• Bien choisir ses phrases de passe

    Par divarvel dans Divers le 30 Juin 2008 à 14:43
    Bien choisir ses phrases de passe

    Les mots de passe trop faciles à deviner sont le fléau pour tout système que l'on veut sécuriser. Il est totalement inutile d'employer les techniques d'encryptage les plus avancées si le mot (ou la phrase) de passe peut se trouver trop simplement. Une chaîne est aussi faible que le plus faible de ses maillons. Bien souvent, ce maillon faible, c'est Laurence Boccolini (désolé...) le mot de passe (la vulnérabilité de WPA-PSK est un bon exemple). La qualité principale d'un mot de passe est sa complexité. Vient ensuite la praticité (et contrairement à ce que l'on pourrait penser ces deux exigences ne sont pas forcément contraires). Je vous livre deux trois conseils que j'ai pu glaner en me baladant sur le Web.

    Entropie maximale et Facilité à retenir

    Je ne saurais que vous conseiller d'aller lire cet article : The usability of passwords by Thomas Baekdal, très bien foutu, et agréable à lire de surcroît.
    Pour les anglophobes, il y est dit (et montré) que choisir un mot commun ou courant comme mot de passe est totalement idiot, que choisir un mot de passe du genre "sfJyT&(-Hgg76d" est assez sécuritaire, mais qu'étonnamment, "this is fun" est plus dur à casser que "sfJyT&(-Hgg76d".

    Grand nombre de mots de passe

    Je ne compte pas retenir un mot de passe par service, l'idée est donc de décliner quelques mots de passe sécurisés en plusieurs dizaines, facilement retrouvables à partir des mots de passe originaux, et avec l'aide éventuelle d'un index, mais ne permettant pas de deviner les autres. Certains se construisent un préfixe sécurisé qu'ils retiennent, et y adjoignent un suffixe propre à chaque service, soit le nom du service lui même, soit un numéro qu'ils peuvent noter dans une liste. D'autres créent un mot de passe sécurisé par service un tant soit peu critique, et un mot de passe plus simple leur servant à tous les autres services. Ces deux méthodes présentent des petits défauts. Pour la première l'utilisation systématique du même préfixe sur tous les services les met à la merci d'un administrateur peu scrupuleux, et ce pour tous les services. La deuxième méthode laisse la possibilité de se faire pirater tous les services "secondaires"

    Ma méthode

    J'ai fait un mix des deux : je me suis créé un set d'une dizaine de mots de passe sécurisés que je combine, je n'ai qu'à retenir lesquels je choisis quand je forme la combinaison. Ainsi, la liste de combinaisons est assez facile à retenir, je peux me permettre de la noter puisqu'elle est inutile sans les mots de passe, et enfin la possession d'un de mes mots de passe ne suffit pas pour déterminer les autres. Bingo ! (C'est un peu tordu, mais efficace)

    Et vous, vous faites quoi pour gérer vos mots de passe ?

    « Quel avenir pour internet ? Partie 3 - L'avenir du WebUbuntu8.04 sur EEE »

    Tags Tags : , ,

  • Commentaires

    1
    TheGodFather
    Lundi 30 Juin 2008 à 18:21
    Moi, j'ai un mot de passe différent selon la sensibilité des données que je veux protéger.
    Pour toutes mes données non sensibles (mot de passe que je donne pour m'inscrire à un service, un site web - surtout que je sais que certains webmasters ont accès aux mots de passe) j'utilise un certain mot de passe.
    Pour mes données plus sensibles, j'utilise un autre mot de passe construit à partir du premier, mais beaucoup plus solide et long.
    Pour les données que je veux à tout prix garder, j'ai choisi un autre mot de passe complètement.

    Au final, je n'ai que trois mots de passe à retenir (environ). Évidemment, ils ne sont notés nul part.

    Mais si quelqu'un arrive à trouver un mot de passe à partir d'un site où je me suis inscrit ou quelque chose du genre, il n'aura pas libre-service dans mes informations... Je peux aussi détruire les comptes auxquels le malfaiteur a eu accès sans avoir de vrais pertes.

    Je base ma technique sur le fait que plus une donnée est importante, plus il est difficile de trouver le code pour y accéder. C'est peut-être pas la meilleur idée, mais je m'y suis habitué et je n'ai jamais eu de problèmes. De plus, je peux vivre avec l'idées que certaines personnes puissent savoir mon mot de passe de base sans problème. En cas de besoin, quelqu'un peut se connecter à mon compte si je lui demande, et je ne met pas mes informations en danger.
    2
    divarvel Profil de divarvel
    Lundi 30 Juin 2008 à 18:58
    divarvel
    Je faisais ça avant, un mot de passe bidon pour les sites pas critiques, un mot de passe complexe pour les mails, et une phrase de passe pour mes données, ma clé PGP... etc

    3
    gpzmobile
    Mardi 1er Juillet 2008 à 00:08
    C'est marrant pour retrouver des mots de passe on en reviendrait à reconstruire un système mnémo-crypto-technico-graphique permettant de reconstruire une liste de mots de passe de manière simple.


    A quand les bons vieux livres de code manuscrits qu'utilisaient les espions à l'époque de nos grands-père ? ... lol
    4
    divarvel Profil de divarvel
    Mardi 1er Juillet 2008 à 01:21
    divarvel
    Ça vaut toujours mieux que le post-it avec la liste de mots de passe...
    5
    TheGodFather
    Mardi 1er Juillet 2008 à 09:30
    Le mieux reste quand même d'avoir un mot de passe de 12 kilomètres de long, alternant les chiffres, lettres (minuscules et majuscules), les caractères spéciaux et les espaces.

    Difficile à retenir au début, mais j'imagine qu'on s'habitue.

    Impossible à trouver, difficile à décrypter. C'est l'idéal.
    6
    divarvel Profil de divarvel
    Mardi 1er Juillet 2008 à 10:12
    divarvel
    C'est le cas de ma phrase de passe pour PGP, je ne sais toujours pas comment j'ai fait pour m'en souvenir ^^
    7
    WhiteBear
    Mercredi 2 Juillet 2008 à 13:44
    Moi une méthode que je trouve efficace c'est la technique de la phrase:
    tu prend la premiere lettre du debut de chaque mot et la ponctuation aussi
    Exemple:
    Quel est ce bruit que j'entend au loin?
    Qecbqjeal?
    Facile a retenir, pas besoin de le noter et en plus assez securisé.
    8
    Godefroy Profil de Godefroy
    Mercredi 2 Juillet 2008 à 13:45
    Godefroy
    Je fais un peu comme TheGodFather, sauf que j'utilise une quinzaine de mots de passe XD
    Ils ne sont pas très compliqués, mais on ne peut pas les casser sans brute-force, et comme un brute-force est inutilisable sur un site web (trop lent), je pense qu'il n'y a pas de risque ^^
    (Pas la peine d'essayer de casser mes pass ssh ou mysql, ils sont assez longs pour qu'un brute-force y passe quelques millions d'années d'après mes calculs)
    9
    divarvel Profil de divarvel
    Mercredi 2 Juillet 2008 à 14:08
    divarvel
    @WhiteBear Yep, après faut retenir précisément la phrase, on a parfois tendance à changer la tournure.
    10
    WhiteBear
    Jeudi 3 Juillet 2008 à 12:24
    Changer la tournure, changer la tournure, fait pas etre c** non plus....

    Si tu prend une phrase pour créé un MdP tu prend pas le premier truc qui te tombe sous la main quand même..
    En se qui concerne le crackage la recupération de mot de passe, le plus rapide reste les rainbow tables, bon tu generes une bonne rainbow table de 60Go en 4 mois, mais après tu crack n'importe quel mots de passe de 10 caractère alpha numerique symbolique en  5-10 minutes...
    Suivre le flux RSS des commentaires de cet article


    Ajouter un commentaire

    Nom / Pseudo :

    E-mail (facultatif) :

    Site Web (facultatif) :

    Commentaire :