Avec un nombre incessant de sites et d’applications qui demandent une authentification il est bien difficile de trouver des mots de passes et surtout de les retenir. A tel point que bon nombre d’entre nous utilisent le même mot de passe pour tous les accès authentifiés. C’est en partant de ce postulat que les hackers parviennent à entrer dans un de nos comptes en ayant dérobé les informations d’authentification d’un autre compte.
Vous ne maitrisez pas le stockage des mots de passe
Vous ne savez pas comment sont stockés les mots de passes que vous saisissez ni qui y a accès. La règle de l’art voudrait que les mots de passe ne soient jamais stockés en clair, que juste leur signature (hachage) soit stocké. Une signature est une transformation d’un texte en une suite d’octets selon un algorithme reposant sur la théorie du chaos : le moindre changement, aussi minime soit-il, sur le texte d’origine donnera une signature totalement différente. Et l’élément le plus important : à partir d’une signature, il n’existe aucun algorithme capable de retrouver le texte d’origine. Parmi ces algorithmes je citerai MD5 et SHA1 pour les plus utilisés.
Mais voila, pas mal de sites utilisent de simples tables sur une base de données peu sécurisée où les mots de passe sont stockés en clair. Il suffit que le hacker trouve un moyen d’accéder à la base (par une injection de code SQL par exemple) et il lui sera possible de récupérer la liste des utilisateurs avec leurs mots de passe.
Muni de cette liste, il peu ensuite tenter de se connecter à un autre site en utilisant ces informations. Pour peu que vous soyez également inscrit sur cet autre site avec le même mot de passe, il est alors probable qu’il réussisse à s’y connecter en utilisant vos identifiants et avoir ainsi accès à des informations personnelles.
Et plutôt que de taper au hasard, si l’attaque est ciblée, autant se renseigner sur vos habitudes pour trouver les sites où vous êtes inscrits. Les réseaux sociaux diffusent des informations personnelles que vous déposez volontairement sans vous rendre compte de l’utilisation qui peut en être faite : vous êtes sur facebook et avez fait un commentaire sur une recette de cuisine sur un site culinaire que vous appréciez ? Le hacker peut tenter de voir si ce site de cuisine est mal protégé, peut-être y avez vous un compte, peut-être utilisez-vous le même mot de passe que sur votre page facebook… voila donc où se trouve le problème : à force d’utiliser le même mot de passe sur tous les sites, il suffit que la sécurité d’un site soit compromise pour que l’ensemble de vos compte le soient aussi. Saurez-vous changer votre mot de passe sur tous les sites ? Savez-vous précisément sur combien de sites vous êtes inscrits ?
Choisir un mot de passe
Quelques critères simples :
- La taille d’un mot de passe doit être au moins de 8 caractères.
- Un mot de passe ne doit pas faire partie d’un dictionnaire, même étranger.
- Il peut comporter les majuscules, minuscules, chiffres mais faites attention à l’utilisation de caractères accentués. Si vous devez utiliser un mot de passe à l’étranger vous ne disposerez pas forcément d’un clavier vous permettant de les saisir (clavier AZERTY ou QWERTY).
- Les remplacements habituels de lettres par des chiffres sont connus des systèmes de cassage de mot de passe, ne faites pas confiance à ces substitutions trop connues : i devient 1, A devient 4, E devient 3, etc…
- Utilisez une phrase que vous saurez facilement retenir et prélevez la première lettre de chaque mot ou de chaque syllabe. Exemple : « Je suis sûr que ce mot de passe est bon à 90 pourcent » -> Jssqcmdpeba9p vous pouvez ainsi le taper tout en récitant cette phrase dans votre tête.
La double authentification
Je vois fleurir ici et là des sites qui prônent la double authentification. Deux mots de passe pour accéder à un site, dont un géré de façon externe ? Deux authentifications différentes dont l’une avec un appareil mobile ou un token de type RSA ? A qui allez-vous imposer cela ? Pensez-vous réellement que tous les administrateurs de sites accepteront de proposer une double authentification ? Techniquement certains ne sauront pas comment le faire ou comment accoster leur système avec un annuaire externe. Personnellement je n’y crois pas une seconde. Le système doit rester pratique, s’il est trop contraignant personne ne voudra l’utiliser.
Le mot de passe intelligent
Voici ma solution, peut-être pas très innovante, elle fait juste appel au bon sens : utiliser un mot de passe différent pour chaque site ! Si un mot de passe est compromis sur un site il ne compromet pas les autres.
Ah mais mémoriser 50 mots de passes et retrouver à quel site il est associé c’est pas de la tarte ! C’est là que je vous donne cette astuce que vous pouvez dériver comme bon vous semble : votre mot de passe sera composé d’une partie fixe, commune à tous les mots de passe et d’une partie variable unique pour chaque site. Utilisez la méthode habituelle pour la partie fixe (1ère lettre de chaque mot d’une phrase) et composez la partie variable à partir du nom du site qui apparait sur la barre de titre de votre navigateur (2ème lettre de chaque mot qui compose le nom du site par exemple) puis juxtaposez-les
Exemple:
Partie fixe : "ce pauvre chat roux a 3 pattes cassées" -> cpcra3pc Partie variable pour : Rue Du Commerce -> uuo Mot de passe pour ce cite : uuocpcra3pc Partie variable pour : Gaz de France Dolve Vita -> aeroi Mot de passe pour ce cite : aeroicpcra3pc Partie variable pour : Oracle -> r Mot de passe pour ce cite : rcpcra3pc
Vous avez là un moyen mnémotechnique de retrouver vos mots de passe sans avoir à les apprendre par cœur.
Autres conseils
Utilisez plusieurs parties fixes en fonction de l’usage du site : usage courant, accès administrateur, gestion bancaire, etc…
Si un site change de nom, modifiez votre mot de passe avant d’avoir oublié comment le site s’appelait.
Certains site n’acceptent que des chiffres pour les mots de passe, il faudra les gérer à part. C’est également le cas de ceux qui imposent une contrainte sur la taille (mini ou maxi) du mot de passe.
Si un système impose de changer régulièrement votre mot de passe vous pouvez intégrer une seconde partie variable. Ne vous contentez pas d’un compteur, cela est trop prévisible.
Est-ce-qu’on peut faire confiance au stockage des mots de passe de Firefox ?
Les mots de passe stockés dans firefox sont enregistrés dans le fichier signons.sqlite (habituellement dans C:\Users\moncompte\AppData\Roaming\Mozilla\Firefox\Profiles\*.default\ ). C’est une base SQLite3, les mots de passe sont dans la table moz_logins mais les champs login et password sont cryptés en utilisant l’algorithme 3DES-CBC puis encodés en base64. La clé de cryptage est générée aléatoirement et se trouve dans le fichier key3.db. C’est un fichier au format Berkeley DB 1.85 facilement exploitable. Ce fichier peut être lui-même crypté en utilisant le mot de passe principal de firefox.
L’API de firefox (nsILoginManager) permet aux modules de firefox de récupérer des informations dans la base des mots de passe. Si un mot de passe principal a été mis, l’utilisateur sera invité à le saisir sinon l’API ne fonctionnera pas. Un module peut donc à travers cette API avoir accès aux mots de passe et les compromettre.
Sinon, si aucun mot de passe principal n’a été saisi. Le vol des fichiers signons.sqlite et key3.db suffit pour compromettre tous les mots de passe enregistrés.
Si un mot de passe principal a été saisi, seule une attaque de type brute-force permet de compromettre les mots de passe enregistrés si ces fichiers sont volés. Donc si le mot de passe principal est fort il résistera à ce type d’attaque.
Utiliser le mot de passe principal de firefox est contraignant. De mon point de vue, peu de gens s’en servent.
Faire confiance à firefox pour la gestion des mots de passe? Oui, si un mot de passe principal a été saisi.
Même méthode que toi !
Je rajoute uniquement un caractère exotique à la fin (? ou ! ou $…)
Ping : Sichere, merkbare Passwörter erstellen » Admins Werk
Avec tous les sites auxquels nous nous connectons, il ne faut pas être à court de créativité au niveau des mots de passe.
C’est pourquoi je vous indique des sites générateurs de mots de passe :
identitysafe.norton.com/fr/password-generator
http://www.generateurdemotdepasse.com
donnemoiunmotdepasse.fr
http://www.generateur-motdepasse.com
passwordgenerator.intemodino.com/fr/generateur-de-mot-de-passe.html
password.es/fr
De plus, voici quelques sites pour tester l’efficacité d’un mot de passe :
assiste.com/Mots_de_passe_Test_de_solidite.html
http://www.passwordmeter.com
http://www.panoptinet.com/panoptipass
http://www.inforisque.info/fiches-pratiques/tester-mot-de-passe.php
pwdtest.cases.lu
http://www.microsoft.com/fr-fr/security/pc-security/password-checker.aspx
http://www.pc-optimise.com/securite/password.php