Gestion de vos mots de passe

BlaBla
121

Sur la « recette » du mot de passe, un bon moyen est de se pencher sur l’organisme en charge de la gestion d’incidents au sein des ministères / acteurs économiques majeurs (l’ANSSI donc, non je n’ai pas d’actions chez eux :smile:)

Pour vous faire une idée de vos mots de passe, vous avez sur cette page une fonction permettant de calculer assez rapidement la force de votre mot de passe / passphrase. Où l’on voit que l’on peut adapter la longueur en fonction de la complexité et inversement. Et quelques règles de bon sens dispo ailleurs.

C’est un discours qui s’adresse à des entités effectivement ciblées par des acteurs malveillants, donc pour un utilisateur lambda qui ne présente pas d’intérêt particulier on peut considérer que c’est robuste. La règle numéro 1 à mon sens est de ne jamais utiliser deux fois un mot de passe (ou alors sur des comptes pouvant être corrompus à tout instant sans préjudice), car vous n’êtes jamais à l’abri d’une faille d’un site qui stocke soit le mot de passe en clair soit le hash sans élément aléatoire (hash + sel).

Fonctionner avec une passphrase unique + acronyme facilement identifiable est un peu dangereux je trouve. C’est penser que l’on sera plus rapide qu’un groupe de personne qui en vit, et qui a donc depuis longtemps automatisé les requêtes sur une liste de sites prédéterminés (gmail, facebook, linkedin, site de rencontre, etc.) avec changement du mot de passe dans la minute.

Et effectivement changer régulièrement (6 mois / 1 an) ne peux pas faire de mal. Aussi long soit-il un mot de passe ne peux rien contre n’importe quel poste un peu trop exposé :

  • ordi de l’entreprise mal sécurisée (coucou le keylogger) si vous consultez vos mail perso depuis le bureau,

  • ordi de la bibli du coin qui garde en mémoire les mots de passe tapés,

  • réseau « free wifi » ou « macdo » d’un type bricoleur et joueur (il y avait un excellent dossier de Canard PC hardware sur le sujet, à base de fausse antenne « free wifi » à la défense et de récupération de plein de données intéressantes très facilement…),

  • ordi dans tout lieu possible sous l’oeil d’une caméra (c’est tout bête, mais il suffit d’une fois. Tapez en fermant l’écran si vous voulez être certain).

122

J’utilise évidement pas une seule passphrase mais ouais, c’est pas top. Après, les mots de passe, c’est super chiant hein :smile:

LoneWolf
C’est les cordonniers qui sont les plus mal chaussés :wink:

123

Le problème de ces fonctions de calcul c’est qu’en ne prenant en compte que la longueur et les jeux de caractères, on oublie la composition comme l’utilisation de mots du dictionnaire ou de dates…
si je prends comme mdp Jean-Pierre24/12/1967 , on fait difficilement pire, pourtant cet algo va le qualifier comme très fort.

124

Effectivement, l’outil de calcul est à compléter avec les règles plus « sociales » décrites dans le second lien, à savoir notamment la seconde : « choisissez un mot de passe qui n’a pas de lien avec vous ».

Mais plus largement on pourrait aussi rajouter « aucun mot d’un dictionnaire d’une quelconque langue ni aucune date »… et se tenir à jour des failles de sécurité pour s’assurer qu’on n’est pas dans le top ten des mots de passe du moment :stuck_out_tongue:

125

ha oui si pour toi, l’essentiel est la partie mobile, KeePass est loin derrière 1Password. Apres, j’avais pas fait gaffe qu’il fallait .net pour keepass, vu que je suis sous win et qu’il est installé par defaut.

Par contre, il faut bien prendre la version 2.x de keepass. La 1.x est vraiment old. Après, tu files pas ta vie à KeePass : c’est comme 1Password, c’est un fichier coffre fort. Donc tout ce que tu risques, c’est que le soft ne soit plus suivi et devoir migrer sur autre chose.

Tant mieux :slight_smile:

126

Pour ceux qui utilisent un gestionnaire de mdp. Est-ce que vous utilisez toujours le même compte mail pour créer vos comptes sur les différents sites/forums ?

En imaginant par exemple se faire piquer son téléphone portable avec l’appli pour lire les mails, est-ce qu’il n’y a pas un risque de se faire changer les mots de passe de ses comptes le temps de changer son mdp du compte mail ?

127

En règle générale, c’est une très mauvaise idée de laisser son portable déverrouillé en permanence.

128

C’est pour ca qu’il est impératif d’utiliser un service d’email avec ‹ Two-factor authentication › (je suis preneur si quelqu’un connait une traduction en français pas trop bancale de cette expression).

[edit]Il semblerait qu’ « authentification à double facteur » soit souvent utilisé[/edit]

129

Ton message a été pour moi l’occasion de découvrir que Fastmail gérait le Two-factor auth.
(oui c’est logique j’aurais du vérifier ça il y a bien longtemps)

Je m’en vais configurer tout ça ce soir.

130

Authentification forte est plus répandu en français, qui correspond à de l’authentification à double facteur.

Sinon oui le téléphone sans verrouillage c’est mal :slight_smile:

Pour les téléphones android perdus il y a Android Device Manager - Google qui permet de localiser, verrouiller et même wiper le téléphone à distance.

131

Pareil. J’ai renomme le fichier et le lendemain ca marchait plus, je ne sais pas si c’est lie, j’imagine que non mais bon…

132

J’ai jamais eu ce problème en 5 ans. tu as regardés sur le site du mec ?
Vous etes bien en v2.30 ? avec des kdbx ?

133

Oui 2.30, j’ai rien regarde sur le site, j’ai juste refais une bdd et la ca marche… Zarb…

134

Ma femme est au guichet de la poste, je peux te dire que parmi les innombrables personnes qui ont perdu leur portables là bas, seuls ceux qui ont laissé leur portables déverrouillés l’ont récupéré (de ce qu’elle sait, une fois remis à la police elle n’a pas pu me donner la suite de l’histoire).

135

Sur les tels Android (pour les autres je ne sais pas), tu peux afficher un message sur le lock screen. Comme un e-mail ou un autre numéro à contacter si quelqu’un trouve le téléphone.

Tu peux donc le laisser locké en gardant un espoir de le retrouver le jour où tu le perds.

136

Ca depend du site : j’ai 4/5 mails en fonction (et un 10aine d’alias, merci FastMail).

Yep, c’est même Apple qui a inventé le truc à la base, je dis ça je dis rien (comme le lock, le hardlock et le remote wipe, de base dans le système… :x )

137

@Cafeine : Y’a un truc que je comprends pas et qui est vraiment relou avec 1Password : comment je fais pour changer un vieux mot de passe avec un nouveau généré?

A chaque fois, je me connecte avec le vieux, il me propose de sauvegarder. Là je le fais (je l’ai aussi ignoré, pareil), ensuite je vais dans changement de mot de passe sur le site, je génère avec le plugin chrome, enregistrer, ça a l’air de marcher, et là, il ne remplace pas le vieux mot de passe par le nouveau généré dans le coffre. Du coup, je me suis déjà bloqué deux comptes parce que le coffre contenait le vieux pass et que je n’avais plus de trace du généré… RELOUD !

Comment on change de pass proprement?

138

Tu peux pas t’en empêcher hein. :wink:

1 « J'aime »
139

Ca dépend du site et de ta manip ET du browser. Perso déjà, je suis prudent, je copie le password généré. Ensuite généralement j’ai un popup « update » et basta. J’utilise plus Chrome depuis longtemps, sorry (le jour où Google arrêtera de faire de la merde avec le rendering de fonts, Y COMPRIS les leurs, on verra…)

Si tu veux la faire safe, tu te génères un nouveau password, tu vas sur le site, tu changes le password. Ensuite selon ce qui est le plus rapide pour toi / le site : logout / login avec le nouveau truc (là t’as le popup update sauf avec les sites ultra merdiques genre… net-entreprise.fr, gg les cons. :confused: ) ou sinon tu édites direct via le plugin le password en question.

Tu savais pas, moi je sais, j’en profite :exclamation:

140

Je n’ai JAMAIS la popup d’update.