Les mots de passe

Publié par Éric le

Un mot de passe doit être compliqué

Mais ça veut dire quoi compliqué ?

Est-ce que l33t$pe4k est plus compliqué que ChevalPoneyÉcureuil ? ou encore que : Ilétaitunefois_unefillederoi_aucoeurpleindetristesse ? En tout cas, il y en a qui sont plus facile à retenir !

Si on regarde les différentes attaques, on observe classiquement :

  • attaque par mots de passe couramment utilisés : genre 123456 ou 000000 ou encore password… et le pire, c’est que ça marche encore !
  • attaque par dictionnaire : on teste tous les mots des dictionnaires dans différentes langues
  • attaque par brute force : on essaye les combinaisons de caractères : aa, ab, acaaa, aab, aacaaaa, aaaab, aaaac… en prenant en compte tous les caractères
  • attaque par social engineering : après enquête sur vous (c’est fou ce que les gens laissent sur les différents réseaux sociaux !), ou même en allant fouiller les poubelles de votre immeuble, on recherche les mots de passes que vous pourriez utiliser : nom du chien, de la copine, des gosses, dates de naissances, de mariage
mdp

La complexité est plus faible que la longueur

Aujourd’hui, les ordinateurs faisant tellement de calculs en une seconde, que l’idée est de ralentir l’accès : le plus important c’est la longueur du mot de passe !

Les mots de passes doivent être différents sur chaque site

Très souvent, un utilisateur possède un super mot de passe (ou au mieux 3 ou 4) et le réutilise de partout.

Admettons que je crée un site pirate avec des super promesses de téléchargements, à condition que vous inscriviez (email + mdp), quel pourcentage de change ai-je que le mot de passe me permette aussi l’accès au mail ?

Et maintenant, le super mot de passe que vous avez mis sur le site super important pour bloquer l’accès aux méchants… est-ce que je ne peux pas demander un truc genre « mot de passe oublié » qui me renvoi un mail pour le réinitialiser ? Du moins, à celui qui a accès au mail ?

Et je ne parle pas des sites qui stockent en clair votre mot de passe dans leur base de données, n’est-ce pas Viapress ? (cf. TF1 qui s’est fait pirater en début d’année : 1,9 millions de données envolées). Un éditeur n’a pas à connaitre votre mot de passe, alors s’il vous le renvoi par mail lors de votre inscription, c’est déjà qu’il a tout faut… Ha ben si, j’en ai parlé…

Pour remplacer votre mémoire

Personnellement, j’utilise le logiciel Keepass qui crée et mémorise les mots de passe à ma place.

Le tout est enregistré dans un fichier encodé avec un accès protégé par un… mot de passe : mais un seul à retenir, ça peut être un super balaise (n’oubliez pas, c’est la taille qui compte) !

Les mots de passe c’est pas tout !

Abusez aussi des doubles authentifications : un mot de passe + un contrôle de possession (fichier, autre compte, matériel…).

Pour Keepass par exemple, vous pouvez faire en sorte qu’il faille le super mot de passe pour ouvrir la base, et en plus un petit fichier que vous stockez sur un disque ou une clé USB : il faudra impérativement les deux pour ouvrir votre base.

Ou encore Google Authenticator par exemple : il faut le mot de passe + un numéro généré toutes les minutes sur votre téléphone (votre smartphone étant lui même protégé par un mot de passe évidemment).

Catégories : InformatiqueSécurité
Étiquettes :

0 commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

J’accepte les conditions et la politique de confidentialité

Articles similaires

Informatique

Calendrier perpétuel

Vous trouverez ici un petit fichier Excel qui génère un calendrier perpétuel à ma sauce. Les WE et les jours fériés sont grisés (inclus pont de l’Ascension et Lundi de Pentecôtes, mais on peut les Lire la suite…

Matériel

Tester les composants d’un PC

Il faut parfois tester les composants d’un PC pour essayer de comprendre pourquoi il plante… Voici une liste exhaustive de logiciels permettant ces quelques tests, certains sont disponibles en version « portable ». Processeur : Lire la suite…

Moodle

Comment les tests en ligne peuvent aider l’apprenant ?

En lien avec l’article sur les évaluations avec Moodle, prise de notes sur une vidéo de Tim Hunt et EduNET@LEARN à propos de l’usage des tests de type Moodle en utilisant un prisme plus large Lire la suite…