My password strategy
dimanche 7 mars 2010 / 28 mars 2015, par
Toutes les versions de cet article :
Pour votre sécurité, oubliez vos mots de passe. Mettez-les au coffre. Mieux : ne les mettez nulle part.
On me sollicite souvent pour conseiller une gestion des mots de passe combinant un bon niveau de sécurité et une simplicité acceptable. Par les temps qui courent, l’utilisateur moyen a du mal à ne pas se perdre dans ses innombrables accréditations tout en se protégeant efficacement des menaces croissantes pesant sur sa sécurité et sur sa vie privée. Voici une réponse qui ne vaut que ce qu’elle vaut, mais qui obéit à quelques règles de base trop rarement respectées. Ajoutons que les mots de passe ne sont qu’un pis-aller : souvent mal gérés, ils constituent l’une des premières vulnérabilités. Ils feront place tôt ou tard à un mode d’authentification efficient et praticable, probablement biométrique (empreinte digitale, reconnaissance vocale, identification rétinienne, etc.), multimodal dans les cas critiques.
Fragmented Suite for Piano and Bass Duke Ellington and Ray Brown 1972 → FSfPaBDEaRB1972 (ceci est un exemple totalement fictif, mais un excellent choix. Selon howsecureismypassword.net, un ordinateur pourrait le craquer en 609 millions d’années environ. En revanche, un mot de passe tel que “mirza2012” ne nécessiterait que 42 minutes.)
La phrase secrète et la semence dérivée ne seront jamais enregistrées nulle part, si ce n’est dans les replis de votre cerveau.
orches.tra+thepianoplayer, Master Key = FSfPaBDEaRB1972sqG&Xaj0 (en cochant les cases chiffre, ponctuation et casse mélangée, taille 8)sqGGcaj-FjR2 (taille 12)Profitez-en, au passage, pour remplacer vos “toto” et autres “azerty” par de vrais mots de passe.
La particularité intéressante de cet outil est celle-ci : aucun mot de passe n’est sauvegardé où que ce soit, même sous forme chiffrée. Chaque mot de passe est recalculé à la demande, pour s’évaporer aussitôt après utilisation. Imparable : on ne peut pas vous voler quelque chose qui n’existe pas.
(Vous pouvez désormais tirer sur le pianiste, il porte un gilet pare-balles)
Vous pouvez copier/coller les mots de passe produits ; le gestionnaire de mots de passe de votre navigateur ou de votre logiciel de courrier s’en souviendra généralement après la première utilisation. Attention, cette mémorisation n’est pas sécurisée si vous n’avez pas pris soin de spécifier un mot de passe principal pour protéger les autres mots de passe enregistrés (vous pouvez parfaitement utiliser votre semence personnelle “FSfPaBDEaRB1972” pour cela) plus un profil personnel [3]. Même dans ce cas, la mémorisation des mots de passe n’est toujours pas sécurisée si vous utilisez un navigateur ou un logiciel de courrier ancien ou dépassé, car ces logiciels obsolètes (dont quelques-uns sont hélas toujours distribués) mémorisent les mots de passe de manière peu sûre. Au moyen d’un utilitaire simple et gratuit tel que SIW, n’importe qui pourrait percer vos secrets en quelques secondes. Interdisez donc à ces vieux logiciels de mémoriser vos mots de passe ou, mieux, ne les utilisez pas.
Vous pouvez adopter cette stratégie dans bien d’autres domaines que l’informatique et l’internétique, par exemple :
vélo+thepianoplayer, Master key = FSfPaBDEaRB1972 → code du cadenas = 267470 (chiffres uniquement, taille 6)valise+thepianoplayer, Master key = FSfPaBDEaRB1972 → code du cadenas = 579736 (chiffres uniquement, taille 6)garage+thepianoplayer, Master key = FSfPaBDEaRB1972 → code du cadenas = 510303 (chiffres uniquement, taille 6)carte de crédit+thepianoplayer, Master key = FSfPaBDEaRB1972 → code PIN = 297672 (chiffres uniquement, taille 6)téléphone+thepianoplayer, Master key = FSfPaBDEaRB1972 → code PIN = 470939 (chiffres uniquement, taille 6)(N’utilisez dans ces cas-là que les 4 premiers chiffres, car passhash ignorera les tailles inférieures à 6, dans un louable souci de ne pas créer de mots de passe faibles.)
Ainsi, mes mots de passe sont conformes aux 5 règles suivantes :
Même sous la torture, je serais incapable de vous livrer le moindre de mes mots de passe : je m’en sers tous les jours mais je ne les connais pas et ils ne sont transcrits nulle part.
[1] NB : csync.org ne propose plus que la “portable page” et non l’extension Firefox elle-même, dont une copie de sauvegarde est disponible ici. Noter que la “portable page” est parfaitement utilisable sans l’extension.
[2] Excepté Microsoft Internet Explorer bien entendu
[3] Ne jamais stocker les mots de passe dans une machine publique
[4] Cette règle est de loin la plus importante des cinq, si j’en juge d’après les trop nombreux cas vécus : le même mot de passe partout et pour tout, c’est extrêmement dangereux. Imaginez : vous confiez votre mot de passe universel à un site mal sécurisé, ou bien vous vous connectez à partir d’un cybercafé pourri (sachez qu’une grande proportion d’entre eux l’est, sachez aussi que les opérateurs de la hotline de la plupart des FAI peuvent voir votre mot de passe de connexion, en clair) ; supposons que ce mot de passe est volé ; l’heureux voleur a aussitôt accès à votre courriel, à votre compte bancaire, à votre carte de crédit, à votre blog, à l’administration de votre site web, à vos dossiers administratifs, fiscaux et médicaux, etc. De fil en aiguille, il va pouvoir vous voler plein de choses, et jusqu’à votre identité. Il va se faire passer pour vous un peu partout, voter en votre nom, se faire plaisir chez Amazon ou prendre l’avion à vos frais, et vous aurez un mal fou à vous sortir de là.
RSS site
