navigateur Internet . L'idée est que trois mots sont relativement faciles à retenir, mais en les rendant aléatoires, cela empêchera les cybercriminels de se frayer un chemin dans les comptes, même à l'aide d'outils de la force brute :

    « lorsque vous utilisez des mots de passe différents pour vos comptes importants, il peut être difficile de tous les retenir. Un bon moyen de créer des mots de passe forts et mémorables consiste à utiliser trois mots aléatoires. N'utilisez pas de mots qui peuvent être devinés (comme le nom de votre animal). Vous pouvez inclure des nombres et des symboles si nécessaire. Par exemple, "RedPantsTree4!" La sauvegarde de vos mots de passe dans votre navigateur vous aidera à les gérer ».

    Nom : mdp.png
Affichages : 11261
Taille : 154,5 Ko

    La directrice des politiques et des communications du NCSC, Nicola Hudson, a déclaré :

    « Nous sommes peut-être une nation d’amoureux des animaux, mais utiliser le nom de votre animal comme mot de passe pourrait faire de vous une cible facile pour les cybercriminels. J'exhorte tout le monde à visiter cyberaware.gov.uk et à suivre nos conseils sur la définition de mots de passe sécurisés qui recommandent d'utiliser des mots de passe composés de trois mots aléatoires. Vous pouvez même utiliser notre outil Cyber Action Plan pour générer des conseils personnalisés et gratuits afin d'améliorer votre sécurité contre les attaques en ligne. »

    Signe de l'importance de sécuriser les comptes, 27 % ont également révélé qu'ils avaient désormais au moins quatre nouveaux mots de passe de plus que l'année dernière à la même période pour protéger leurs comptes (6 % déclarant avoir ajouté plus de 10 nouveaux mots de passe au cours des 12 derniers mois pour protéger leurs comptes).

    La campagne Cyber ​​Aware conseille aux particuliers et aux organisations de suivre les meilleures pratiques de mot de passe suivantes :
    • Utilisez un mot de passe fort et distinct pour votre e-mail. Si un pirate informatique pénètre dans votre courrier électronique, il peut réinitialiser les mots de passe de vos autres comptes et accéder aux informations que vous avez enregistrées sur vous-même ou votre entreprise. Votre mot de passe de messagerie doit être fort et différent de tous vos autres mots de passe.
    • Créez des mots de passe forts en utilisant trois mots aléatoires – lorsque vous utilisez des mots de passe différents pour vos comptes importants, il peut être difficile de tous les mémoriser.
    • N'utilisez pas de mots qui peuvent être devinés (comme le nom de votre animal). Vous pouvez inclure des nombres et des symboles si nécessaire. Par exemple, "RedPantsTree4!"
    • Enregistrer vos mots de passe dans votre navigateur Web vous aidera à les gérer et vous protégera contre certaines menaces, telles que les sites Web factices (par exemple, le gestionnaire de mots de passe ne fonctionnera pas si le site Web est une fausse version du site Web conçue pour voler les informations d'identification).

    Il est également recommandé aux utilisateurs d'activer l'authentification à deux facteurs pour fournir une barrière supplémentaire aux attaques.

    Source : NCSC

    Et vous ?

    Vous servez-vous du gestionnaire de mots de passe intégré à votre navigateur ou d'un autre gestionnaire de mots de passe ? Lequel ?
    Si vous ne vous en servez pas, comment conservez-vous vos mots de passe ?
    Comment procédez-vous pour créer votre mot de passe (généré par un gestionnaire, combinaison de certains mots et symboles, etc.) ?
    Que pensez-vous de l'idée de se servir de trois mots aléatoires pour composer un mot de passe ?
    Utilisez-vous un mot de passe fort pour tous les sites ? Si non, comment déterminez-vous sur quel site utiliser un mot de passe fort ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nouveau Candidat au Club
    Homme Profil pro
    prof
    Inscrit en
    septembre 2014
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aveyron (Midi Pyrénées)

    Informations professionnelles :
    Activité : prof

    Informations forums :
    Inscription : septembre 2014
    Messages : 1
    Points : 1
    Points
    1
    Par défaut Solution simple...
    Il existe des solutions simples et assez efficaces.
    Comme celle proposée ici : www.sasha.ovh
    Pas bégueule, gratuite et expliquée.
    Ça vaut ce que ça vaut mais ça a le mérite d'exister.
    Une solution parmi beaucoup beaucoup d'autres.
    🤓

  3. #3
    Membre expérimenté

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    juin 2002
    Messages
    488
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : juin 2002
    Messages : 488
    Points : 1 374
    Points
    1 374
    Par défaut
    Ces histoires de mot de passe fort, me laisse toujours un peu dubitatif.
    Non pas qu'il ne faille pas recommander leur utilisation, bien entendu.

    Mais je me demande toujours comment un système peut autoriser une attaque par force brute.
    Une carte bleu, c'est 4 chiffres ; cela n'empêche pas le système d'être solide.

    Même 6 caractères minuscules c'est 300 millions de combinaisons.
    Si le système ne fait rien au bout de la 15 tentatives infructueuses, c'est qu'il y a un problème.

    Bien entendu, je ne dis pas qu'il faut mettre un mdp de 6 caractères, mais avant de prendre les utilisateurs de haut, les concepteurs devraient eux aussi, perpétuellement, se remettre en question.

    Combien de fois des MDP se sont retrouvé dans la nature après le piratage d'un site qui les stockait en clair ou avec un système de hash bidon.
    --
    vanquish

  4. #4
    Membre éclairé
    Homme Profil pro
    Développeur
    Inscrit en
    août 2003
    Messages
    463
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2003
    Messages : 463
    Points : 752
    Points
    752
    Par défaut
    Et à force d'avoir des mots de passe forts et différent en fonction de l'utilisation, je finis par me tromper une dizaine de fois avant de saisir le bon.

    Je rejoins vanquish, les systèmes devraient être mieux conçus (cryptage lent avec bruit des mots de passe type BCRYPT, allonger le temps après plusieurs tentatives infructueuses, ban temporaire, dictionnaire de mots de passe interdits, 2FA, fail2ban, ...)

  5. #5
    Membre éclairé
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2008
    Messages
    517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2008
    Messages : 517
    Points : 688
    Points
    688
    Par défaut
    Citation Envoyé par vanquish Voir le message
    Même 6 caractères minuscules c'est 300 millions de combinaisons.
    Si le système ne fait rien au bout de la 15 tentatives infructueuses, c'est qu'il y a un problème.
    Je ne suis pas convaincu.
    Juste sur ce problème : si un « méchant » veut empêcher un utilisateur de se connecter, il fait 15 tentatives de connexion et il le bloque ? Du coup tu fais quoi en tant que développeur ? Si tu autorises X tentatives de connexion par ip, le hackeur peut utiliser un bot. (Protocol : prendre un mot de passe très utilisé, l'essayer sur une liste de compte, puis recommencer avec le mot de passe suivant, si t'as 10000 ip à mon avis tu peux bien récupérer une dizaine de comptes par jour)
    Et peut-être que pour prendre le site en otage, il suffit de bloquer plein de comptes et voilà.
    Mais je pense aussi qu'il faut prévoir de cas où il y a une fuite de données. Si tu récupères la BDD et le protocole de connexion, la limite d'autorisation n'a plus de sens.
    Raphchar.
    Prêtez une main et on vous arrachera un bras.

  6. #6
    Nouveau membre du Club
    Inscrit en
    août 2005
    Messages
    11
    Détails du profil
    Informations forums :
    Inscription : août 2005
    Messages : 11
    Points : 35
    Points
    35
    Par défaut
    Il ne faut pas tout bloquer s'il y a plusieurs connexions échouées, juste comme cela est suggéré augmenter progressivement le délai pour pouvoir en proposer une nouvelle.
    Comme ça celui qui arrive et qui connait son mot de passe va pouvoir se connecter, sans avoir à réinitialiser ni à passer par un administrateur.

    Sinon l'entrée en vigueur des vérification avec un second facteur, ou un numéro d'authentification, est une possibilité après trois erreurs ou plus, avant de pouvoir soumettre une nouvelle connexion. Cela ne bloque rien.

  7. #7
    Membre expert

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    2 767
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 767
    Points : 3 932
    Points
    3 932
    Par défaut
    Bonjour,

    Vous servez-vous du gestionnaire de mots de passe intégré à votre navigateur ou d'un autre gestionnaire de mots de passe ?
    Oui

    Lequel ?
    Un bon vieil Excel ou je ne stocke pas le mot de passe. Plutôt "liste" les sites ou je m'inscris. Entrecoupés de plusieurs autres méthodes et protocoles en amont pour "préserver" l'adresse mail principale.

    Ce qui donne :

    je me connecte à la boite mail : adressemailprincipale@domaine.com
    j'utilise un alias qui reçoit le courrier , ne permet aucune connexion à la boite mail : adressemailpourlescourses@domaine.com
    j'utilise un alias par site : un mail pour les achats , un mail pour envoyer des candidatures etc ...
    je liste chaque site ou je suis inscris : un forme d'annuaire ou de check list

    Les sites qui demande une fréquence faible de connexion (1 fois par mois/ an), j'utilise la fonction " mot de passe oublié " . Je ne m’embête plus à le retenir .

    En cas de pepin sur un site impacté, l'alias qui prend cher est remplacé par un autre, sans encombre pour la messagerie principale.

    Si vous ne vous en servez pas, comment conservez-vous vos mots de passe ?
    Dans ma tête .

    Par habitude j'en retiens 4 ou 5

    Comment procédez-vous pour créer votre mot de passe (généré par un gestionnaire, combinaison de certains mots et symboles, etc.) ?
    Passphrase + combinaison de certains mots et symboles

    Que pensez-vous de l'idée de se servir de trois mots aléatoires pour composer un mot de passe ?
    La Passphrase thématisée , c'est mieux.

    Utilisez-vous un mot de passe fort pour tous les sites ?
    Selon les humeurs, je peux jouer sur la longueur, changer des lettres par-ci ou là . J'ai déjà testé sur un site un mot de passe de 40 ou 50 caractères . Un petit bricolage pour le retenir facilement et l'affaire est dans le sac .

    Si non, comment déterminez-vous sur quel site utiliser un mot de passe fort ?
    Sur aucun.

  8. #8
    Membre à l'essai
    Profil pro
    conseil en organisation et ingénierie documentaires
    Inscrit en
    juin 2009
    Messages
    4
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : conseil en organisation et ingénierie documentaires

    Informations forums :
    Inscription : juin 2009
    Messages : 4
    Points : 10
    Points
    10
    Par défaut
    La Cnil propose un outil pour créer un mot de passe fort à partir d'une phrase ... https://www.cnil.fr/fr/generer-un-mot-de-passe-solide Cela devrait pouvoir en aider certains (pas tous).

  9. #9
    Membre confirmé

    Inscrit en
    novembre 2008
    Messages
    326
    Détails du profil
    Informations forums :
    Inscription : novembre 2008
    Messages : 326
    Points : 490
    Points
    490
    Par défaut Délai...
    Je rejoins ceux qui suggèrent que les sites devraient plutôt installer des systèmes de délais entre les mots de passes. D'ailleurs, je ne comprends pas pourquoi ce n'est pas fait (alors que ça l'est sur mon autoradio qui a un emplacement pour les cassettes). On s'escrime à mettre en place des systèmes de double authentification, des contraintes délirantes du des mots de passes qui doivent être hypercompliqués et/ou hyper longs... Tout le monde n'est pas dactylo et si on a besoin de 30s/1mn pour taper son mot de passe, c'est pas terrible. Qui s'amuse à rentrer son code WIFI à chaque connexion ?
    D'ailleurs, je pense que c'est là plus que n'importe où ailleurs que se situe la raison des mots de passes faibles genre azertyuio. Les gens veulent des mots de passe rapides à taper.

    Pourtant, rien qu'en obligeant un intervalle de 3 secondes entre chaque tentatives. Pour un humain, c'est quasi imperceptible (surtout si on met cet intervalle entre deux clics sur "valider", c'est à dire qu'on inclut le temps de frappe du mdp) mais pour un robot, ça ralentit les investigations.
    6 lettres minuscules = 300 millions de combinaisons => 1 milliard de secondes = 30 ans de calcul incompressible pour évaluer toutes les combinaisons puisque du coup la puissance des processeurs n'est plus un problème. Si on passe à 8 caractères, on arrive à 200 milliards de combinaisons. La fortune de Jeff Besos. 60 000 ans de calcul. Et on n'a pas encore intégré les majuscules, les chiffres et les signes runiques.

    Si en plus on s'amuse à augmenter ce délai progressivement (3 secondes pour les 5 premières tentatives, 5 pour les 5 suivantes, 10 pour les 5 suivantes...) pas besoin d'être très radical, c'est très rapidement insurmontable pour les robots et on peut se contenter d'un code à quelques caractères.

    Sinon, parmi les méthodes peu évoquées pour les mots de passe, on peut aussi s'amuser à faire des formes sur son clavier avec MAJ ou ALTGr enfoncé de temps en temps :
    hu_9OL:;kiJNB
    Facile à retenir, facile et rapide à écrire et relativement difficile à deviner, surtout si on utilise un clavier exotique genre bépo

  10. #10
    Membre averti Avatar de pierre.E
    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    janvier 2016
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués
    Secteur : Industrie

    Informations forums :
    Inscription : janvier 2016
    Messages : 144
    Points : 371
    Points
    371
    Par défaut

  11. #11
    Membre actif
    Homme Profil pro
    jardinier
    Inscrit en
    avril 2018
    Messages
    139
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : jardinier

    Informations forums :
    Inscription : avril 2018
    Messages : 139
    Points : 250
    Points
    250
    Par défaut navigateurs au long cours
    Le navigateur offre plusieurs fonctions que j'utilises volontiers:
    • générateur de mot de passe aléatoire et fort
    • coffre-fort numérique accessible avec une double authentification sur son compte
    • veille de sécurité sur la présence d'une fuite connue d'un identifiant répertorié
    • alertes de connections


    Il faut veiller bien entendu à clore proprement les sessions du navigateur et effacer les traces dans le cache, vider les données personnelles et fermer la session du poste en son absence, mais le résultat est plus probant qu'un coffre fort (keepass par exemple) certes portable mais qui dépend de son support.
    Les firmes peuvent se faire dérober les informations mais l'évènement provoque (d'autant mieux) l'alerte.
    L'Electronic Communications Privacy Act (ECPA) autorise les autorités américaines a accéder entre autres aux identifiants (?) mais le RGPD reste incompatible et la commission européenne refuse sa reconnaissance.
    Il n'y a pas de solution parfaite mais le conseil semble raisonnable, surtout à cause de la double authentification.

Discussions similaires

  1. Réponses: 1
    Dernier message: 17/03/2020, 21h14
  2. [MLD] Base de données pour un site qui émet des avis sur des hotels
    Par Anandamine dans le forum Schéma
    Réponses: 0
    Dernier message: 24/06/2012, 05h03
  3. Des conseils sur la gestion de projet ?
    Par Alec6 dans le forum Gestion de projet
    Réponses: 22
    Dernier message: 12/10/2010, 08h46
  4. Des conseils sur des cours SQL?
    Par EmmanuelleC dans le forum Langage SQL
    Réponses: 17
    Dernier message: 30/11/2009, 16h27
  5. Réponses: 5
    Dernier message: 24/08/2009, 18h22

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo