Discussion :

[Lcf.vs]

Pourquoi ne pas utliser tout simplement une gestionnaire de mot de passe ...

Encore faut-il pouvoir faire confiance en ce gestionnaire...

[grunk]

Une méthode simple : ouvrir un livre au hasard d'une page et Choisir un mot dans une ligne y adjoindre des caractères spéciaux des chiffres des majuscules. Le plus dur étant de s'en souvenir, alors marquons la page.

Choisir une phrase.

Un mot complexifié n'est pas si dure que ça à trouver en bruteforce et i lest difficile de s'en rappeler. Alors qu'une phrase simple est bien plus robuste de part sa longueur et facile à mémoriser.

Après si on est capable de retenir un mot de passe de 30 caractères avec minuscule/majuscule/chiffre/caractère spéciaux c'est encore mieux , mais perso j'y arrive pas

Pourquoi ne pas utliser tout simplement une gestionnaire de mot de passe ...

Qu'est ce qui se passe si j'oublie le mdp de mon gestionnaire ?
Si c'est un service en ligne , quid des risques de piratages de tous mes comptes ?
Si c'est un service en ligne que se passe si il disparait du jour au lendemain sans rien dire ?

Si y'a bien un truc que je confierais à personne et que je ne centraliserais pas c'est mes mots de passe

[Namica]

Le problème n'est pas tant de créer un bon mot de passe, en utilisant par exemple une phrase,
que d'en créer un certain nombre, de les changer régulièrement et de les retenir.
Combien de mots de passe différents utilisez-vous ?

Au delà de quelques uns impossible de se passer d'un gestionnaire de mot de passe.

[Itachiaurion]

Choisir une phrase.

Un mot complexifié n'est pas si dure que ça à trouver en bruteforce et i lest difficile de s'en rappeler. Alors qu'une phrase simple est bien plus robuste de part sa longueur et facile à mémoriser.

Après si on est capable de retenir un mot de passe de 30 caractères avec minuscule/majuscule/chiffre/caractère spéciaux c'est encore mieux , mais perso j'y arrive pas


Qu'est ce qui se passe si j'oublie le mdp de mon gestionnaire ?
Si c'est un service en ligne , quid des risques de piratages de tous mes comptes ?
Si c'est un service en ligne que se passe si il disparait du jour au lendemain sans rien dire ?

Si y'a bien un truc que je confierais à personne et que je ne centraliserais pas c'est mes mots de passe

Qu'est ce qui se passe si tu oublie le mdp de ton gestionnaire? La même chose que si tu oublie un mot de passe non récupérable. Tu oublie ton mot de passe root linux ou ton mot de passe pour Windows? J’espère que tu as un outil de récup. C'est une fausse question/accusation, en plus de 3 ans d'utilisation je dois bien utiliser ce mot de passe pour gestionnaire au moins une fois par jour, va oublié un mot de passe avec ça. Après tu peux te permettre de faire toi même le mot de passe pour tes adresses mail de récupération. Dans le cas peu probable ou tu perd le mot de passe du gestionnaire tu peux toujours tout réinitialisé.

Pourquoi utiliser un service en ligne quand tu as keepass2 qui est gratuit et Opensource en plus de ne pas être en ligne? Tu ne confie pas tes mot de passes a quelqu'un si ce n'est a toi même avec ce logiciel. Faut arrêter d'être aussi borner en sécurité, surtout quand on a un outils aussi pratique a disposition.

Sérieusement il est difficile de penser que l'on peut humainement respecter le fait d'avoir un mot de passe réellement différent par site ou application utilisé. Tu y arrive peut être, mais moi j'ai besoins d'un gestionnaire pour mes plus de 40 mot de passes. Alors si en plus on ajoute le changement régulier de mot de passe, je ne vois pas comment on peut faire, il faut être pragmatique.

[Invité]

Utiliser un keychain manager prouvé, comme KeePass2 (crossplatform, y compris mobile), et auth du pass par certificat stocké sur clé, potentiellement chiffrée (LUKS).

Génération de passwords avec des services comme http://www.sethcardoza.com/api/rest/...ator/length:16 (avec length modifiable)

[grunk]

Qu'est ce qui se passe si tu oublie le mdp de ton gestionnaire? La même chose que si tu oublie un mot de passe non récupérable. Tu oublie ton mot de passe root linux ou ton mot de passe pour Windows? J’espère que tu as un outil de récup. C'est une fausse question/accusation, en plus de 3 ans d'utilisation je dois bien utiliser ce mot de passe pour gestionnaire au moins une fois par jour, va oublié un mot de passe avec ça. Après tu peux te permettre de faire toi même le mot de passe pour tes adresses mail de récupération. Dans le cas peu probable ou tu perd le mot de passe du gestionnaire tu peux toujours tout réinitialisé.

Tu as raison sur ce point.

Celà dit un manager de mot de passe ça reste un SPOF aussi protégé soit il.

Un mot de passe différent par site c'est pas bien compliqué à mettre en place avec des méthodes logiques que seul toi connais. Après effectivement si tu inclus là dedans l'obligation de modifier un mot de passe (complètement) ca devient compliqué de le gérer.

[koyosama]

Un mot de passe différent par site c'est pas bien compliqué à mettre en place avec des méthodes logiques que seul toi connais. Après effectivement si tu inclus là dedans l'obligation de modifier un mot de passe (complètement) ca devient compliqué de le gérer.

Alors là, j'ai rien compris. Le gestionnaire de mot de passe, tu sais que c'est justement pour ça. J'arrive pas à croire que les gens arrivent à trouver des arguements contre ça.
J'ai changé de PC ou installé Windows ou Mac tellement fois que je ne pourrais compter. Et sans le gestionnaire de mot de passe j'aurais tout perdu.

Petite anecdotes: Quand je cherchais mon nom sur internet, j'avais un blog tout pourri que j'avais fait en cours pour nous apprendre au lycée le personal branding pour nous apprendre à nous vendre sur internet. Tout le monde se sera pas surpris, qu'il était bourré de fautes d'orthographe et de grammaires. Donc je voulais le supprimer à la période de ma première recherche d'mploi et quand je tappais mon nom, j'avais ce vieux blog. Le truc c'est que le blog que je l'ai fait au lycée et le mot de passe que j'avais utilisé, je l'avais perdu. Si j'avais pas marqué ce mot de passe quelque part, j'aurais été foutu. La morale est que tu peux avoir des applications que tu as toujours (quelque part), que tu as utilisé il y a très longtemps et dont tu pensais pas réutilisé un jour et peut-être utile de te souvenir du mot de passe.

Aujourd'hui des programmes analyses tes cookies, ton fingerprint et peut par conséquent crée une stratégie contre toi. Pendant un moment les africains faisaient ça avec la méthode de fishing. Alors un mot de passe différent par site-web ce n'est pas complètement dur à gérer. Et en plus si tu choisis le gestionnaire de mot de passe avec système de clé et tout, c'est aussi sécure qu'une clé SSH ou plus. La mentalité humaine c'est pas difficile à décrypter. Après tu es développeur, quelqu'un de technique et plus pragmatique que l'utilisateur lambda. Je suis en train de me battre avec mon père pour lui synchroniser le wifi au téléphone. J'ai parlé au système admin une fois pour un mot de passe d'une application qui a été configuré sur un vieux windows server 2000 et pour te dire la tête qu'il faisait ("T'es pas sérieux"), mais heuresement pour li il avait un gestionaire de mot pas de passe. Donc si tu arrives à te souvenir d'un mot de passe d'un gars qui est parti de l'entreprise ...

Même si c'est 1%, cela peut très bien être toi.

[Itachiaurion]

Tu as raison sur ce point.

Celà dit un manager de mot de passe ça reste un SPOF aussi protégé soit il.

Un mot de passe différent par site c'est pas bien compliqué à mettre en place avec des méthodes logiques que seul toi connais. Après effectivement si tu inclus là dedans l'obligation de modifier un mot de passe (complètement) ça devient compliqué de le gérer.

C'est pourtant ce que l'on est censé faire, sans oublié le changement régulier à effectuer (facilement paramétrable sur le logiciel qui te rappelle gentiment quand il faut le modifier). De mémoire l'anssi recommande 100bits comme taille de clé "minimal" sachant que 130 est mieux soit un mot de passe longueur minimal d'a peu près 16 à 20 caractères minimum, comprenant lettres, chiffres, et caractères spéciaux. Encore une fois peut être que tu y arrive très bien, a titre personnelle cela m'est difficile de respecter tout cela. C'est a force de prendre la sécurité par dessus là jambe que l'on arrive a des histoires invraisemblable. D'autant que le seul risque actuel que j'identifie avec ce logiciel c'est la perte du mot de passe. Je vois pas comment un attaquant peut faire sauter la base de données de mes mot de passes chiffré en AES256 couplé avec du twofish. Après je ne suis pas expert, qu'on me dise si j'ai tord et pourquoi. Evidemment qu'il y a d'autre vecteurs d'attaque mais il est difficile de tout bloquer.

Le manager peut être un SPOF (et encore c'est relatif, on peut faire des copies sécuriser de la BDD et prévoir des "secours" comme un fichier clé pour ouvrir la basse de donnée que l'on met sur un disque dur non connecté ou conservé les mot de passe mail hors de cela pour un utilisateur lambda) tout comme le mot de passe Windows de je ne sais qu'elle ordinateurs, ou même l'interface chaise clavier. Le manager à d’ailleurs bien plus de chance de se souvenirs de tout les mot de passe que l'interface en question.

[Altor]

Les mots de passes, une longue histoire d'amour dans le monde de l'informatique.

Il y en a de toutes les formes de toutes les tailles. Des p'tits mots d'amours, aux suites illogiques de caractères sans queue ni tête en passant par les traditionnels "1234" et autres "azerty"...

Et ça se chamaille dans les commentaires : gestionnaire/pas gestionnaire, un mdp/plusieurs mdp, ...

ça sent bon la mise à 0 des stats pour la nouvelle année
On prend les paris pour le top 5 de l'année 2018 ?

[Btwh_]

une simple méthode et très efficace que je l'utilise personnellement est d'utiliser les marques,les caractéristiques écrits sur pc par exemple
sur mon pc il est écrit : DELL LATITUDE E7240 ==> delllatitudee7240 c'est un bon mot de passe
aussi : intel core i5 vpro => après coller les caractères : intelcorei5vpro est un mot de passe du lourd hh

[Invité]

une simple méthode et très efficace que je l'utilise personnellement est d'utiliser les marques,les caractéristiques écrits sur pc par exemple
sur mon pc il est écrit : DELL LATITUDE E7240 ==> delllatitudee7240 c'est un bon mot de passe
aussi : intel core i5 vpro => après coller les caractères : intelcorei5vpro est un mot de passe du lourd hh

Puis n'importe-qui qui regarde tes habitudes d'achat ou qui connaît ta marque de PC peut assez facilement avoir de bonnes indications sur des possibilités de mot de passe que tu pourrais avoir ! (A noter que ce genre de pass sont assez communs, aussi).

[Lcf.vs]

Puis n'importe-qui qui regarde tes habitudes d'achat ou qui connaît ta marque de PC peut assez facilement avoir de bonnes indications sur des possibilités de mot de passe que tu pourrais avoir ! (A noter que ce genre de pass sont assez communs, aussi).

Reste plus qu'à intégrer aussi (si ce n'est déjà fait) tous les modèles de pc à un de dictionnaire et hop.

[Olivier Famien]

Classement des pires mots de passe de SplashData : « 123456 » trône en tête du classement pour la cinquième année consécutive,
et est suivi par « password » comme en 2017

Les mots de passe, nous en utilisons tous pour accéder à nos comptes en ligne. Avec les scandales de piratage de données, il est recommandé aux utilisateurs de faire usage de mots de passe composés de longs caractères afin de donner du fil à retordre aux personnes malveillantes souhaitant deviner leurs mots de passe et accéder à leurs comptes.

Il y a quelques jours, SplashData, l’entreprise de gestion des mots de passe, a publié sa huitième liste annuelle des pires mots de passe de l’année 2018. Après avoir analysé plus de 5 millions de mots de passe divulgués sur internet et détenus par des utilisateurs d’Amérique du Nord et d’Europe occidentale. Après avoir analysé les mots de passe qui ont fuité sur la toile, la société a constaté que les mauvaises habitudes ont la vie dure. En effet, selon les résultats de son analyse, les utilisateurs continuent de recourir aux mêmes mots de passe prévisibles et faciles à deviner que par le passé.

L’an dernier, c’est-à-dire en 2017, le rapport de SplashData a donné les résultats suivants :

1. « 123456 »
2. « password »
3. « 12345678 »
4. « qwerty »
5. « 12345 »
6. « 123456789 »
7. « letmein »
8. « 1234567 »
9. « football »
10. « iloveyou »
11. « admin »
12. « welcome »
13. « monkey »
14. « login »
15. « abc123 »
16. « starwars »
17. « 123123 »
18. « dragon »
19. « passw0rd »
20. « master »
21. « hello »
22. « freedom »
23. « whatever »
24. « qazwsx »
25. « trustno1 »

Pour cette fin d’année 2018, le classement des pires mots de passe donne le résultat suivant :

1. 123456 (classement inchangé par rapport à l’année dernière)
2. password (inchangé)
3. 123456789 (gagne 3 places)
4. 12345678 (perd 1 place)
5. 12345 (inchangé)
6. 111111 (nouveau)
7. 1234567 (gagne 1 place)
8. sunshine (nouveau)
9. qwerty (perd 5 places)
10. iloveyou (inchangé)
11. princess (nouveau)
12. admin (perd 1 place)
13. welcome (perd 1 place)
14. 666666 (nouveau)
15. abc123 (inchangé)
16. football (perd 7 places)
17. 123123 (inchangé)
18. monkey (perd 5 places)
19. 654321 (nouveau)
20. !@#$%^&* (nouveau)
21. charlie (nouveau)
22. aa123456 (nouveau)
23. donald (nouveau)
24. password1 (nouveau)
25. qwerty123 (nouveau)

En comparant le classement de cette année à celui de 2017, l’on voit clairement que « 123456 » continue d’être le mot de passe préféré de certains internautes. Et lorsqu’on remonte aux classements antérieurs, l’on remarque que ce même mot de passe trône en tête des classements de SplashData depuis cinq années consécutives. Ce dernier est suivi par le mot de passe « password » comme en 2017.

D’autres mots de passe ont fait leur entrée dans cette liste de fin d’année. Ce sont notamment « 111111 » ou encore « princess ». Parmi les nouveaux mots de passe utilisés, on retrouve également à la 23e place le mot de passe « donald ». Pour Morgan Slain, PDG de SplashData, utiliser le nom du président « ou tout autre nom comme mot de passe est une décision dangereuse ». Et pour cause, le PDG avance que « les pirates informatiques ont beaucoup de succès en utilisant les noms de célébrités, les termes de la culture pop aux sports, en passant par les modèles de clavier simples pour percer les comptes en ligne, car ils savent que beaucoup de gens utilisent ces combinaisons faciles à retenir ».

En plus de la recommandation National Institute of Standards and Technology (NIST), préconisant de composer des mots de passe avec des phrases longues et faciles à retenir, SplashData propose trois astuces simples pour se protéger des pirates informatiques en ligne :

1. Utilisez des phrases secrètes de douze caractères ou plus avec différents types de caractères.
2. Utilisez un mot de passe différent pour chacune de vos connexions. Ainsi, si un pirate informatique accède à l’un de vos mots de passe, il ne pourra pas l’utiliser pour accéder à d’autres sites.
3. Protégez vos actifs et votre identité personnelle en utilisant un gestionnaire de mots de passe pour organiser les mots de passe, générer des mots de passe sécurisés aléatoires et vous connecter automatiquement à des sites Web.

Source : Communiqué de presse de SplashData

Et vous ?

Utilisez-vous ces mots de passe faciles pour les pirates de deviner afin d'accéder à vos comptes en ligne ? Pourquoi ?

Quelles solutions suggérez-vous pour aider ceux qui n’arrivent pas élaborer des mots de passe forts ?

Voir aussi

Les MdP trop faibles sont devenus une menace majeure, rendant nécessaire l’authentification multifacteur, d’après le dernier rapport WatchGuard
86 % des MdP disponibles en clair de la société CashCrate avaient déjà été compromis, Troy Hunt s’indigne des mauvaises pratiques dans l’industrie
Un gestionnaire de MdP propose le mode Voyageur pour protéger vos données, la fouille des douanes US favorise-t-elle l’émergence de ces solutions ?
Un expert en sécurité propose une liste de 320 millions de mots de passe à éviter pour renforcer la sécurité sur le Web
Classement des pires MdP 2017 : « 123456 » en tête et « starwars » refait surface que conseillez-vous pour adopter des MdP difficiles à pirater ?

[el_slapper]

sinon, ce qui est marrant, c'est que 1234567 vient après 12345678. Sans doute à cause des sites qui demandent 8 chiffres, mais quand même.

[Glutinus]

Quand je fus gamin, mon mot de passe était "motdepasse", et j'étais persuadé d'être le seul au monde à l'avoir fait

[Aiekick]

je pensais voir mon mot de passe : azerty

[Glutinus]

je pensais voir mon mot de passe : azerty

Il y a sûrement beaucoup plus d'anglophones que de francophones recensés dans ce "top" (voir : monkey, princess, iloveyou...)

[strato35]

!@#$%^&*

ils recopient la liste des caractères spéciaux autorisés c'est ça ?

[bk417]

Vivement l'adoption massive de webauthn qu'on en finisse.

[zaventem]

Le jour où on ne sera plus obligé de créer des comptes pour tout et n'importe quoi, cela changera peut-être aussi les choses.
Je ne compte plus le nombre de compte que j'ai créé avec un email jetable et un mot de passe bidon pour juste pouvoir acheter sur un site ou même connaitre les frais de livraison.