La gestion des mots groupes de passe
Nous allons voir ici comment gérer les groupes de passe, communément appelés à tord mot de passe.
Dans la vie courante, nous sommes amenés à utiliser un nombre invraisemblable de groupe de passe et autres codes secrets et la tentation est grande de recourir à des procédés simplistes pour les retrouver en temps utile. Voici quelques méthodes un peu ou beaucoup moins risquées.
Mais commençons par définir ce qu’est un bon groupe de passe.
Here we will see how to manage secret groups, commonly known as password.
In everyday life, we are led to use an incredible number of secret groups and other secret codes and the temptation is great to use simplistic procedures to find them in time. Here are some methods that are a little or a lot less risky.
But let's start by defining what a good secret group is.
A -Comment choisir un bon groupe de passe
A.I -Première règle : pas de mot unique
Un groupe de passe ne doit pas être un vrai mot existant dans un quelconque dictionnaire. Le terme mot de passe est donc inapproprié car il incite à faire ... ce qu'il ne faut pas faire!
Il faut moins d’une seconde à un logiciel adéquat pour tester les 100 000 mots d’un dictionnaire. Écrire à l’envers, par exemple neihc pour chien, n’est pas une bonne idée, c’est envisagé par les logiciels de craquage.
A.II -Deuxième règle : complexité suffisante
Un groupe de passe doit être suffisamment complexe. On entend par là qu’il doit faire partie d’un ensemble de possibilités suffisamment étendues.
Par exemple, un groupe de deux minuscules ne fournit que 26 x 26 = 676 possibilités qui pourront être toutes testées par un éventuel espion en un temps ridiculement court.
Pour améliorer les choses, il faut, au minimum, utiliser des minuscules et des majuscules et s’en tenir à une longueur de 8 caractères. Bien sûr, il est préférable de combiner aussi des chiffres et des caractères spéciaux et de pousser la longueur à 12 caractères. Entre un mot de 8 caractères composé uniquement de minuscules et de majuscules et un autre de 12 caractères choisis parmis 70, le rapport de complexité est supérieur à 143 000 000.
Quelques remarques méditer:
Une étude qui s'appuie sur un travail intéressant de Mark Burnett (du site Xato.net), lequel a décortiqué une liste de 6 millions de duos login plus mot de passe uniques pour en extraire des statistiques nous dit que :
98,8 % de cette base d'utilisateurs emploient les 10 000 mots de passe les plus fréquents ;
-
91 % se concentrent sur 1 000 mots de passe ;
Extrait de :
http://www.clubic.com/internet/article-712101-1-mots-passe-conseils-securite.html
Dans l'exemple donné par l'étude du cabinet Deloitte, un mot de passe à 8 caractères (6,1 millions de milliards de possibilités sur un clavier américain à 94 caractères) pourrait être hacké en 5 h 30 par une configuration dédiée haut de gamme (estimée à 30 000 $ en 2012), mais en près d'un an avec un PC correct de 2011.
NB : Ceci correspond à 193 000 000 essais par seconde. Là j’ai quand même un doute.
Mais il y a peu de chances qu’il faille essayer toutes les combinaisons pour trouver la bonne. Moralité : Pour s’assurer les temps ci-dessus, il faut utiliser 9 caractères. Le hacker essaiera toutes les combinaison de 1 à 8 caractères avant de passer à 9.
Mise à jour 2020: Il faut maintenant plutôt 12 caractères pour faire un bon groupe de passe.
A.III -Comment créer un groupe de passe facile à retenir
Pensez à un dicton, un alexandrin, un slogan publicitaire, un refrain etc.. et prenez la première lettre de chaque mot.
Vous pouvez faire des astuces : remplacer un par 1, de par 2, si par 6, saint par 5 , voire tout par 2 (prononcé en anglais : two)…
Ex : Ratdcnjnaqdp ==> Rodrigue as tu du cœur, non je n’ai que du pique (ben oui, on peut plaisanter, en plus ça brouille les cartes).
Lrd+f&tlm La raison du plus fort est toujours la meilleure.
Remarque : Les statistiques montrent que la lettre majuscule (souvent unique) est généralement placée en première position, donc ces 2 exemples sont critiquables, mais le premier se rattrape sur la longueur.
De même les chiffres sont souvent en fin de groupe.
cCyatcqif Chez Casto, y a tout ce qu’il faut (pas terrible, il manque des chiffres et des caractères spéciaux).
cCyatcq1f! est nettement meilleur le i est remplacé par 1 (formes voisines).
/lpAoydteO Sur le pont d’Avignon on y danse tous en rond. Le « / » se lit « sur » comme dans 4 / 10 ; le O est mis pour rond, un 0 apporterait un chiffre.
J’aime bien celui là :
66666C60666606c si 6 scies scient 6 cyprès 606 scies scient 606 cyprès.
Bon, tout ça fait partie de notre culture française et on peut se demander si les hackers ne possèdent pas des listes de tout ce que l’on a tendance à choisir.
Une autre solution pourrait être de faire vos groupe de passe avec un nombre limité de caractères, toujours identiques mais dans un ordre différent d’un groupe à l’autre.
Ex : Vous pensez à Victor Hugo, né en 1802. ça vous donne v H 1 8 0 2. Ajoutez $ par exemple.
Le groupe de passe $vH1802$ obtient le score 99 % sur le site présenté ci-dessous.
L’avantage c’est que si vous perdez un groupe de passe, il sera relativement facile à retrouver connaissant le peu de caractères différents qu’il contient.
A.IV -Tester son groupe de passe
Voyez ici : http://www.passwordmeter.com/ Mais ne soyez pas assez stupide pour y donner votre groupe de passe tel quel.
Attention cependant aux évidences : Remplacer les i par des 1 les o par des 0 etc, ce sont des astuces connues des ackers. Il est bon de tester votre mot de passe sur plusieurs password-meter, chacun ayant ses propres critères d'appréciation.
B -Enregistrer ses groupes de passe : La méthode papier
C’est la plus naturelle, peut être la plus pratiquée mais en tous cas la plus mauvaise.
Si vous tenez absolument à la garder, je vous conseille de l’améliorer en codant vos groupes de passe. Deux méthodes simples sont envisageables. Il est préférable de les combiner pour une sécurité minimum.
B.I -Le code Jules César
Il consiste à remplacer chaque lettre par la nième suivante dans l'alphabet. C'est plutôt lourd à utiliser. Petite astuce : Décalez en arrière pour coder. Vous aurez à décaler en avant pour décoder. Ex Bonjour devient Xkjfkqn. (XYZAB, klmno, jklmn etc).
Un équivalent consisterait à décaler les lettres par rapport à leur position sur le clavier : Q devient S (1 décalage à droite)ou D (2 décalages) ou M (décalage à gauche avec rebouclage) ou A (décalage en haut) ou ...
B.II -Brouillez les pistes
Inscrivez les lettres dans un désordre organisé par exemple 21 43 65 87 (permutation 2 par 2) ou bien 321 654 987 (rétropédalage sur des groupes de 3) ou encore 18 27 36 45 (premier dernier deuxième avant dernier...), ou plus simple 45678123 (on démarre au milieu et on reboucle quand on arrive au bout).
B.III -Autre brouillage
Vous inscrivez les sites et leur mot de passe les uns sous les autres mais en décalant les uns par rapport aux autres . Ex :
La Redoute Qwsxdc !6
Les 3 suisses $aSedrf99p$
Cdiscount ujO6L*MP3
Amazone 64ungrtcKL
En réalité, le mot de passe (codé Jules César éventuellement) de la Redoute est ujO6L*MP3 à lire deux lignes en dessous. Il y a un problème de dépassement en bas de liste. Travaillez par groupe de 10 par exemple en permutation circulaire. Complètez au besoin le dernier groupe avec des adresses bidons.
Bon, vous pouvez trouver ça bien compliqué, alors lisez la suite !
B bis - Writer (ou Word) tout simplement
Quand vous faites enregistrer sous dans Writer, vous avez la possibilité de placer une coche en bas à gauche pour que votre texte soit enregistré avec un mot de passe. Vous pouvez donc copier vos groupes de passe dans un texte Writer (ou Word) en toute sécurité.
C -keepassxc une petite application spécialisée
keepass enregistre vos mots de passe et autres codes de carte bleue etc..
Évidemment, pour ouvrir l’application, il faut montrer patte blanche : donner un groupe de passe. Ben oui, mais c’est le seul à retenir pour accéder à tous les autres ! Blindez le !
keepass pourra créer les groupes de passe à votre place si vous voulez. Comme vous l'utiliserez en faisant des copier/coller, vos groupes de passe pourront être aussi longs et complexes que vous voudrez.
Keepass peut être intégré à votre navigateur internet, ce qui rend son utilisation encore plus simple: 1 clic suffit pour donner votre nom d'utilisateur et votre mot de passe (enfin... pas toujours).
Keepass fonctionne aussi sous Linux.
C.V -Attention, piège à con...tourner
Si vous procédez ainsi, vous aurez des mots de passe en béton, mais comme vous ne pourrez pas les retenir, vous ne pourrez pas vous passer de Keepass. Mais vous pouvez l'installer sur votre smartphone.
Un ordinateur tombe en panne généralement sans prévenir. Pensez-y et pensez à la sauvegarde indispensable du fichier associé, à mettre à jour régulièrement.
Vous ne risquez pas d’oublier son nom ou son dossier, tout cela est inscrit sous le menu Fichier.
Si vous voulez visiter vos forums préférés depuis d’autres ordinateurs, vous devrez absolument installer keepass sur une clé USB et l’emporter avec vous.
Pensez que si vous avez fait une sauvegarde dans Dropbox, vous ne pourrez pas y accéder sans clé USB, puisque son mot de passe était dans l’ordinateur détruit ! Une solution pourrait être de partager le dossier Dropbox contenant votre fichier avec quelqu’un d’autre qui pourra vous envoyer une copie par mél (ou, plus sécure, par la poste).
D -Vos groupe de passe dans Firefox
Quand vous créez un groupe de passe pour vous inscrire sur un site web, Firefox vous propose de l’enregistrer. Ainsi, chaque fois que vous activez votre compte sur le site en question, Firefox remplit la case mot
de passe
à votre place.
Utilisée à l’état brut, cette fonctionnalité n’est pas du tout sécurisée. Mais il y a une possibilité de faire les choses correctement.
Lancez Firefox . Si vous ne voyez pas la barre de menu, faites un clic-d dans la barre de titre et cochez barre de menu.
M Outils > options > sécurité > cocher enregistrer les mots de passe et utiliser un mot de passe principal > donner le groupe de passe et retenez le (et/ou enregistrez le dans keepass).
Maintenant, quand on vous demandera votre mot de passe sur un site, Firefox vous demandera le mot de passe principal et remplira à votre place le mot de passe demandé.
Si, par la suite, on vous demande un autre mot de passe, Firefox ne vous demandera rien tant que vous ne quitterez pas la session.
E -Les mots de passe de votre courrier électronique
Avec Thunderbird, vous avez la possibilité de fonctionner avec un mot de passe principal comme dans Firefox. Voyez M Outils > options > onglet sécurité.
Attention, par défaut, votre mot de passe est envoyé en clair à votre f.a.i.
Je vous invite vivement à activer SSL/TLS. Voyez dans M Outils > gestion des comptes > paramètres serveur > paramètres de sécurité.
***** © M Guignard *****
Comments powered by CComment