Un mot de passe sûr pour vos sites

[André Jorge]

Bonjour.

La semaine dernière, je suis tombé sur un vieux compte de 2008 qui avait été piraté car le mot de passe que le membre avait choisi était trop facile à trouver... Résultat : une grande quantité de spam avait été publiée sur le forum.

 

Je vous propose ici une méthode pour vous trouver un mot de passe sûr et éviter de vous faire pirater votre compte, sur EDP ou ailleurs.

 

Le principe est de combiner :

- la première lettre des mots d'une phrase ou expression facile à retenir (et peu connue) : nom de ville, proverbe court, etc.

- d'utiliser des majuscules et des minuscules,

- des chiffres,

- des caractères tels que &, (, }, ], #.

et de toujours les mettre dans le même ordre pour faciliter leur mémorisation ou les retrouver facilement si on les oublie.

 

Par exemple :

- en prenant les premières lettres de Saint-Denis (ville de la Réunion) et que je les mets en minuscules : sd

- les chiffres 4 19 (fin code postal de la ville) : 419

- les caractères  ( et ]

- le jour (04) et le mois (11) de la date de naissance de quelqu'un que je connais très bien (ça peut être aussi une date importante dans l'histoire de France, etc.).

- les lettres majuscules du site que je visite : EDP

Je combine le tout, dans un ordre déterminé à l'avance (toujours le même pour tous les mots de passe) et qui est le suivant :

Citation

jour de naissance, puis le caractère (, puis des initiales du nom d'une ville, puis 419, puis le caractère ], puis les lettres majuscules initiales du site web que je visite, puis le mois de naissance.

et j'obtiens :

Citation

04(sd419]EDP11

 

Si je suis le même principe pour un site web d'informatique (Giga Réunion Informatique) dont le magasin de trouve dans la ville de l'Etang-Salé-Les-hauts, par exemple, cela me donnera :

04(eslh419]GRI11

Le mois de naissance 04, le caractère (, les initiales en minuscule du nom de la ville où est le magasin eslh, les trois derniers chiffres du code postal b, le caractère ], les initiales en majuscules du nom du site GRI et le mois de naissance 11.

 

Quelqu'un qui ne sait pas comment vous procédez pour créer vos mots de passe n'a aucune chance de les deviner. A vous maintenant de trouver votre propre méthode pour vous fabriquer des mots de passe sûr.

 

En ce qui concerne EDP, les mots de passe que j'utilise sont bien bien plus complexes, mais il sont constitué selon une logique qui fait que je n'ai aucune difficulté à les mémoriser.  

[Argon]

[chableu]

[kirimilia]

en francais ca donne quoi?

[André Jorge]

Ça donne :

Citation

Au bout de 20 années d'efforts, nous avons réussi à former tout le monde à utiliser des mots de passe difficiles à retenir pour les humains, mais faciles à deviner pour des ordinateurs.

Mais il ne faut surtout pas croire qu'un mot de passe sécurisé n'est pas efficace !

S'il est vrai qu'il existe des programmes et virus, permettant de retrouver les divers mots de passe (session et autres) d'un ordinateur, encore faudrait-il que j'accepte de filer mon ordinateur/disque dur a celui qui possède ce programme, ou que j'active le virus que l'on vient de m'envoyer, ou encore que j'accepte de devenir une victime de phishing... ce qui n'arrivera jamais.

Et si ces programmes existent, il y a une certitude : l'être humain, celui qui voudrait entrer dans votre ordinateur avec ses moyens humains, lui n'a aucune chance de le faire si votre mot de passe est du genre 04(eslh419]GRI11. 

 

Ensuite, pour ce qui est des sites web, ce genre de pratique ne marchera pas... Il faudrait que le pirate accède à la base de donnée (bonne chance !), et ensuite, en imaginant qu'il y arrive, il faudrait qu'il puisse décrypter le mot de passe qui est haché, ce qui sera d'autant plus difficile et long que le mot de passe est complexe.

Par ailleurs, s'il essaie plusieurs mots de passe pour accéder aux services web/du serveur, il se fera bannir au bout de 3 ou 5 tentatives infructueuses, selon le service concerné et sa configuration, pour peu que le nécessaire ait été fait par l'administrateur du serveur.

 

En fait, il apparaît qu'à l'origine des piratages réussis, il y a surtout :

- des identifiants de connexion et mots de passe tout ce qu'il y a de plus simples et faciles à deviner, les premiers qu'on teste comme 12345 ou encore pseudo=david et mot de passe=david.

- des intrusions dans les locaux, pour obtenir des informations, voler (ou installer !) du matériel et des fichiers.

- des mots de passe écrits sur papier, avec parfois la feuille collée au mur !

 

 

Citation

 

Une étude de 2013 de Dashlane portant sur 100 sites de e-commerce français a révélé que 87% des acteurs de l’e-commerce acceptent encore des mots de passe "basiques" comme "123456", "azerty" ou "motdepasse", qui sont les premiers que les pirates informatiques vont essayer de taper.

17 % des internautes utilisent leur date de naissance.

 

 

https://www.cnil.fr/fr/construire-un-mot-de-passe-sur-et-gerer-la-liste-de-ses-codes-dacces

 

Pour résumer, le piratage réussit quand l'utilisateur se contente du degré 0 en sécurité.

[Argon]

Il y a 13 heures, kirimilia a dit :

en francais ca donne quoi?

Il compare deux stratégies de création de password :

- prendre un mot rare, comme Troubadour, en remplaçant un des o par un zéro et une lettre par un symbole et calcule 1/ que c'est facile à deviner par attaque systématique (3 jours à 1000 tentatives par seconde) et 2/ difficile à mémoriser ("il y avait un symbole... c'était quoi ?)

- accoler quatre mots arbitraires mais communs, comme "correct/cheval/pile/poignée" : 1/ plus long, donc bien plus solide (550 ans pour la même attaque !) ; 2/ facile à mémoriser en faisant une phrase ("c'est une pile à poignée, dit le cheval. correct !)

Il y a 4 heures, André Jorge a dit :

En fait, il apparaît qu'à l'origine des piratages réussis, il y a surtout :

- des identifiants de connexion et mots de passe tout ce qu'il y a de plus simples et faciles à deviner, les premiers qu'on teste comme 12345 ou encore pseudo=david et mot de passe=david.

- des intrusions dans les locaux, pour obtenir des informations, voler (ou installer !) du matériel et des fichiers.

- des mots de passe écrits sur papier, avec parfois la feuille collée au mur !

... et des backdoors !

Parmi les trucs bizarres que j'ai faits pour financer mes études, j'ai été opérateur de nuit sur le gros ordinateur (UNIVAC, pour les amateurs...) d'une fac. Comme je m'ennuyais, j'en avais lu la doc technique et appris l'OS profond, et j'ai bien sûr constaté que, malgré tout le battage sur la sécurité... personne n'avait pris la  peine de changer les passwords constructeur sur les niveaux les plus profonds. N'importe qui avec le même niveau de compétence rudimentaire (et la doc) aurait pu en prendre totalement possession, changer les autorisations des uns et des autres, sans que personne s'en aperçoive, ni ne puisse rien y faire sans retour chez le constructeur.

Il y a 4 heures, André Jorge a dit :

Pour résumer, le piratage réussit quand l'utilisateur se contente du degré 0 en sécurité.

 Yep.

[Torque]

il y a 9 minutes, Argon a dit :

 accoler quatre mots arbitraires, comme "correct/cheval/pile/poignée" : 1/ plus long, donc bien plus solide (550 ans pour la même attaque !) ; 2/ facile à mémoriser en faisant une phrase ("c'est une pile à poignée, dit le cheval. correct !)

N'empêche, dans 550 ans on aura oublié le code vu que plus rien n'aura de poignée, les chevaux auront disparu, ainsi que les piles, et le mot "correct" ne correspondra plus à rien. De plus, le pirate qui aura commencé à chercher le code 550 ans plus tôt, l'aura trouvé et il pourrira l'ordi et il faudra en acheter un neuf et ....ça fait des frais tout ça..

[Moustache]

Par ici, un article sur les mots de passe les plus utilisés, et qui propose 5 outils pour "gérer" ses mots de passe : https://goo.gl/iD98Zh
Et par là, un autre dossier intéressant sur le sujet : http://www.clubic.com/internet/article-712101-1-mots-passe-conseils-securite.html
Ayant testé quelques logiciels de gestion de mots de passe, je n'en ai jamais trouvé de simples, faciles d'utilisation, qui ne soient pas des usines à gaz. Depuis des années, j'utilise LockNote que je trouve particulièrement pratique, aussi simple à utiliser qu'un fichier .TXT

Citation

LockNote est votre logiciel si jamais vous cherchez un endroit sécurisé pour vos informations sensibles.
Portable, il possède un système pour crypter et décrypter vos informations.
Principales fonctionnalités :
- Stockage : LockNote vous propose de stocker vos données confidentielles indépendamment de leur nombre. Ce logiciel peut être utilisé pour stocker n’importe quel type d’information sensible, que ce soit des numéros de série, mots de passe, numéros de téléphone et même des notes quotidiennes.
- Sécurité : LockNote vous offre un espace de stockage totalement sécurisé. Il utilise la récente technologie d’encryptage AES 256 bits et vous propose également d’ajouter votre mot de passe personnel afin de verrouiller l’accès à vos données.
- Facile d’utilisation : la manipulation de ce logiciel n’exige aucun effort. Par exemple, il suffit de glisser vos notes sur l’interface et elles seront encryptées automatiquement. Une fois l’application fermée, le verrouillage est aussi activé immédiatement.
- Portable : les fichiers cryptés peuvent être transférés vers des supports amovibles comme la clé USB ou l’iPod pour être lus n’importe où. Néanmoins, pour pouvoir les identifier, il vous faut créer plusieurs copies de LockNote et de leur attribuer des noms différents comme personnelle.exe, professionnelle.exe, banque.exe ou autres encore.

http://www.commentcamarche.net/download/telecharger-34075886-steganos-locknote
site officiel : https://sourceforge.net/projects/locknote/

[chableu]

Il y a 9 heures, Argon a dit :

Parmi les trucs bizarres que j'ai faits pour financer mes études, j'ai été opérateur de nuit sur le gros ordinateur (UNIVAC, pour les amateurs...) d'une fac. Comme je m'ennuyais, j'en avais lu la doc technique et appris l'OS profond, et j'ai bien sûr constaté que, malgré tout le battage sur la sécurité... personne n'avait pris la  peine de changer les passwords constructeur sur les niveaux les plus profonds. N'importe qui avec le même niveau de compétence rudimentaire (et la doc) aurait pu en prendre totalement possession, changer les autorisations des uns et des autres, sans que personne s'en aperçoive, ni ne puisse rien y faire sans retour chez le constructeur.

ça m'épate !!!!!!!!!!!

[alainl]

"Le moi de naissance 04"

Quel Beau Lapsus Ortografus André Jorge ...

Bon ... je rigole eh !!!

C'est quand même un sujet sérieux ... Mais heureusement qu'il y a maintenant sur tous les sites la possibilité de récupérer ou de changer son mot de passe en se le faisant renvoyer par mél  ... sinon moi , y'aurait bien longtemps que je ne pourrais plus accéder ... par exemple au Forum EDP    ...      ( Ça m'épate la synchro des smileys ... j'avais encore jamais remarqué ... Un rien m'amuse en vieillissant ... = )

Évidemment, il faut pas se faire pirater sa boite mail ...

Parce que là, sinon, ça ne sert à rien d'avoir choisi un mot de passe compliqué ...

@t

alain