Repository with sources and generator of https://larlet.fr/david/ https://larlet.fr/david/
Du kan inte välja fler än 25 ämnen Ämnen måste starta med en bokstav eller siffra, kan innehålla bindestreck ('-') och vara max 35 tecken långa.

article.md 8.5KB

title: Pour en finir avec les « Mot de passe oublié ? » slug: pour-en-finir-avec-les-mot-de-passe-oublie date: 2006-08-02 08:16:08 type: post vignette: images/logos/passwords.png contextual_title1: ★ L'artiste qui sommeille en chaque geek contextual_url1: 20080613-artiste-qui-sommeille-en-chaque-geek contextual_title2: L'intelligence économique (veille technologique) en pratique contextual_url2: 20070609-l-intelligence-economique-veillle-technologique-en-pratique contextual_title3: C'est l'été, profitez-en pour dégraisser votre OPML ! contextual_url3: 20050726-cest-lete-profitez-en-pour-degraisser-votre-opml

Tout le monde s'accorde sur le fait qu'un bon mot de passe est un mot de passe unique, long, compliqué et qui change souvent mais... personne ne le fait ! Pour la bonne et simple raison qu'il est quasi-impossible de retenir de nombreux mots de passe lorsqu'ils sont complexes (et changeants !). Du coup, la solution que j'avais adoptée depuis quelques temps était de n'en avoir que quelques-uns mnémotechniquement possibles à retenir mais c'est loin d'être l'idéal.

En effet, les limites sont vites atteintes et je n'aime pas tester l'ensemble de mes mots de passe pour un même service lorsque je ne sais pas ce qui se trame derrière (vous êtes vous déjà demandé si chaque test n'était pas mis en base ? </parano>). De plus, certains mots de passe se retrouvent à des endroits où la sécurité n'est pas la même et malheureusement ici, le service le moins sécurisé est le facteur limitant qui vous mène droit à la catastrophe.

J'ai donc rapidemment fait une carte de mes mots de passe avec Freemind. Elle est très incomplète mais la voici :

Carte des mots de passe

J'ai volontairement classé les différents services par catégorie. Et tout de suite, ça saute aux yeux : il est possible d'attribuer un mot de passe par catégorie humainement possible à retenir étant donné le nombre de catégories.

Avantages :

  • les services sont classés par niveau de sécurité donc normalement c'est cohérent ;
  • si l'un de vos mots de passe est compromis, vous savez exactement quels services mettre à jour ;
  • il est possible de changer régulièrement un mot de passe pour une catégorie de services donnée selon son niveau de confidentialité.

Inconvénients :

  • faire attention à rester à un même niveau de sécurité dans une catégorie ;
  • attention aussi à la concurrence, par exemple pour les registars, en ayant le même mot de passe pour les deux ça laisse la possibilité à l'un d'aller modifier votre compte chez son concurrent... enfin vous voyez l'idée ;
  • ne pas perdre la carte (si elle est logique il doit être facile de la mémoriser).

Cette méthode présente aussi l'intérêt de pouvoir proposer un couple unique identifiant/mot de passe par catégorie lorsque c'est possible car des fois on a le bon mot de passe mais sans l'identifiant... (et du coup le fameux « Mot de passe oublié ? » est inefficace). À quand un système d'identification centralisé et fiable ?

Je dois avouer que c'est la perte récente de mon mot de passe de la clé PGP ayant permis de signer le Code de Conduite qui m'a fait me remettre en question là-dessus (et oui il est dangeureux de vouloir faire du zèle en choisissant un mot de passe inhabituel et un peu trop compliqué :-/). Voila, c'est une idée qui m'est venue comme ça dans la nuit, vous en pensez quoi ? Quelle est votre solution avant que je change ?

PS : je sais qu'il existe des gestionnaires de mots de passe mais 1/ j'ai moyennement confiance en eux et 2/ si on perd ce fichier c'est la fin de tout... rien n'est plus sécurisé que notre cerveau ;-)

[edit du 5/08] : Bon si je fais une synthèse des commentaires, la meilleure méthode serait une combinaison de celle de giz404 et de celle de Frédéric soit la méthode radical général et après ajout de suffixes/préfixes selon... les domaines dans mon cas ce qui permettrait de m'en sortir assez facilement avec moins d'une quinzaine de mots de passe (en comptant ceux imposés).

Cédric : les échanges de clés SSH oui mais quand on a sa machine a disposition. Par exemple dans le cas des serveurs Ubuntu, lorsque j'ai à intervenir c'est généralement en salle machine donc il faut que je retienne mon mot de passe donc je préfère en avoir un seul à retenir...

NiKo : les méthodes de 1337 sont trop connues pour être encore efficaces à mon avis.

neolao : j'avais commencé à les répertorier dans mon carnet à tout faire avant d'avoir eu cette réflexion mais je trouve ça très dangeureux. J'ai depuis détruit la page en question.

Nano : je suis clairement intrigué oui !

[edit du 6/08] :

Steph : vraiment intéressant... pour les sites web et à condition d'avoir toujours le convertisseur sous la main. Mais je ne connaissais pas, intéressant.

pimpeleu : tout d'abord merci :-).

Pourquoi changer souvent de mot de passe? D'un point de vue technique, qui voudrait pénétrer votre boîte mail/compte/profil ou je ne sais quoi sur le web? Et aussi comment font-ils, ça n'est peut-être pas à la portée de chacun, si? Par exemple, gmail et autre donne un indice de "sécurité" concernant votre mot de passe, correspondant à une proba d'occurence j'imagine, donc effectivement, plus long=plus sécure, chiffre=plus de combinaisons possibles... Mais dans le fond, même un mot de passe très simple, qui peut le pirater?

Tous les mots de passe sont « crackables », après tout est question de temps. En augmentant la complexité et la taille on ne fait qu'allonger le temps de découverte mais par force brute (essai de toutes les solutions possibles) on y arrive toujours (cf. une documentation intéressante à ce sujet en anglais). Voila la principale raison pour laquelle il faut en changer souvent. Pour info ça n'arrive pas qu'aux autres, les serveurs d'ubuntu-fr sont régulièrement l'objet de ces attaques.

Se pose ensuite la question de qui et pourquoi ? Alors « grâce » à google, on sait que « qui » peut maintenant être le premier venu. Reste le pourquoi. Pour les services web je vois mal l'intérêt. Sur une machine personnelle ou un serveur ça devient déjà beaucoup plus intéressant et lorsqu'on en arrive aux comptes bancaires ça doit devenir assez motivant. Concrètement, comme beaucoup ont un même mot de passe pour tout ça à la fois, il suffit d'en craquer un pour avoir un accès total aux données.

<vie_perso>Ça fait deux ou trois fois que Free m'envoie les identifiants/pass de comptes qui ne m'ont jamais appartenu. Alors curieux, je vais voir si ça fonctionne et j'ai accès à la totalité du compte. Le dernier, j'ai essayé de voir jusqu'où est ce que je pouvais aller (sans trop l'embêter, lancer une résiliation du compte c'est pas vraiment marrant). J'ai donc consulté ses mails en toute impunité... dans lesquels il y avait ses identifiants/pass bancaires ! Je me suis arrêté là mais bon ça fait froid dans le dos. La sécurité aurait-elle un prix ?</vie_perso>

NiKo : mes plus plates 3><cL|535 ;-).

Tiens au fait ça vos plaît les réponses dans le billet ? Je me dis que c'est un bon compromis entre l'abonnement au fil RSS des commentaires et le spam de votre agrégateur, si j'attend qu'il y ait assez de contenu pour que ça devienne intéressant. Je me dis souvent que l'implémentation de nouveaux services comme coComment est surtout le témoin d'un défaut d'ergonomie/fonctionnalités dans les applications existantes, du coup j'essaye de trouver des solutions. Certains sont contre ?