Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Bien choisir et mémoriser ses mots de passe ?

Contenu sponsorisé avec passion par F-Secure

Les mots de passe sont une constituante essentielle de notre vie privée. Ils permettent de verrouiller l’accès à nos secrets pour les protéger des curieux. Mais choisir un bon mot de passe et surtout le retenir est quelque chose qui ne doit pas être pris à la légère.

La faiblesse de mots de passe

Connaissez-vous les 6 mots de passe utilisés les plus fréquemment dans le monde ? Vous allez voir, ce n’est pas très recherché…

  • password
  • 123456
  • 12345678
  • 1234
  • qwerty (ou azerty pour les Français)
  • 12345

Des mots de passe assez simple à deviner, qui sont pourtant encore la norme, tant les gens n’y prêtent pas attention.

Seulement, voilà… Un mot de passe, ça se devine ou ça se cracke. Pour ce qui est de deviner, les hackers n’ont pas eu à chercher loin… Avec des outils comme John The Ripper, et des listes de mots de plusieurs gigas (wordlist), il ne leur faudra que quelques secondes, voire minutes pour trouver un mot de passe simple.

Et si votre mot de passe ne fait pas partie de cette liste de mot, mais qu’il est court avec des caractères simples du genre « 23#aj », il ne faudra que quelques minutes pour le cracker avec une technique dite de bruteforce. Le bruteforce, ça consiste à trouver le sésame en testant toutes les combinaisons.

Par exemple :

  • 0001
  • 0002
  • 0003
  • aaaa
  • aaa1
  • aaa2
  • ….
  • aaab
  • aaac
  • aaad
  • ….

Et au bout d’un moment plus ou moins long, votre mot de passe ne sera plus un secret. Évidemment, plus les machines sont puissantes, moins elles mettent de temps pour tester toutes ces combinaisons. Les super ordinateurs de la NSA sont d’ailleurs connus pour être très efficaces sur le sujet ;-).

Si votre mot de passe est un mot qu’on trouve dans le dictionnaire, cela représentera environ 600 000 possibilités à tester. Autant dire pas grand-chose.

Après pour un mot de passe à 8 caractères, il faudra tester au maximum 100 000 000 de combinaisons si le mot de passe est constitué uniquement de chiffres, 208 827 064 576 combinaisons si c’est uniquement des lettres en minuscules. Et si c’est toutes les lettres (majuscules et minuscules + les chiffres) ce sera 218 340 105 584 896 combinaisons qu’il faudra tester.

Mais si ces chiffres sont impressionnants, les ordinateurs d’aujourd’hui sont capables de traiter ça très rapidement.

Sur la totalité des caractères ASCII, il fallait en 2010 environ :

  • 11 heures pour un mot de passe de 6 caractères
  • 6 semaines pour un mot de passe de 7 caractères
  • 5 mois pour un mot de passe de 8 caractères
  • 10 ans pour un mot de passe de 9 caractères

Évidemment, depuis 2010, la puissance des machines et les logiciels ont énormément évolué, donc ce temps s’est considérablement réduit.

 

Comment avoir un mot de passe solide ?

Vous l’aurez compris, l’erreur à éviter est de choisir un mot de passe trop court, trop simple à deviner ou un mot du dictionnaire.

Si les gens utilisent des mots de passe faibles, c’est surtout par manque d’imagination et surtout par paresse mentale. Pourtant, il est possible d’avoir des mots de passe difficilement violables et mémorisables grâce à 2 techniques.

La première technique la plus en vogue en ce moment est d’utiliser un gestionnaire de mot de passe. Le concept est simple : Vous n’avez qu’un mot de passe principal à retenir. Celui-ci permet de verrouiller un outil qui générera et retiendra les mots de passe pour vous.

Il existe de nombreux gestionnaires de mot de passe, mais ils utilisent tous une base de données solidement chiffrée qui contiendra tous vos mots de passe. La plupart proposent aussi des plugins pour les navigateurs, ce qui permet de remplir automatiquement les champs d’authentifications sur les sites web. C’est vraiment très pratique.

Voici quelques-uns de ces gestionnaires de mot de passe.

Il convient donc de choisir un mot de passe principal qui soit solide et mémorisable pour que vous puissiez déverrouiller votre base de mots de passe. Je vous explique comment faire après.

Screenshot 2016-04-29 09.01.52

Ensuite, en fonction du gestionnaire que vous utilisez (ici en photo, le gestionnaire de mot de passe de F-Secure), vous pouvez saisir ou enregistrer automatiquement vos identifiants, mots de passe et pour certains vos informations personnelles (nom, prénom, adresse…etc.), comptes bancaires, carte bleue…etc. afin de remplir automatiquement les formulaires.

Screenshot 2016-04-29 09.01.30

Une fonctionnalité très intéressante présente dans tous les gestionnaires de mot de passe, c’est la possibilité de générer des mots de passe de manière totalement aléatoire. Vous n’aurez plus à les retenir puisqu’ils seront conservés dans ce coffre fort numérique. Ainsi, vous pouvez vous lâcher sur la longueur et la complexité du mot de passe, car vous n’aurez pas à les retenir.

Screenshot 2016-04-29 09.01.17

Ce système ne présente que des avantages. Plus besoin de se souvenir de vos mots de passe et surtout, vous pouvez générer un mot de passe différent pour chaque site web que vous fréquentez. En cas de fuite de données, comme tout est chiffré de bout en bout, vos mots de passe ne seront jamais en clair dans la nature. Le seul risque avec ce genre d’outil c’est que vous donniez (volontairement ou non) à quelqu’un votre mot de passe principal.

Cela lui donnerait accès à l’ensemble de vos sites web et données personnelles. Mais il existe une technique baptisée la double authentification dont je vous parle juste après qui permet de limiter grandement le risque.

Comment retenir un mot de passe ?

La seconde technique, pour avoir des mots de passe costauds et surtout mémorisables, c’est de faire ce qu’on appelle des phrases de passe. Plutôt que de retenir quelque chose comme « A5g4&Po5@2 » ce qui n’est pas évident, il vaut mieux constituer une phrase complète que vous ne trouverez pas dans un livre ou dans une chanson, mais uniquement dans votre tête. Par exemple :

Ma loutre ne devinera jamais que le téléphone a mangé des frites au caramel bleu

Non, je vous assure, je n’ai rien fumé. Mais cette phrase est très longue, facilement mémorisable et impossible à cracker au moment où j’écris cet article.

Vous pouvez bien sûr la rendre encore plus complexe en y élargissant les caractères ASCII, ce qui augmentera encore la difficulté :

M4 loutr# ne deviner4 jamais que le t&l&phne a m@ngé des fr/tes au caram3l bleu

Il convient évidemment de ne jamais écrire ce mot de passe (encore moins sur un post-it collé sur l’écran ou sous votre clavier) ni le donner à quelqu’un (un collègue, un ami…etc.). Un mot de passe, ça reste personnel et uniquement dans sa tête.

L’idéal, c’est donc d’utiliser une phrase de passe comme mot de passe principal de votre gestionnaire de mot de passe, puis de générer des mots de passe complexes différents pour chacun des services en ligne (ou non) que vous utilisez.

La question secrète

La question secrète, c’est ce que vous demande un site web pour vous renvoyer un mot de passe oublié. Par exemple, le nom de jeune fille de votre mère, votre couleur préférée, le nom de votre animal de compagnie ou votre lieu de naissance.

Comme c’est le genre de choses facile à trouver si on vous connait un peu ou si on vous pose simplement la question et que vous y répondez naïvement, je vous invite plutôt à répondre un truc débile, mais dont vous vous souviendrez à chaque question secrète.

  • Quelle est votre couleur préférée : Andouillette
  • Nom de jeune fille de votre mère : Terminator
  • Nom de votre animal de compagnie : Grand-mère
  • Lieu de naissance : Ford Fiesta

 

L’authentification en 2 étapes

Ce processus est primordial. Il repose sur un principe simple… Pour vous autoriser l’accès à un service, il faut quelque chose que vous connaissez et quelque chose que vous possédez.

Par exemple, en plus de votre mot de passe, un service en ligne pourra vous envoyer un email ou un SMS contenant un code à taper. Il existe aussi des solutions hardware avec une clé USB de type Yubikey à insérer dans votre ordinateur ou des choses plus biométrique comme votre empreinte de pouce.

L’idée c’est donc de coupler ces 2 informations. Ainsi, en cas de vol de mot de passe par un cyber criminel, celui-ci ne lui sera d’aucune utilité s’il n’a pas aussi volé votre smartphone ou arraché votre pouce. 😉

La plupart des services en ligne et des gestionnaires de mot de passe proposent la double authentification et je vous invite vraiment à l’activer partout.

Conclusion

Finalement, gérer efficacement ses mots de passe et les retenir, ce n’est pas si compliqué que ça. Il suffit juste de s’y mettre en choisissant une phrase de passe qui restera gravée à jamais dans votre esprit, et vous reposer ensuite sur l’imagination débordante d’un générateur de mot de passe et la mémoire sans faille d’un gestionnaire de mots de passe.

C’est le moment d’aller changer votre mot passe, vous ne trouvez pas ?


Réponses notables

  1. Pour “Ma loutre ne devinera jamais que le téléphone a mangé des frites au caramel bleu”

    Même pas la peine de se faire chier à faire du l33t à la limite, le dico français c’est 100 000 mots ( aller, disons 30 000 usuels), soit 30000^15 pour cette phrase ; ~1^67 ~= 2^220 (si je me suis pas planté :P) soit bien au delà de la sécurité du point de vu crypto qui est à 2^128

    Par contre, conseiller un logiciel proprio tel que F-Secure pour mettre ses mots de passe, bof bof. KeePass !

  2. Bonjour,
    J’utilise également Keepass mais ce qui m’ennuie c’est que je n’ai l’accès aux mots de passe que depuis mon PC.
    Y aurait il un moyen d’y avoir accès depuis mon smartphone?

    Ou existe t-il un produit comme F-secure à héberger sois-même?

  3. Perso c’est hébergé sur un serveur WebDav en HTTPS. Comme le fichier est très petit au pire même en ADSL un Raspberry suffit comme serveur :slight_smile:

    @Adreqi La base est bien chiffrée, mais autant éviter de faire passer le fichier en clair sur le réseau => ftps ou sftp ou comme moi WebDav/HTTPS :slight_smile:

  4. Il y a une app android :slight_smile:

  5. Bonjour, votre méthode semble intéressante mais il me manque des éléments pour la mettre en place, pourriez-vous m’aider en me donnant plus de détails?
    Il me semble que, qui dit HTTPS dit achat de certificat c’est bien ça?

    Merci

  6. Comme Korben le dit, une passphrase c’est suffisant… pour l’instant. Mais des gens bossent sur des outils utilisant par exemple les chaînes de Markov pour casser les passphrases également. Evidemment ça ne marchera pas pour tout mais autant être prudents.

    Perso moi mon approche favorite c’est d’utiliser une passphrase et de mal orthographier l’un des mots. C’est simple à retenir et ça offre encore une meilleure protection :wink:

  7. zorg says:

    Le gros gros problème c’est qu’il y a des outils en ligne, pour cracker des “hash MD5” je suis tombé dessus après avoir lu un article.
    Donc un simple “hash md5” de ce type: 11f0fdccc652e3cd211b174ad3da7f79
    sera trouver en moins de 5s par un moteur
    j’ai fait plein de test le meilleur moyen pour que le moteur ne trouve pas

    c’est de mettre assez de caractères ascii du type:
    ’_!-

    un mot de passe pourrie est cracker facilement:
    t5e9rty72Hrjo

    un non crackable:
    t5’e_9r-ty72Hrj!o

  8. ralf says:

    Une technique à laquelle on ne pense jamais, car tombée en désuétude avec l’invention de l’imprimerie et carrément reléguée dans le musée des oubliettes avec l’avènement de l’ordinateur est la mémoire des palais (ou mémoire des lieux) inventée par Simonide dans l’antiquité. En gros, on visualise un lieu que l’on connait bien et on y dépose les choses (ou chiffres ou mots ou phrases) qu’on désire retenir. Ça a l’air compliqué, mais c’est incroyablement efficace et finalement assez simple. L’avantage, c’est que c’est inviolable (c’est dans ta tronche uniquement), et résistant à toute défaillance matérielle (excepté Alzheimer et la mort).

  9. Bonjour,
    J’ai toujours peur, avec les gestionnaires de mots de passe, d’un plantage de la machine. Comment fait-on, si on perd l’usage de la machine ?
    J’ai chez moi une liste de mes MdP, et j’en amène une copie quand je pars en voyage. Bien sûr je les planque loin de ma machine, mais je peux grâce à cette liste me connecter depuis une autre machine en cas de besoin.

  10. Pour la mettre en place : (cas avec un raspberry derrière une box, mais ça marche avec n’importe quel Linux)

    • Installer Apache (ou NGinx au choix)
    • Configurer un dossier WebDav (Cf google, c’est assez simple, ça se fait en 3 lignes)
    • Ajouter une authentification htaccess (ça se fait dans la config ou dans le dossier Dav directement)
    • [Facultatif si l’ip est statique] Ajouter un DynDNS (certaines box offrent directement cette possibilité)
    • Configurer le NAT de sa box en redirigeant un port vers le port 80 (443 pour HTTPS) du raspberry
    • Configurer son logiciel KeePass pour pointer la base vers cette adresse

    Pour le certificat HTTPS, sachant que c’est pour ton usage perso, un auto-signé suffit (cf Google encore une fois), sinon Let’s Encrypt est gratuit :slight_smile:

  11. Tu peux faire régulièrement une sauvegarde sur un Cloud. Bien sûr si on a que DropBox/Drive sous la main, je conseille de repasser une couche de VeraCrypt par dessus, on est jamais trop prudent :slight_smile:

  12. Je ne suis pas certain que sauvegarder dans le Nuage, ne soit pas antinomique de sécurité ?
    Si je chiffre mes données avant de les envoyer dans les nuages (avec FileVault sur mon Mac), puis je y accéder, depuis le PC Windows, ou Linux d’un copain ? Depuis mon ancien Mac de 2002, je ne peux pas lire un DDE chiffré avec FileVault sur mon actuel.
    Puis ça fait encore un MdP à retenir, en mémoire :confounded: la Banque, mes deux sessions + 2 sur l’ancien ordinateur, le mot de passe pour l’image disque chiffrée qui contient entre autres la liste de mes MdP, mon code pour le téléphone, ma CB, et j’ajouterais le MdP d’accès au Nuage.
    En plus le coût, pas très élevé certes mais en plus

  13. MD5 est considéré comme “cracké”, il est “simple” de trouver des collisions (un autre mot que le mot de passe, et qui donnera le même hash) avec le théorème des anniversaire par exemple. C’est possible qu’il soit encore utilisé (tout comme les sites qui ne hashent pas ou chiffrent les mots de passes…), mais c’est à éviter au maximum.

    bcrypt c’est une fonction de hashage, pas de chiffrement (le nom porte à confusion), ça ressemble à

    Un hash bcrypt commence par $2$, $2a$, $2x$, $2y$
    Par exemple : $2a$04$92oz1TKT8FHHnzcZuA1eHukR82jthp3ZQGTfqoy0YT6wrHXJysWby

    (Le $04 juste après, c’est le nombre d’itération)

    Le SHA-1 ressemble à ça : 11F453355B28E1158D4E516A2D3EDF96B3450406

    Il commence par $sha1$ généralement. Il est facilement identifiable : Longueur de 40 en hexa, … Il faut 2^63 opérations pour trouver une collision (Il me semble que c’est à peu près la puissance de tous ordinateurs du monde pendant 1 seconde)

  14. Après il y a un rapport à faire entre sécurité de tes données au sens confidentialité, et sécurité au sens sûreté (ne pas les perdre). Souvent si tu veux les deux ça coûte plus ou moins cher (redondance sur plusieurs continents par exemple).
    Bien sûr ce n’est pas top de sauvegarder ça sur un cloud “publique”. Après ce n’est pas forcément un mot de passe de plus à retenir, tu peux le noté sur un papier chez toi puisque c’est juste pour les éventuellement fuites de données, et ta base qui est dans le volume chiffré aura toujours un mot de passe qui est dans ta tête :slight_smile:

    Le coût pour stocker ça sur un cloud est nul avec les 3 à 15 Go gratuit :slight_smile:

    Pour l’anecdote ma solution c’est : Un serveur OVH qui héberge le WebDav + backup de la BDD sur un serveur d’un autre hébergeur. ça me coute ~21€ par mois, ce n’est pas très cher par rapport à la sécurité de mes données (surtout qu’il ne sert pas qu’à ça) :slight_smile:

  15. Et une solution que ma mère pourrait mettre en oeuvre autre que le tatouage sur l’oreille du chien ?

  16. Merci d’avoir pris le temps de me donner ces instructions, je devrais m’en sortir, ça à l’air simple en fait ! :slight_smile:

  17. “Ce système ne présente que des avantages.”

    Faux : comme cela est sous-entendu dans l’article, ce système réduit la difficulté de casser 500 mots de passe à la difficulté d’en trouver 1 unique.

    “Plus besoin de se souvenir de vos mots de passe et surtout, vous pouvez générer un mot de passe différent pour chaque site web que vous fréquentez.”

    Faux : Votre disque dur peut toujours crasher ou n’importe quel bug corrompre la base de donnée du softs (vu qu’il s’agit d’un fichier crypté, 1 bit de pourri et tout est mort… Et un bit ça se pourrit très vite, ne serait-ce que l’orsque le disque dur est plein), vous perdrez alors votre base et donc l’accès à tous vos sites…

    Enfin, comme le font remarquer plusieurs personnes, la plupart des browsers intègrent aujourd’hui la possibilité de stocker (et crypter ce stockage) les mots de passes du web. Donc niveau préticité, y’a plus simple que d’installer F-Secure une n’importe quel soft extérieur…

  18. Une blague ? Les mots de passes sont accessibles en clair il me semble.

  19. A nuancer, le mot de passe de cette base est censé être bien plus robuste que ce que tu mets sur différents site. Puisque de toute façon a moins d’être surdoué tes mots de passe seront semblables et moins compliqués.

    La base est également censé être sauvegardé régulièrement. C’est un principe de base pour n’importe quel fichier important.

    Le cryptage des mots de passe des navigateurs ? C’est une vaste blague, regarde juste comment il est simple de péter la base de Firefox. Et ils ne génèrent pas des mots de passes aléatoires :wink:

  20. fofo says:

    Keepass synchronisé sur Dropbox (attention y’a une bidouille à suivre sur le site de keepass pour ne pas générer plusieurs branches), ensuite c’est synchronisé partout :

    • sur mon phone via Keepass2Android (beerware / gratuit)
    • sous mon linux à la maison via dropbox et keepass via mono
    • au boulot (par contre les cons de RSSI ont bloqué dropbox donc syncro qd je ramène mon portable à la maison)

    Ce qui est magique avec KeePass, une fois l’autotype activé c’est universel Ctrl+Alt+A sur n’importe quelle fenêtre qui demande un login et vous êtes connecté !
    Le coté négatif est que c’est fastidieux à mettre en oeuvre correctement : faire références aux id de domaine pour ne changer qu’une fois le mdp, paramétrer les auto-type partout, et surtout changer ces mdp partout pour un truc généré par Keepass, paramétrer les URL sur les remotes desktop

    Pour la sécurité : c’est un fichier (genre une photo ou un MP3) + mdp

    J’en suis à 320mdp dans mon keepass (68 persos, et 223 professionnels), comment serais-je censé mémoriser 223 mot de passes différents au boulot ?!

  21. J’ai deux mots de passe : un “easy” pas long pour les sites de commentaires ou qui n’aurons aucune incidence sur ma vie si il est découvert et un, “secure”, genre phrase longue, avec une référence au site à l’intérieur ce qui fait qu’il est facilement mémorisable, long, et différent sur chaque site. Et je ne vois donc aucune raison d’utiliser un logiciel de mots de passes pour ça.

  22. heho says:

    J’avais lu que certains softs (ophcrack) trouvaient tous les mots de passe de 14 caractères, symboles chiffres quelque soit la casse en moins d’une journée(Source : Zythom).
    En se basant sur la carte graphique, on peut “paralléliser” le brute force. Et ça fait très mal… Je n’imagine même pas ce qu’ils peuvent faire à la NSA avec ce genre de technologies et des supers ordinateurs.

    Je suis pas informaticien à la base, et j’avais vu des applications en simulation numérique, de faire passer du calcul par carte graphique et pas par un processeur. Il y avait de sacrés résultats !

    On dirait qu’on a tous potentiellement une machine très puissante, seulement on utilise cette puissance seulement pour les graphismes et certains jeux…

Continuer la discussion sur Korben Communauté

16 commentaires supplémentaires dans les réponses

Participants


Vous connaissez sans doute VMware pour ses solutions de virtualisation notamment en mantière de serveurs. A l’heure où de plus en plus de données sont créées et traitées à l’extérieur de tout datacenter centralisé, grâce à une stratégie multi-cloud, le spécialiste de la virtualisation est devenu un acteur impossible à manquer.


Vous connaissez sans doute VMware pour ses solutions de virtualisation notamment en mantière de serveurs. A l’heure où de plus en plus de données sont créées et traitées à l’extérieur de tout datacenter centralisé, grâce à une stratégie multi-cloud, le spécialiste de la virtualisation est devenu un acteur impossible à manquer.