Discussion :

[Stéphane le calme]

Nombreux sont les internautes qui utilisent des mots de passe faciles à deviner,
le National Cyber Security Centre émet des conseils sur les meilleures pratiques en matière de mots de passe

Les internautes utilisent des mots de passe faciles à deviner, y compris le nom de leur animal, les noms des membres de la famille, les dates importantes, leur équipe sportive préférée – voire le fameux "password" comme mot de passe, et cela pourrait les exposer au risque que leurs comptes soient compromis par des cybercriminels. Des recherches menées par le National Cyber Security Center (NCSC) suggèrent que 15 % des internautes britanniques ont utilisé le nom de leur animal comme mot de passe à un moment donné, tandis que 14 % ont utilisé le nom d'un membre de la famille. 13 % ont utilisé une date importante, comme leur jour d'anniversaire ou l'anniversaire d'un évènement qui les a marqués (anniversaire de mariage par exemple), tandis que 6 % ont utilisé l'équipe sportive qu'ils soutiennent comme mot de passe.

Les cyberexperts ont exhorté les internautes à suivre les meilleures pratiques en créant des mots de passe avec trois mots aléatoires après avoir révélé que 15 % des Britanniques utilisent le nom de leur animal pour protéger leurs comptes. Les résultats d'un sondage indépendant au nom du National Cyber Security Center (NCSC), qui fait partie du GCHQ, ont été publiés avant la Journée nationale des animaux de compagnie du dimanche 11 avril.

L'enquête sur les mots de passe au Royaume-Uni a montré qu'ils sont souvent composés de choses que les gens peuvent facilement prédire – comme les noms de leurs animaux de compagnie (15 %), les noms des membres de leur famille (14 %), une date importante (13 %) ou leur équipe sportive préférée ( 6 %). 6 % des Britanniques ont admis avoir utilisé le mot de passe comme tout ou partie de leur mot de passe.

Bien que ces mots de passe soient faciles à retenir pour les internautes, cela pourrait mettre leurs comptes à la merci des méfaits des cybercriminels. Les attaquants pourraient extraire des informations des publications publiques sur les réseaux sociaux qui pourraient fournir des indices sur des choses comme les noms d'animaux de compagnie. Ils pourraient alors tenter d'utiliser ces informations pour pénétrer par effraction dans des comptes.

Ils pourraient également se servir d'un outil d'attaque par force brute pour tenter de pirater des comptes, qui utilisent des mots de passe simples en un seul mot avec une relative facilité. L'utilisation d'informations d'identification par défaut telles que « password » fournit également aux cybercriminels une méthode simple de violation de comptes.

En utilisant un mot de passe faible, les gens peuvent mettre en danger des informations personnelles ou des détails financiers, surtout si ce même mot de passe est utilisé sur plusieurs comptes.

Ils pourraient même potentiellement exposer leur employeur à des cyberattaques, si le mot de passe volé est également utilisé pour sécuriser les comptes d'entreprise et que les cybercriminels tentent de voir si le mot de passe qu'ils ont pris d'un compte personnel fonctionne.

Le NCSC exhorte donc les gens à suivre ses conseils et à faire des mots de passe composés de trois mots aléatoires pour aider à sécuriser leurs comptes, mots de passe qui peuvent être enregistrés dans un navigateur Internet . L'idée est que trois mots sont relativement faciles à retenir, mais en les rendant aléatoires, cela empêchera les cybercriminels de se frayer un chemin dans les comptes, même à l'aide d'outils de la force brute :

« lorsque vous utilisez des mots de passe différents pour vos comptes importants, il peut être difficile de tous les retenir. Un bon moyen de créer des mots de passe forts et mémorables consiste à utiliser trois mots aléatoires. N'utilisez pas de mots qui peuvent être devinés (comme le nom de votre animal). Vous pouvez inclure des nombres et des symboles si nécessaire. Par exemple, "RedPantsTree4!" La sauvegarde de vos mots de passe dans votre navigateur vous aidera à les gérer ».

La directrice des politiques et des communications du NCSC, Nicola Hudson, a déclaré :

« Nous sommes peut-être une nation d’amoureux des animaux, mais utiliser le nom de votre animal comme mot de passe pourrait faire de vous une cible facile pour les cybercriminels. J'exhorte tout le monde à visiter cyberaware.gov.uk et à suivre nos conseils sur la définition de mots de passe sécurisés qui recommandent d'utiliser des mots de passe composés de trois mots aléatoires. Vous pouvez même utiliser notre outil Cyber Action Plan pour générer des conseils personnalisés et gratuits afin d'améliorer votre sécurité contre les attaques en ligne. »

Signe de l'importance de sécuriser les comptes, 27 % ont également révélé qu'ils avaient désormais au moins quatre nouveaux mots de passe de plus que l'année dernière à la même période pour protéger leurs comptes (6 % déclarant avoir ajouté plus de 10 nouveaux mots de passe au cours des 12 derniers mois pour protéger leurs comptes).

La campagne Cyber ​​Aware conseille aux particuliers et aux organisations de suivre les meilleures pratiques de mot de passe suivantes :

• Utilisez un mot de passe fort et distinct pour votre e-mail. Si un pirate informatique pénètre dans votre courrier électronique, il peut réinitialiser les mots de passe de vos autres comptes et accéder aux informations que vous avez enregistrées sur vous-même ou votre entreprise. Votre mot de passe de messagerie doit être fort et différent de tous vos autres mots de passe.
• Créez des mots de passe forts en utilisant trois mots aléatoires – lorsque vous utilisez des mots de passe différents pour vos comptes importants, il peut être difficile de tous les mémoriser.
• N'utilisez pas de mots qui peuvent être devinés (comme le nom de votre animal). Vous pouvez inclure des nombres et des symboles si nécessaire. Par exemple, "RedPantsTree4!"
• Enregistrer vos mots de passe dans votre navigateur Web vous aidera à les gérer et vous protégera contre certaines menaces, telles que les sites Web factices (par exemple, le gestionnaire de mots de passe ne fonctionnera pas si le site Web est une fausse version du site Web conçue pour voler les informations d'identification).

Il est également recommandé aux utilisateurs d'activer l'authentification à deux facteurs pour fournir une barrière supplémentaire aux attaques.

Source : NCSC

Et vous ?

Vous servez-vous du gestionnaire de mots de passe intégré à votre navigateur ou d'un autre gestionnaire de mots de passe ? Lequel ?
Si vous ne vous en servez pas, comment conservez-vous vos mots de passe ?
Comment procédez-vous pour créer votre mot de passe (généré par un gestionnaire, combinaison de certains mots et symboles, etc.) ?
Que pensez-vous de l'idée de se servir de trois mots aléatoires pour composer un mot de passe ?
Utilisez-vous un mot de passe fort pour tous les sites ? Si non, comment déterminez-vous sur quel site utiliser un mot de passe fort ?

[customer]

Il existe des solutions simples et assez efficaces.
Comme celle proposée ici : www.sasha.ovh
Pas bégueule, gratuite et expliquée.
Ça vaut ce que ça vaut mais ça a le mérite d'exister.
Une solution parmi beaucoup beaucoup d'autres.
🤓

[vanquish]

Ces histoires de mot de passe fort, me laisse toujours un peu dubitatif.
Non pas qu'il ne faille pas recommander leur utilisation, bien entendu.

Mais je me demande toujours comment un système peut autoriser une attaque par force brute.
Une carte bleu, c'est 4 chiffres ; cela n'empêche pas le système d'être solide.

Même 6 caractères minuscules c'est 300 millions de combinaisons.
Si le système ne fait rien au bout de la 15 tentatives infructueuses, c'est qu'il y a un problème.

Bien entendu, je ne dis pas qu'il faut mettre un mdp de 6 caractères, mais avant de prendre les utilisateurs de haut, les concepteurs devraient eux aussi, perpétuellement, se remettre en question.

Combien de fois des MDP se sont retrouvé dans la nature après le piratage d'un site qui les stockait en clair ou avec un système de hash bidon.

[smarties]

Et à force d'avoir des mots de passe forts et différent en fonction de l'utilisation, je finis par me tromper une dizaine de fois avant de saisir le bon.

Je rejoins vanquish, les systèmes devraient être mieux conçus (cryptage lent avec bruit des mots de passe type BCRYPT, allonger le temps après plusieurs tentatives infructueuses, ban temporaire, dictionnaire de mots de passe interdits, 2FA, fail2ban, ...)

[raphchar]

Même 6 caractères minuscules c'est 300 millions de combinaisons.
Si le système ne fait rien au bout de la 15 tentatives infructueuses, c'est qu'il y a un problème.

Je ne suis pas convaincu.
Juste sur ce problème : si un « méchant » veut empêcher un utilisateur de se connecter, il fait 15 tentatives de connexion et il le bloque ? Du coup tu fais quoi en tant que développeur ? Si tu autorises X tentatives de connexion par ip, le hackeur peut utiliser un bot. (Protocol : prendre un mot de passe très utilisé, l'essayer sur une liste de compte, puis recommencer avec le mot de passe suivant, si t'as 10000 ip à mon avis tu peux bien récupérer une dizaine de comptes par jour)
Et peut-être que pour prendre le site en otage, il suffit de bloquer plein de comptes et voilà.
Mais je pense aussi qu'il faut prévoir de cas où il y a une fuite de données. Si tu récupères la BDD et le protocole de connexion, la limite d'autorisation n'a plus de sens.

[phylaine]

Il ne faut pas tout bloquer s'il y a plusieurs connexions échouées, juste comme cela est suggéré augmenter progressivement le délai pour pouvoir en proposer une nouvelle.
Comme ça celui qui arrive et qui connait son mot de passe va pouvoir se connecter, sans avoir à réinitialiser ni à passer par un administrateur.

Sinon l'entrée en vigueur des vérification avec un second facteur, ou un numéro d'authentification, est une possibilité après trois erreurs ou plus, avant de pouvoir soumettre une nouvelle connexion. Cela ne bloque rien.

[tanaka59]

Bonjour,

Vous servez-vous du gestionnaire de mots de passe intégré à votre navigateur ou d'un autre gestionnaire de mots de passe ?

Oui

Lequel ?

Un bon vieil Excel ou je ne stocke pas le mot de passe. Plutôt "liste" les sites ou je m'inscris. Entrecoupés de plusieurs autres méthodes et protocoles en amont pour "préserver" l'adresse mail principale.

Ce qui donne :

je me connecte à la boite mail : adressemailprincipale@domaine.com
j'utilise un alias qui reçoit le courrier , ne permet aucune connexion à la boite mail : adressemailpourlescourses@domaine.com
j'utilise un alias par site : un mail pour les achats , un mail pour envoyer des candidatures etc ...
je liste chaque site ou je suis inscris : un forme d'annuaire ou de check list

Les sites qui demande une fréquence faible de connexion (1 fois par mois/ an), j'utilise la fonction " mot de passe oublié " . Je ne m’embête plus à le retenir .

En cas de pepin sur un site impacté, l'alias qui prend cher est remplacé par un autre, sans encombre pour la messagerie principale.

Si vous ne vous en servez pas, comment conservez-vous vos mots de passe ?

Dans ma tête .

Par habitude j'en retiens 4 ou 5

Comment procédez-vous pour créer votre mot de passe (généré par un gestionnaire, combinaison de certains mots et symboles, etc.) ?

Passphrase + combinaison de certains mots et symboles

Que pensez-vous de l'idée de se servir de trois mots aléatoires pour composer un mot de passe ?

La Passphrase thématisée , c'est mieux.

Utilisez-vous un mot de passe fort pour tous les sites ?

Selon les humeurs, je peux jouer sur la longueur, changer des lettres par-ci ou là . J'ai déjà testé sur un site un mot de passe de 40 ou 50 caractères . Un petit bricolage pour le retenir facilement et l'affaire est dans le sac .

Si non, comment déterminez-vous sur quel site utiliser un mot de passe fort ?

Sur aucun.

[Dalb75]

La Cnil propose un outil pour créer un mot de passe fort à partir d'une phrase ... https://www.cnil.fr/fr/generer-un-mot-de-passe-solide Cela devrait pouvoir en aider certains (pas tous).

[fatbob]

Je rejoins ceux qui suggèrent que les sites devraient plutôt installer des systèmes de délais entre les mots de passes. D'ailleurs, je ne comprends pas pourquoi ce n'est pas fait (alors que ça l'est sur mon autoradio qui a un emplacement pour les cassettes). On s'escrime à mettre en place des systèmes de double authentification, des contraintes délirantes du des mots de passes qui doivent être hypercompliqués et/ou hyper longs... Tout le monde n'est pas dactylo et si on a besoin de 30s/1mn pour taper son mot de passe, c'est pas terrible. Qui s'amuse à rentrer son code WIFI à chaque connexion ?
D'ailleurs, je pense que c'est là plus que n'importe où ailleurs que se situe la raison des mots de passes faibles genre azertyuio. Les gens veulent des mots de passe rapides à taper.

Pourtant, rien qu'en obligeant un intervalle de 3 secondes entre chaque tentatives. Pour un humain, c'est quasi imperceptible (surtout si on met cet intervalle entre deux clics sur "valider", c'est à dire qu'on inclut le temps de frappe du mdp) mais pour un robot, ça ralentit les investigations.
6 lettres minuscules = 300 millions de combinaisons => 1 milliard de secondes = 30 ans de calcul incompressible pour évaluer toutes les combinaisons puisque du coup la puissance des processeurs n'est plus un problème. Si on passe à 8 caractères, on arrive à 200 milliards de combinaisons. La fortune de Jeff Besos. 60 000 ans de calcul. Et on n'a pas encore intégré les majuscules, les chiffres et les signes runiques.

Si en plus on s'amuse à augmenter ce délai progressivement (3 secondes pour les 5 premières tentatives, 5 pour les 5 suivantes, 10 pour les 5 suivantes...) pas besoin d'être très radical, c'est très rapidement insurmontable pour les robots et on peut se contenter d'un code à quelques caractères.

Sinon, parmi les méthodes peu évoquées pour les mots de passe, on peut aussi s'amuser à faire des formes sur son clavier avec MAJ ou ALTGr enfoncé de temps en temps :
hu_9OL:;kiJNB
Facile à retenir, facile et rapide à écrire et relativement difficile à deviner, surtout si on utilise un clavier exotique genre bépo

[pierre.E]

[ManPaq]

Le navigateur offre plusieurs fonctions que j'utilises volontiers:

• générateur de mot de passe aléatoire et fort
• coffre-fort numérique accessible avec une double authentification sur son compte
• veille de sécurité sur la présence d'une fuite connue d'un identifiant répertorié
• alertes de connections
  

Il faut veiller bien entendu à clore proprement les sessions du navigateur et effacer les traces dans le cache, vider les données personnelles et fermer la session du poste en son absence, mais le résultat est plus probant qu'un coffre fort (keepass par exemple) certes portable mais qui dépend de son support.
Les firmes peuvent se faire dérober les informations mais l'évènement provoque (d'autant mieux) l'alerte.
L'Electronic Communications Privacy Act (ECPA) autorise les autorités américaines a accéder entre autres aux identifiants (?) mais le RGPD reste incompatible et la commission européenne refuse sa reconnaissance.
Il n'y a pas de solution parfaite mais le conseil semble raisonnable, surtout à cause de la double authentification.