Blog

Sécurité et gestion des mots de passe

sécurité des mots de passe

Bonjour à tous,

 

Nous croulons tous littéralement sous les mots de passe et identifiants devenus impossible à mémoriser… et bon nombre d’utilisateurs ne suivent pas toujours les règles de base en matière de sécurité.

mauvais mot de passe

 

D’autre part les gestionnaires de mots de passe permettent d’éviter de mémoriser vos identifiants toujours plus nombreux, et donc de permettre l’utilisation de mots de passe plus complexes, plus long. L’utilisation d’un gestionnaire est donc un atout majeur dans la stratégie de sécurisation de vos MDP.

 

Les 5 principales erreurs à éviter :

  1. Ne divulguez pas votre MDP (évident!)
  2. Ne le noter pas sur un post-it à côté de votre machine (logique, mais combien de fois j’ai vu cela au boulot 😉
  3. Utilisez un mot de passe différent pour chacun de vos comptes, j’insiste ! (si l’un de vos mots de passe est compromis, c’est la porte ouverte…)
  4. N’utiliser pas (évidement!) les classiques 123456, date de naissance, ville de résidence, nom du chien… vous m’avez compris.
  5.  Évitez les mots du dictionnaire, car un hacker utilisera en premier lieu des dictionnaires pour tenter de cracker votre MDP.

 

Les conseils à suivre :

  1. Utilisez un gestionnaire de MDP! (voir ci-dessous)
  2. Choisissez des mots de passe longs et complexes (pourquoi pas un générateur aléatoire, mais nous verrons cela avec le gestionnaire).
  3. Changez de MDP de temps en temps (encore une fois le gestionnaire nous aidera), au minimum pour les accès critiques (mails, banques, réseaux sociaux…)
  4. Verrouillez votre machine lorsque vous ne travailler pas dessus  et limitez votre utilisation des MDP pré-enregistrés dans les navigateurs !
  5. Modifiez les MDP qui vous ont été transmis par mail (donc en « clair »).

 

En aparté…

Nous avons tous entendu et appliqué la règle suivante : utiliser des majuscules/minuscules et chiffres dans nos mots de passe. Pourtant il semblerait que cette règle est basée… sur du vent!

En 2003, le NIST (National Institute of Standards and Technology) avait publié des bonnes pratiques pour le choix d’un mot de passe. Cela comprenait la règle « majuscules+minuscules+chiffres+caractères spéciaux » et changement du MDP tous les trimestres. Des pratiques aujourd’hui largement utilisées, mais qui ont été reniées par leur auteur, Bill Burr.

Interrogé par le Wall Street Journal, il est revenu sur son texte publié en 2003 sur les bonnes pratiques concernant les mots de passe. C’est simple : il regrette ses conseils. En fait, ceux-ci seraient aujourd’hui totalement obsolètes, alors qu’ils sont largement adoptés par la communauté des internautes et requis sur encore beaucoup de sites web lors de la création d’un compte.

En réalité il est bien plus compliqué de cracker un mot de passe de 32 caractères ne contenant que des minuscules qu’une suite de 8 caractères appliquant cette règle. Donc allonger un mot de passe sera toujours plus efficace que de le rendre plus complexe (et plus difficile à retenir si besoin).

Une des façons de générer un mot de passe trééss looooong et d’utiliser une « phrase », si possible dénuée de sens mais mémorisable. Une suite de mots aléatoire sans espaces fait aussi l’affaire.

Exemple : disquelechatunforêtcompilebateau (32 caractères) constitue un mot de passe « fort », long mais dont on peut se rappeler.

Si j’avais choisi 32 caractères au hasard il faudrait une sacrée mémoire ! Essayez de mémoriser cela : 4’Dx9]f1&8a$:t9EàA73’v)4eZ€1″Xm-   impossible…du coup on a tendance à trop simplifier, trop raccourcir.

 

Le Gestionnaire de mots de passe : la solution ultime ?

Je vais vous présenter celui que j’utilise et que j’affectionne mais comme il s’agit avant tout d’habitudes, libre à vous d’utiliser le logiciel de votre choix.

gestionnaire de mots de passe
KeePass

Le logiciel KeePass, disponible ici : https://keepass.info/ est gratuit et open source.

Il permet d’enregistrer tous vos mots de passe (Windows, internet, bios, ssh…) dans une (ou plusieurs) base de données elle même verrouillée par un mot de passe fort (pas 123456 hein!)

Vous pouvez générer des mots de passe de la longueur de votre choix.

Puis vous pouvez définir une date d’expiration, afin de vous rappeler de le changer.

 

Utilisation :

Une fois téléchargé et installé (ou dans sa version portable, trés pratique!), nous devons créer une nouvelle base de données qui contiendra vos identifiants / mots de passe.

Ctrl+N ou « File » -> « New » ouvrira ceci :

 

 

 

Choisissez un emplacement puis un nom pour votre base de données.

 

 

 

 

Puis choisissez soigneusement un « masterpassword » fort,  donc long !

 

 

Vous pouvez également générer un fichier « clé » .key qui sera alors indispensable pour déverrouiller la base en plus du mot de passe, augmentant la sécurité.

 

 

 

 

 

 

Une fois votre base créée il va falloir entrer vos mots de passe. Perso je n’ai pas tout entrer dés la première utilisation. J’y ai mis l’essentiel de mes mots de passe au départ puis j’ai rajouté systématiquement tout nouveau mot de passe lorsque je le perd / change ou créé.

 

Ajout d’une entrée : Ctrl+ I ou « Edit » -> « Add entry »

 

 

Renseignez un titre, exemple « ma_banque »

Entrez votre nom d’utilisateur ou login.

Entrez le mot de passe existant ou ouvrez le générateur de mot de passe si vous estimez devoir le changer.

Vous pouvez ajouter l’url de connexion, pratique puisque on peut lancer l’ouverture de la page depuis KeePass.

Une note peut être ajoutée à l’entrée…

Puis vous pouvez définir une date d’expiration afin de vous rappeler que ce mot de passe devra être changer à partir de la date choisie. Des durées par défaut sont proposées en cliquant sur l’horloge en bas gauche.

 

Vous êtes maitre de vos mot de passe.

Important : une fois vos premiers MDP ajoutés, il faut penser à enregistrer la base de données, sinon…il faut tout recommencer!  Pour sauvegarder : Ctrl +S ou « File » -> « Save »

L’usage de Keepass ne s’arrête pas là. Par exemple lorsque la base est partagée par plusieurs collaborateurs (service info par exemple) elle peut être stockée sur un serveur afin que tout le monde accède et édite la même base.

A domicile vous pouvez copier la base d’un PC à l’autre ou la stockée sur votre serveur ou NAS si vous en possédez un. La base peut aussi être stockée sur clé USB, avec la version portable du logiciel. Cela vous permet de conserver vos mots de passe sur vous. Les bases peuvent également être importées / exportées et fusionnées. Des applis Android et IOS permettent de retrouver ses mots de passe dans son smartphone, une fois la base copiée.

 

Mais…

Pour conclure ayez à l’esprit que rien n’est inviolable, « incrackable ». Il s’agit donc d’augmenter la sécurité et le stockage de vos mots de passe autant que possible.

Concernant KeePass il existe justement un outil appelé KeeFarce, permettant l’extraction des MDP si la base est ouverte, compromettant tous les MDP. source (en anglais) : KeeFarce

 

Il existe des tas d’autres gestionnaires tel que Keeper, Dashlane, Lastpass,

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *