death-star-safety.jpg Ça y est !
Les élu professionnels ont enfin remarqué qu’il faut sensibiliser les gens à utiliser des mots de passes forts. Beaucoup trop de personnes utiliseraient en fait des mots de passes faibles comme « password » ou « 12345 ».

C’est pas mal comme remarque de leurs part.

Mais il faudrait déjà commencer par faire en sorte que les sites prennent en compte des mots de passes forts : beaucoup de sites ne permettent qu’un mot de passe alphanumérique de moins de 10 caractères.
Le site de ma banque a beau être en https avec un joli cadenas dont le design a dû coûter dans les trente mille euros, le mot de passe ne se compose que de 6 chiffres (impossible de changer et ce sont eux qui nous l’envoient par la poste). Six chiffres, bordel ! Pour un pirate qui dispose d’un botnet assez performant, il peut débloquer ça en 10 secondes !

Ensuite il faudrait aussi botter le cul aux webmasters de sites sensibles qui n’ont pas le chiffrement SSL (le https quoi) et ceux qui utilisent le stockage de mot de passe en clair sur leurs serveurs. À la fin on se retrouve avec des listes de mots de passes qui se baladent. Des listes de 1,5 milliard de mots de passes…

On peut très bien utiliser une phrase de passe de 500 caractères, parfois ça ne sert à rien si les sites eux-mêmes ne suivent pas.

Oh, et au passage : un mot de passe comme « BonjourChevalMaison123 » est plus fort que ça « Cfgt67#% ». Ce qui compte c’est évidemment la complexité, mais surtout la longueur… En prime le premier est bien plus facile à retenir.

Dernier conseil : surtout n’utilisez pas le même mot de passe tous les sites !

image de Kalexanderson

31 commentaires

gravatar
Julien et Nel a dit :

Tant qu'a poussé une gueulande, je rajouterais :

Et google pas foutu de faire un css pour tous les navigateurs au lieu de faire un css en fonction des user-agents. Et Facebook et compagnies qu'on ne peut accéder si on a changer le referer ... la connexion se fait sur le referer, c'est du beau ça . Bordel , brodel de merde .

gravatar
Maliro a dit :

Petite interrogation de profane.
Le mot de passe sur le site de ma banque est également composé de 6 chiffres (changeable). Cela dit pour l'entrer il faut cliquer sur un clavier virtuel dont l'ordre des chiffres change à chaque fois. Ce système est efficace comme protection ?

gravatar
pika822 a dit :

Ce système a pour but de contrer les key loggers (programme qui enregistre toutes les frappes au clavier). Il est efficace contre les keys loggers, mais pour le reste, je pense que c'est aussi efficace qu'un mot de passe de 6 caractères numériques...

gravatar
Exagone313 a dit :

Suffit de regarder le contenu de la page html pour avoir le code entré ...

gravatar
eloe a dit :

Normalement pour accéder à un compte en banque, 3 mauvais mots de passe et l accès à son compte par internet est bloqué ( j'en ai fait l’expérience) donc la probabilité de trouver la bonne combinaison n est finalement pas très élevée.

gravatar
mataucarre a dit :

De plus, on peut accéder rapidement sur le compte bancaire de quelqu'un si l'on connait son mot de passe, mais après il devient pratiquement impossible d'effectuer la moindre action :
Avec ma banque par exemple, pour un simple paiement sur internet, virement... il faut :
- Le code de la carte + le pictogramme
- Un code à 4 chiffres dispo sur une carte que la banque nous a envoyé (64 codes sur la carte)
- Un code envoyé par SMS ou mail
Cela devient donc de la "triple identification"... chose que j’apprécie vraiment avec cette banque.

gravatar
GoustiFruit a dit :

J'avais lu quelque part que les meilleurs mots de passe contenaient plusieurs mots *et* des espaces. Du coup le mot de passe de mon compte LastPass (qui contient tous mes mots de passes générés automatiquement par l'extension sus-nommée) est une petite citation, facile à retenir, mais beaucoup moins à cracker :-)

gravatar
Allchimik a dit :

Un mdp avec uniquement des chiffres, c'est clairement merdique comme protection. Avec des lettres c'est potable, mais le vrai top ça reste les caractères spéciaux quand même. Mixés avec un phrase, ça devient du très très lourd.

Dans ton exemple "BonjourChevalMaison123", tu fais "Bonjour/Cheval@Maison!123#" et ça ça envoie du paté.
Après les banques, ça vaut ce que ça vaut mais rien n'est incrackable !

gravatar
Mut a dit :


Dernier conseil : surtout n’utilisez pas le même mot de passe tous les sites !


C'est vrai que c'est l'idéal, mais en pratique c'est à retenir… Je dois utiliser 5 ou 6 mots de passe différents en tout, et pour la plupart ils sont partagés par plusieurs sites.

gravatar
Le Hollandais Volant a dit :

@Maliro : 6 chiffres restent 6 chiffres. Seule l’interface web contient un semblant de robustesse, mais si on fait un script qui envoie des formulaires à la volée, il n’y aura aucun besoin de cliquer sur un clavier virtuel.

@mataucarre : perso j’ai aussi un code "TAN / Certi code" envoyé par SMS. On ne sait pas comment ces codes sons choisis ou générés, mais si le mode de création est mauvais, il est possible de les recréer à partir du numéro de compte…

@eloe : ah oui, en effet c’est une protection solide. Tant que ce n’est pas basé sur l’IP ni sur un Cookie, c’est bon.

@GoustiFruit : ben il est préférable de parler de phrase de passe, et oui c’est très solide.

@Allchimik : XKCD a calculé ce qui valait mieux : un mot de passe normal avec des caractères spéciaux ou un long mot de passe avec des lettres et très simple à retenir : http://xkcd.com/936/

@Mut : tu peux facilement utiliser ton mot de passe "pass" couplé à un identifiant pour chaque site. Par exemple, pour Google.com tu utilises "passgec" (GooglE, Com), et pour Yahou.fr "passyuf" (YahoO, Fr)
C’est dur à retenir, mais facile à retrouver.
Tant que tu utilises un système plutôt original et difficile à deviner pour un intru.

gravatar
iTux a dit :

On doit presque tous être à la même banque ^^ (hormis mataucarre).

Pour ce qui est de ne pas utiliser le même partout : je tourne à 5~6 pass, en fonction de la sécuritée demandée + un spécial à caque fois que je n'ai pas le choix (la dite banque, les sites qui ont une limite un peu basse sur le nombres de caractères …).

Par exemple, sur les trucs complètement publics (pas de ssl, mdp très surement stocké en clair, site de jeux flash la plupart du temps), j'utilise un truc à la "azerty" associé à une adresse yopmail ou spamgourmet si nécessaire. Mais pour des sites où ça deviens important, je bourride le champ de texte (long, quelques spéciaux et chiffres, parfois des majuscules).

gravatar
tookdrums a dit :

Je suis pas vraiment d'accord pour la robustesse des mot de passes a mots.
Je m'explique les trois mots que tu as choisit etais dans cette liste des 5000 mots les plus utilise il est probable que la plupart des gens choisisent des mot de cette liste sorry English here http://www.englishclub.com/vocabulary/common-words-5000.htm

Maintenant faisant quelque calcul de cardinalite:
disont 3 mots entropie = 5000^3 = 1.25e+11

Maintenant pour le mot de passe usuel disons 10 caractere:
(lowercase 26 + upper 26 + chiffre 10 + symbol 33)^10 = 95^10 = 5.987369e+19

Bon j'ai peut etre simplifie un peu pour faire pencher les chiffres dans ma faveur mais bon.

Perso voici la methode que j'utilise pour mes mot de passe que je trouve pas mal:
Choisir son mot de passe un mot de preference pas trop utilise : parachute
Choisir une sorte de petit code a 4 caractere pas plus avec des chiffre ou des symbol
3.14
puis pour chaque site j'identifie les 3 premiere lettre du site:
facebook para3.14facchute
twitter para3.14twichute
gmail para3.14gmachute

(En fait je pourrait faire une sorte de hash + salt des 3 premiere lettres du site pour pas que quelqu'un connaissant ma technique et mon mot de passe facebook puisse en deviner mon twiter remarque je pourrais hash + salt tout le password ...)

Maintenant que j'y pense en entropie ma methode n'est peut etre pas si bien que ca ....
Mais bon ca ma bien vu que ma methode est secrete .....
A bon l'est elle vraiment ? ...

Tookdrums

PS :
Sorry for the accents ==> QWERTY

gravatar
Le Hollandais Volant a dit :

@tookdrums : hm… Les mots sont justement communs, mais qui va les associer comme ça (surtout avec le 123 à la fin + la casse) ?
Perso je parlais plutôt de l’attaque par brute force, dans ce cas (pour ces 3 mots là : BonjourChevalMaison123), on aurait (26+26+10)^22 = 3×10^39 bit d’entropie, ce qui change pratiquement tout.

Pour une méthode, perso je prends un mot et j’ajoute quelques pincés de l33t sp34k dedans :).

gravatar
Baronsed a dit :

Le leet speak, à moins qu'il ne soit vraiment bizarre, est déjà pris en compte depuis longtemps par les logiciels de brute force.

gravatar
Guenhwyvar a dit :

De toute manière, la meilleure défense contre le bruteforce, ça reste une sécurisation du site… Quelque chose comme une simple temporisation rend un cassage par bruteforce (à moins d'avoir un botnet de plusieurs centaines de milliers de machines) trèèèèès long…

gravatar
ZK456 a dit :

@Mut : J'en ai un tout petit peu plus, mais la répartition de mes mots de passe est fonction de la sensibilité du site en question:

- Pour tout ce qui est pas très sensible, comme les forums, et qui ne contient aucune donnée personnelle me concernant et dont l'email utilisé pour l'inscription est de type jetable, j'ai 2 ou 3 mots de passe différents (en fonction des thèmes).
Ils sont bof bof niveau sécurité mais faciles à retenir, parce que c'est ceux dont je me sert le plus mais qui sont le moins impactant en cas de crackage.

- Pour tout ce qui est moyennement sensible, comme les comptes de services non critiques (genre stockage d'image non personnelles), ou les sites où il y a quelques données perso non nominatives (date de naissance, pays, ...), j'en ai 4 ou 5 différents, toujours selon les thèmes, avec préfixe et/ou suffixe, avec chiffres/lettres/caractères spéciaux.

- Pour tout ce qui est hautement sensible (email principal, site avec données nominatives,...) là c'est mot de passe long, fort, et différent pour chaque service.

Mais en général, je constate que plus la sensibilité d'un service est élevée, moins on a tendance à s'éparpiller: par exemple, je suis inscrit à tout un tas de forum, j'utilise une dizaine services en ligne divers (stockage non critique, outils d'aide au dev, ...), mais j'ai que 2 boîtes mails vraiment perso.

Adapter sa politique de mot de passe en fonction de ce paramètre peut aider à réduire le nombre de pass à retenir, tout en faisant un bon compromis je pense...

gravatar
JeromeJ a dit :

Euh t'es sûr pour ton coup là timo ? " BonjourChevalMaison123 " c'est pas très puissant hein :/ (niveau complexité)

Je savais que les mots de passes courts mais compliqués à retenir sont inutiles mais là la complexité on peut repasser aussi ^^

Le mieux reste, je trouve, en essayant de faire un bon gros résumés est de mémoriser une phrase unique non célèbres puis prendre toutes les premières lettres (ou seconde, ou peut importe), rajouter des séparateurs (au choix) plus des nombres qui nous parlent et ça fait déjà un bon gros mot de passe bien complexe mais facile à retenir.

Ne reste plus qu'à, idéalement, trouver une petite règles pour modifier le mot de passe en fonction du site (en général son nom mais à vous d'innover), ça peut être d'inverser des lettres, en rajouter, etc … tant que la règle est simple et permet de retrouver le mot de passe lié au site depuis votre nouveau super mot de passe et le nom du site (par ex).

(Après c'est sûr qu'il y a aussi la responsabilité des hébergeurs … tu penses vraiment que je devrais bump jusqu'à 500 caractères autorisés ?)


(Ah, j'aime bien la méthode de Tookdrums aussi :D je vais la rajouter à mon article, merci l'ami !)

gravatar
Stephane a dit :

"Oh, et au passage : un mot de passe comme « BonjourChevalMaison123 » est plus fort que ça « Cfgt67#% ». Ce qui compte c’est évidemment la complexité, mais surtout la longueur… En prime le premier est bien plus facile à retenir."

C'est complètement faux!!!

Lorsque je fais une attaque par dictionnaire, la complexité du mot de passe "BonjourChevalMaison123" est de l'ordre d'un mot de passe de 6 caractères. C'est vrai uniquement si l'attaquant essaye uniquement de faire une attaque par force brute.

gravatar
Le Hollandais Volant a dit :

@Stephane : Ici tu pars du principe que tu sais que le mot de passe contient 3 mots et 3 chiffres. En réalité on ne sait pas tout ça.
Je peux aussi ajouter une majuscule n’importe où dans BonjourChevalMaison123, et l’attaque ne marche plus du tout, idem pour une espace : le mot de passe sera fort car long mais peu simple à cracker.

gravatar
YP a dit :

Comme GoustiFruit j'utilise lastpass avec une longue passphrase, avantages:
- cryptage/décryptage aes en local (http://fr.wikipedia.org/wiki/Advanced_Encryption_Standard) donc il n'y a aucune données en clair envoyées au site.
- génère des pass du style "Atq&Sf@aD9Yj3wQ" (longueur, chiffres, caractères spéciaux optionnels)
- sauvegarde/rempli les formulaire automatiquement (si on le désire)
- permet de trier les pass par groupe, sites web, ajout de notes
- import/export en csv
- Keepass (ou KeepassX? je ne sais plus) peut les importer si je veux les avoir avec moi sur une clef usb.
- support et synchro linux/mac/win/android, firefox/chromium/opera/safari/etc

http://lastpass.com/

Franchement, je ne peux qu'en recommander l'utilisation. Avant j'avais tout dans un txt crypté, des centaines de pass différents, rechercher, copier/coller, etc... maintenant si je veux me logger sur un site c'est au pire en deux clicks si je ne l'ai pas mis en automatique. et que ce soit synchro sur mes différentes machines et mon gsm ce n'est que du bonheur...

Un brin parano, je ne mettrais pas mes coordonées banquaire ou ce genre d'informations dedans, mais pour tous les sites web qui exigent un login/pass et où je n'ai rien sur bugmenot, c'est bon assez.

gravatar
Kevin a dit :

Et qu'on me vire surtout ces satanées questions "secrètes" !

N'importe quelle personne qui te connaît un tant soit peut bien arrive aisément à retrouver la réponse. Ou même une personne mal intentionnée qui procède à quelques recherches sur le net ou à coup de "social engineering" !

Bien sûr, on peut mettre à la rigueur une réponse bidon, mais on risque de ne plus retrouver son mot de passe le jour où on en aura besoin...

gravatar
JeromeJ a dit :

@Kevin : Les questions secrètes devraient être traitée comme un second mot de passe de secours (et donc ne pas répondre à la question posée).

gravatar
Gilles a dit :

Moi je milite pour choisir mon mot de passe.
Même avec un seul caractère.
Bah oui, c’est aussi ça la liberté, merci de me laisser faire ce que je veux.
Ensuite j'assume les risques.

cf URL de ce comm ;)

gravatar
JM a dit :

@Allchimik @Le Hollandais Volant @JeromeJ @Stephane :

La méthode ne compte pas, et je ne suis pas d'accord sur la comparaison du mot de passe "BonjourChevalMaison123" par rapport à "Cfgt67#%" qui pour moi font environ 18 bits (selon xkcd, 43, mais ces mots très communs ne feront jamais 11 bits chacuns, et "123" est assez bof) et 33 bits d'entropie pour le deuxième.

Dans le deuxième tu n'autorises pas le mélange : "majuscule, puis minuscules, puis chiffres, puis caractères spéciaux". Si jamais tu l'autorisais, on monterait à 50 bits d'entropie, ce qui est plus que suffisant aujourd'hui.

Le comic d'XKCD est drôle, mais il est très déroutant et engendre des confusions. Je donne plus de détails ici : https://gist.github.com/jmfork/b1312d6f8a879b5a035d .

gravatar
Alain Ternaute a dit :

Le Hollandais Volant à écrit :

Ensuite il faudrait aussi botter le cul aux webmasters de sites sensibles qui n’ont pas le chiffrement SSL (le https quoi)

Avant je rigolais quand je lisais ce genre de phrase. Genre : y-a que des amateurs qui font ce genre de bourde.
... Jusqu'à ce que je veuille rectifier une réservation sur le site de la chaîne d'hôtels (ultra-connue) Campanile : comme ID, il est demandé le n° de carte bleue en HTTP !!!

Qui dit mieux ?! :D

gravatar
Gilles a dit :

On dirait du SPAM lol
C'est quoi ton antispam Timo ?
Pas de ProjectHoneypot ou StopSpamForum ?

gravatar
Kalli a dit :

@Alain Ternaute :
Un mot de passe comme "BonjourChevalMaison123" est extrêmement dur à cracker, que se soit en bruteforce (22 caractères alphanumériques avec majuscules --> (26+26+10)^22) ou en attaque avec dictionnaire (combiner plusieurs mots augmente de façon incroyable la difficulté de les combiner correctement).

Les commentaires sont fermés pour cet article