La sécurité des mots de passe
L’être humain aime la facilité et les petits trucs mnémotechniques, c’est normal.
©Digital Terrorist
C’est normal mais peu sécurisé !
90% des internautes que j’ai interrogé utilisent au moins une fois le même mot de passe pour des sites/services différents. Comme ça, si quelqu’un récupère ce mot de passe, il a en cadeau bonus l’accès immédiat à d’autres services aussi.
Changez vos mots de passe pour chaque service, bon dieu !
(dit celui qui ne change pas autant qu’il devrait)
Je ne juge pas nécessaire de faire un rappel général sur la sécurité des mots de passe, vous vous doutez que love ou 123456 ou gbt3fc79zmmefufj sont des mots de passe très évidents et faciles à trouver.
Je sais aussi que taper un mot de passe comme Ceci-est_un.m0td3PASSE* est certes très sécurisé mais peu pratique à écrire et à retenir.
Il nous faut donc un compromis.
Essayez de mettre une majuscule, au milieu ou à la fin de votre mot de passe et au possible un chiffre ou un caractère spécial. Par exemple monMotdepass3 est assez facile à retenir et rapide à écrire en plus d’être bien sécurisé.
Vous voyez également que j’ai remplacé le e de passe par 3 (pour ceux qui connaissent le leet speak), cela permet de rendre le mot de passe moins facile à trouver si quelqu’un a déjà le début.
Imaginez que je vous vois en train d’écrire jaimeFaceb, je devine la fin. J’aurais plus de mal à trouver jaimeFacebouk2. Donc n’hésitez pas à placer quelques pièges dans vos mots de passe afin de les rendre uniques.
A la suite de cet article, j’ai écris de nouveaux conseils à ce sujet :
Violations de données et mots de passe compromis
Je terminerai cet article sur les recommandations générales concernant les mots de passe:
Une fois de plus, je me répète, ne donnez jamais vos mots de passe à personne.
« oui mais je suis ta chérie donc je te donne tout, je n’ai rien à te cacher 😉 »
D’accord c’est une belle preuve d’amour, mais en attendant le mot de passe reste inchangé des mois ou années après. Et puis les gens deviennent des « ex », et puis des histoires font que les choses tournent mal, et puis les piratages arrivent.
Donc au pire, changez votre mot de passe (créez-en un provisoire), donnez-le à une personne de confiance extrême, et changez-le à nouveau le moment venu de le faire.
14 Commentaires
Cliquez ici pour ajouter un commentaire
« oui mais je suis ta chérie donc je te donne tout, je n’ai rien à te cacher » je connais ça ! haha
[…] La sécurité des mots de passe : Cet article vous expliquera le bon compromis à utiliser pour sécuriser son mot de passe efficacement et facilement. […]
[…] Pousser vos clients à choisir des mots de passe plus complexes. Cette article est déjà dédié aux hackings de mots de passe. Pour préserver les données de vos clients, une des premières choses à mettre en place est de les obliger à insérer des chiffres ou des caractères spéciaux dans leurs mots de passe. Ce n’est pas toujours évident, voici donc une méthode pour créer facilement des mots de passe robustes. […]
[…] Le 20 Mai est une autre journée noire pour eBay, dont une vulnérabilité compromet la sécurité des 145 millions d’utilisateurs enregistrés de part le monde entier. eBay alerte les membres pour le dire de changer leur mot de passe. […]
Bonjour
un jour j’ai lancé CCleaner avec une option de validé a chaque fois (et oui dans la vie je m’ennui parfois 🙂 ) et lorsque j’ai coché la case mot de passe enregistré j’ai vu ….. des fichier moi qui suis a la limite de la paranoia et n’enregistre JAMAIS mes mot de passe est ce possible qu’il se soit enregistrer ? et que cela puisse creer une faille dans ma securité (bien que tres improbable je l’accorde).
Bonjour, je ne suis pas expert de Ccleaner et je ne saurais donc vraiment dire ce qu’il s’est passé mais effectivement des mots de passe ont pu être enregistrés. Mais cela dépend des fichiers en question, du navigateur en question…etc 🙂
bonjour michel que pense tu de cela ? la fin des mots de passe !
1password veut pouvoir donner la possibilité à ses utilisateurs de se connecter.
à leurs applications et sites web sans mot de passe.
la technologie permet de remplacer ses mots de passe traditionnels.
par une clé qui ne peut pas être dérobée en cas de violations de données.
apple avec son système de reconnaissance faciale. face id .
permet par exemple de déverrouiller son iphone ou son ipad .
mais aussi de se connecter à des applications et de valider des achats.
les clés d’accès présentent un avantage de sécurité en ce qu’elles sont
stockées sur vos appareils. et que l’on ne peut y accéder qu’à l’aide de la biométrie.
s’il n’y a pas de mot de passe à entrer. ce qui peut perturber.
on peut comparer cela à une clé physique que l’on va brancher sur son ordinateur
ou téléphone.
les clés de passe. utilisent la même technologie à la différence qu’elles
sont entièrement basées sur un logiciel.
je sait pas si tu pense comme moi mais j’ai des doute sûr l’efficacité
car bien souvent des faille sont exploitait niveau appareils.
sûr ceux très bonne journée à toi michel.
[…] Plus d’informations sur les mots de passe. […]
Je suis 100% d’accord sauf que quant il s’agit d’organismes « officiels » on vous demande 2 fois le mot de passe !!
De plus aujourd’hui les utilisateurs ont au bas mots 10 mots de passe une ou plusieurs adresses mail ,La banque, La caisse d’épargne, Ameli, Edf, ect… Que font les gens , ils enregistrent les mots de passe !!!
J’anime dans un club l’initiation à l’informatique, et quand on dit aux adhérents,: Aujourd’hui on va travailler sur votre messagerie » ils ne se souviennent pas de leur mot de passe !!
salut michel pour les mots de passe juste une chose que l’on peut faire souvent dans le milieux professionnels
en entreprise. les honeywords des faux mots de passe pour piéger les hackers.
les faux mots de passe comment ça fonctionne ?
elle fonctionne comme suit. des faux mots de passe dits honeywords sont stockés au même endroit que les mots
de passe réels d’un utilisateur. si des mots de passe sont volés ou si des fichiers sont craqués. le voleur ne sait
pas quel mot de passe associé au compte est le bon.
si le pirate tente d’utiliser l’un des faux mots de passe pour commettre une intrusion un message d’alerte se déclenche
pour avertir le service informatique que quelqu’un tente de s’introduire dans le réseau.
les honeywords n’empêchent pas une intrusion mais ils permettent de détecter une attaque en temps réel
et donc d’optimiser la réactivité des services informatiques.
l’avantage des honeywords c’est qu’aucun changement n’est opéré côté utilisateur final.
et qu’aucune formation n’est nécessaire. l’utilisateur se connecte comme d’habitude et si son mot de passe
correspond l’accès lui est accordé normalement.
côté back office cependant un programme serveur auxilaire dénommé honeychecker aide à reconnaître les faux
mots de passe et à donner l’alerte en cas d’attaque.
concrètement le système d’authentification de l’entreprise stocke une matrice qui lie un ensemble de mots de passe
à un utilisateur. le logiciel honeychecker stocke l’index du mot de passe correct de l’utilisateur.
honeychecker est installé en aval dans le centre des opérations de sécurité.
et ne participe pas à l’authentification proprement dite. son rôle consiste uniquement à vérifier que le mot de passe
n’est pas un honeyword.
si honeychecker est hors ligne ou défaillant l’utilisateur peut quand même se connecter bien que les capacités
de détection d’infraction soient alors perdues. les honeywords établissent un juste équilibre entre la facilité
de déploiement et la sécurité.
bonjour michel vue que l’on parle ici de mots de passe. voilà une petite astuce bonne de savoir.
la dynamique de frappe. cette reconnaissance identifie les personnes selon leur manière de taper sur un clavier.
on parle dans ce cas précis de solution biométrique essentiellement logiciel.
car elle consiste uniquement en un relevé de données basées sur la dynamique de frappe des utilisateurs.
par dynamique de frappe on entend le temps utilisé entre deux frappes sur la même touche.
flight time . le temps de pression sur chaque touche dwell time ou encore le temps pour taper un mot donné.
lors de la phase d’apprentissage il sera demandé à l’utilisateur de taper un certain nombre de fois un mot de passe
ou une passphrase et un algorithme sera chargé de moyenner les temps relevés.
par la suite et selon le niveau de ressemblance demandé les utilisateurs seront acceptés ou refusés.
la dynamique de la frappe au clavier est caractéristique de l’individu c’est en quelque sorte la transposition
de la graphologie. aux moyens électroniques. la paramètres suivants sont généralement pris en compte
vitesse de frappe suite de lettres mesure des temps de frappe pause entre chaque mot.
reconnaissance de mots précis.
avantages pas de système hardware seul le logiciel suffit ce qui permet de réaliser des économies
substantielles.
très pratique lorsque le nombre d’utilisateurs et élevé de par sa simplicité de mise en place et d’apprentissage.
tfa inférieur à 0,5% si le mot de passe dépasse 8 caractères.
problème tout fois exige une attention au clavier utilisé distinction d’emplacement des touches en qwerty et en
azerty.
les vitesses de frappe changeant d’un type de clavier à l’autre.
un profil d’identification sera nécessaire pour chaque configuration.
Bonjour zoulouland et merci encore une fois pour les détails apportés depuis si longtemps à autant d’articles !
bonjour michel je te souhaite de bonne vacances si c’est le cas profit bien.
à très bien tôt au plaisir d’avoir des nouvelle de ta part.
bonjour michel a tu reçu le denier commentaire que fait fait sur le sujet.