I Love Belgium... and you?
CeD
Cookies éphémères (7 jours au plus) pour les utilisateurs authentifiés uniquement. Aucun traçage.
Temporary cookies (7 days max) for authenticated users only. No tracking.
Recherche avancée

Accueil du site > II. Pro > 4. Informatique/Computing > Ma stratégie de mots de passe

Ma stratégie de mots de passe

My password strategy

dimanche 7 mars 2010 / 28 mars 2015, par CeD

Toutes les versions de cet article :


Pour votre sécurité, oubliez vos mots de passe. Mettez-les au coffre. Mieux : ne les mettez nulle part.


On me sollicite souvent pour conseiller une gestion des mots de passe combinant un bon niveau de sécurité et une simplicité acceptable. Par les temps qui courent, l’utilisateur moyen a du mal à ne pas se perdre dans ses innombrables accréditations tout en se protégeant efficacement des menaces croissantes pesant sur sa sécurité et sur sa vie privée. Voici une réponse qui ne vaut que ce qu’elle vaut, mais qui obéit à quelques règles de base trop rarement respectées. Ajoutons que les mots de passe ne sont qu’un pis-aller : souvent mal gérés, ils constituent l’une des premières vulnérabilités. Ils feront place tôt ou tard à un mode d’authentification efficient et praticable, probablement biométrique (empreinte digitale, reconnaissance vocale, identification rétinienne, etc.), multimodal dans les cas critiques.


L’essentiel : (i) Différenciez vos mots de passe (un par compte, jamais deux fois le même), (ii) Protégez-les par un “super mot de passe” unique, inoubliable, imperdable, inviolable, jamais consigné ailleurs que dans votre cerveau, (iii) Dotez-vous d’un outil qui créera et conservera des mots de passe forts tout en vous dispensant de les mémoriser.
1. Créez une “semence” personnelle forte mais facile à retenir (“Master Key”) à partir d’une phrase très personnelle et secrète indevinable mais imperdable :

Frag­men­ted Suite for Piano and Bass Duke Elling­ton and Ray Brown 1972FSfPaBDEaRB1972 (ceci est un exem­ple tota­le­ment fic­tif, mais un excel­lent choix. Selon how­se­cu­reis­my­pass­word.net, un ordi­na­teur pour­rait le cra­quer en 609 mil­lions d’années envi­ron. En revan­che, un mot de passe tel que mir­za2012 ne néces­si­te­rait que 42 minu­tes.)

La phrase secrète et la semence déri­vée ne seront jamais enre­gis­trées nulle part, si ce n’est dans les replis de votre cer­veau.

2. Produisez un mot de passe unique pour chaque ressource à protéger :
  • Téléchargez et installez par exemple l’extension “Password hasher” pour Firefox, disponible à https://dev.csync.org/passhash.html [1] (vous pouvez bien entendu utiliser tout autre utilitaire de hachage, mais celui-ci est simple et pratique. Une solution similaire est “Password Maker”).
  • Sauvegardez localement la “portable page” sous le nom de passhash.html, ouvrez-la dans n’importe quel navigateur [2] :
    PNG - 5.5 ko
  • En supposant que votre identifiant est “thepianoplayer” pour le domaine “orches.tra”, entrez le “Site Tag” suivant : orches.tra+thepianoplayer, Master Key = FSfPaBDEaRB1972
  • → Mot de passe produit = sqG&Xaj0 (en cochant les cases chiffre, ponctuation et casse mélangée, taille 8)
  • → Mot de passe encore plus résistant : sqGGcaj-FjR2 (taille 12)

Profitez-en, au pas­sage, pour rem­pla­cer vos “toto” et autres “azerty” par de vrais mots de passe.

La par­ti­cu­la­rité inté­res­sante de cet outil est celle-ci : aucun mot de passe n’est sau­ve­gardé où que ce soit, même sous forme chif­frée. Chaque mot de passe est recal­culé à la demande, pour s’évaporer aus­si­tôt après uti­li­sa­tion. Imparable : on ne peut pas vous voler quel­que chose qui n’existe pas.

(Vous pou­vez désor­mais tirer sur le pia­niste, il porte un gilet pare-bal­les)

Vous pou­vez copier/col­ler les mots de passe pro­duits ; le ges­tion­naire de mots de passe de votre navi­ga­teur ou de votre logi­ciel de cour­rier s’en sou­vien­dra géné­ra­le­ment après la pre­mière uti­li­sa­tion. Attention, cette mémo­ri­sa­tion n’est pas sécu­ri­sée si vous n’avez pas pris soin de spé­ci­fier un mot de passe prin­ci­pal pour pro­té­ger les autres mots de passe enre­gis­trés (vous pou­vez par­fai­te­ment uti­li­ser votre semence per­son­nelle “FSfPaBDEaRB1972” pour cela) plus un pro­fil per­son­nel [3]. Même dans ce cas, la mémo­ri­sa­tion des mots de passe n’est tou­jours pas sécu­ri­sée si vous uti­li­sez un navi­ga­teur ou un logi­ciel de cour­rier ancien ou dépassé, car ces logi­ciels obso­lè­tes (dont quel­ques-uns sont hélas tou­jours dis­tri­bués) mémo­ri­sent les mots de passe de manière peu sûre. Au moyen d’un uti­li­taire sim­ple et gra­tuit tel que SIW, n’importe qui pour­rait per­cer vos secrets en quel­ques secondes. Interdisez donc à ces vieux logi­ciels de mémo­ri­ser vos mots de passe ou, mieux, ne les uti­li­sez pas.

Vous pou­vez adop­ter cette stra­té­gie dans bien d’autres domai­nes que l’infor­ma­ti­que et l’inter­né­ti­que, par exem­ple :

  • Votre vélo : Site Tag = vélo+thepianoplayer, Master key = FSfPaBDEaRB1972 → code du cadenas = 267470 (chiffres uniquement, taille 6)
  • Votre valise : Site Tag = valise+thepianoplayer, Master key = FSfPaBDEaRB1972 → code du cadenas = 579736 (chiffres uniquement, taille 6)
  • Votre garage : Site Tag = garage+thepianoplayer, Master key = FSfPaBDEaRB1972 → code du cadenas = 510303 (chiffres uniquement, taille 6)
  • Votre carte de crédit : Site Tag = carte de crédit+thepianoplayer, Master key = FSfPaBDEaRB1972 → code PIN = 297672 (chiffres uniquement, taille 6)
  • Votre téléphone : Site Tag = téléphone+thepianoplayer, Master key = FSfPaBDEaRB1972 → code PIN = 470939 (chiffres uniquement, taille 6)

(N’uti­li­sez dans ces cas-là que les 4 pre­miers chif­fres, car pas­shash igno­rera les tailles infé­rieu­res à 6, dans un loua­ble souci de ne pas créer de mots de passe fai­bles.)

Ainsi, mes mots de passe sont confor­mes aux 5 règles sui­van­tes :

  1. Ils sont uniques (un mot de passe distinct pour chaque ressource protégée ; en cas de compromission d’un mot de passe, seule la ressource associée sera affectée) [4]
  2. Ils sont forts (c’est-à-dire raisonnablement résistants aux attaques de type force brute ou dictionnaire), avec une probabilité significative de mettre en échec un outil tel que OphCrack, capable de craquer en 2 minutes la plupart des mots de passe simples.
  3. Pratiquement impossibles à voler, car consignés nulle part
  4. Je ne peux les oublier puisque je n’ai pas à les mémoriser (je peux les restaurer en cas de besoin)
  5. Je n’ai nul besoin d’un utilitaire éventuellement coûteux et verrouillé pour conserver mes multiples secrets, puisque je n’ai aucun secret à conserver à l’exception de ma phrase secrète : mon petit cerveau est bien suffisant pour ça.

Même sous la tor­ture, je serais inca­pa­ble de vous livrer le moin­dre de mes mots de passe : je m’en sers tous les jours mais je ne les connais pas et ils ne sont trans­crits nulle part.

P.-S.

NB : ce billet ne s’adresse pas, bien entendu, aux innom­bra­bles incons­cients qui se ser­vent d’un “mot de passe” tel que “123456” ou “toto” pour tous les accès qu’ils croient pro­té­ger. Ils n’ont en fait aucun mot de passe, leur cas est déses­péré.

Notes

[1] NB : csync.org ne pro­pose plus que la “por­ta­ble page” et non l’exten­sion Firefox elle-même, dont une copie de sau­ve­garde est dis­po­ni­ble ici. Noter que la “por­ta­ble page” est par­fai­te­ment uti­li­sa­ble sans l’exten­sion.

[2] Excepté Microsoft Internet Explorer bien entendu

[3] Ne jamais sto­cker les mots de passe dans une machine publi­que

[4] Cette règle est de loin la plus impor­tante des cinq, si j’en juge d’après les trop nom­breux cas vécus : le même mot de passe par­tout et pour tout, c’est extrê­me­ment dan­ge­reux. Imaginez : vous confiez votre mot de passe uni­ver­sel à un site mal sécu­risé, ou bien vous vous connec­tez à par­tir d’un cyber­café pourri (sachez qu’une grande pro­por­tion d’entre eux l’est, sachez aussi que les opé­ra­teurs de la hot­line de la plu­part des FAI peu­vent voir votre mot de passe de connexion, en clair) ; sup­po­sons que ce mot de passe est volé ; l’heu­reux voleur a aus­si­tôt accès à votre cour­riel, à votre compte ban­caire, à votre carte de cré­dit, à votre blog, à l’admi­nis­tra­tion de votre site web, à vos dos­siers admi­nis­tra­tifs, fis­caux et médi­caux, etc. De fil en aiguille, il va pou­voir vous voler plein de cho­ses, et jusqu’à votre iden­tité. Il va se faire pas­ser pour vous un peu par­tout, voter en votre nom, se faire plai­sir chez Amazon ou pren­dre l’avion à vos frais, et vous aurez un mal fou à vous sor­tir de là.

Commenter cet article

5 Messages de forum

  • LastPass

    7 février 2012 16:12, par CeD
    Voyez aussi LastPass

    Voir en ligne : Lastpass

    Commenter ce message

    • LastPass 13 octobre 2012 19:56, par CeD

      Si vous ne passez pas comme moi la moitié de votre temps dans un désert internétique, LastPass semble être la solution ultime pour gérer vos accréditations.

      La logique est semblable à celle décrite dans le corps du présent billet : un mot de passe principal unique pour protéger tous les autres, que vous n’avez dès lors plus besoin de mémoriser.

      Je n’ai aucun moyen d’apprécier la sécurité, l’honnêteté et la pérennité de ce service ; si on le suppose irréprochable de ce triple point de vue, il constitue une réponse tout à fait adéquate aux préoccupations évoquées plus haut (si on excepte les applications à la « vraie vie » comme la porte du garage ou le cadenas du vélo) : une seule phrase de passe enregistrée nulle part, des mots de passe uniques et forts jamais stockés en clair.

      Il ne faut toutefois jamais perdre de vue le fait que tout ce qui est en ligne, comme LastPass, est par définition sujet à caution.

      Voir en ligne : Lastpass

      Commenter ce message

  • Ma stratégie de mots de passe

    29 septembre 2012 21:03, par CeD

    Lire abso­lu­ment cet arti­cle. C’est en anglais. Je résume : (i) vos mots de passe sont extrê­me­ment vul­né­ra­bles, notam­ment à cause de la puis­sance accrue des machi­nes avec les­quel­les il est pos­si­ble de mener des atta­ques par dic­tion­naire (on peut désor­mais lan­cer plu­sieurs mil­liards de ten­ta­ti­ves par seconde, et ça s’accé­lère). (ii) Au cours de l’année écoulée, des dizai­nes de mil­lions de mots de passe se sont retrou­vés “à poil” sur le web (affai­res LinkedIn, Hotmail, etc.) (iii) En moyenne, les inter­nau­tes uti­li­sent 6,5 mots de passe dif­fé­rents pour 25 comp­tes. Donc en gros le même mot de passe pour 4 comp­tes. Autant dire qu’une atta­que bien menée per­met de cra­quer la plu­part des secrets de n’importe qui ou pres­que en moins d’une minute. Pire : dans des mil­lions de cas, une atta­que n’est même pas néces­saire, il n’y a qu’à se ser­vir sur le web.

    Suivez donc mes conseils : sécu­ri­sez vos mots de passe. Vous me remer­cie­rez un jour.

    Commenter ce message

  • La longueur des mots de passe

    14 octobre 2012 14:11, par CeD
    Statistiquement, la lon­gueur la plus fré­quente est 8 carac­tè­res. Il est donc judi­cieux d’en choi­sir une autre, vos mots de passe seront alors (un peu) moins vul­né­ra­bles aux atta­ques.

    Commenter ce message


Suivre la vie du site RSS site | RSS brèves RSS brèves | Plan du site | Espace privé | Écrire au taulier | Stop Spam Harvesters, Join Project Honey Pot | Creative Commons
dessert recipes this in created
dessert recipes this in created
dessert recipes this in created
dessert recipes this in created
write me