Bitcoin – Comment gérer ses mots de passe

Gérer ses mots de passe

INTRODUCTION

Avec la multiplication des logiciels, sites et services en ligne, nous sommes tous confronté à la même problématique : la gestion correcte de nos mots de passe.

Dans cet article nous allons faire le tour de la question. Nous évoquerons ensemble les bonnes pratiques en matière d’utilisation et de gestion des mots de passes. Nous verrons également le moyen le plus sûr de les conserver de manière sure. Mais avant cela, voyons quel sont les procédés des pirates pour cracker les mots de passe.

 

Comment font les pirates pour cracker les mots de passe ?

Lorsque vous vous enregistrez sur un site, une plateforme etc, le mot de passe que vous saisissez est stocké dans une base de donnée. Imaginez qu’un pirate parvienne à s’introduire dans le système et a voler ladite base de données… Pour des raisons de sécurité, ses mots de passes sont donc encodés ou chiffrés dans ses bases. 

Le problème, c’est ce processus de sécurité n’est pas inviolable. Les pirates peuvent parvenir à cracker ses mots de passes chiffrés par différents moyens. Le méthode la plus connue et utilisée consiste à essayer et comparer toutes les combinaisons possible jusqu’à l’obtention le bon résultat. On appel cette méthode, le bruteforce.

 

Processus crack mot de passe bruteforce

Des mots de passe robustes, ou pas !

On entend souvent dire qu’il est nécessaire d’avoir des mots de passe contenant au minimum une majuscule, une minuscule et un caractère spécial. Associé à cela, on vous demande une longueur de mot de passe minimum.

Si ces critères vous sont demandés, ce n’est vraiment pas pour rien.

Comme vous pouvez le comprendre dans l’animation ci-dessus, plus le mot de passe sera compliqué, plus le pirate mettra de temps a le cracker. 

Dans notre exemple, le mot de passe cracké à une longueur de 9 caractères, il dispose de majuscule, de minuscule et d’un chiffre (le “o” est un zéro).

D’après-vous, en combien de temps ce mot de passe pourrait-il être cracké par un pirate ? Vous pouvez faire un test de robustesse d’un mot de passe sur howsecureismypassword.net. Verdict pour notre test…

 

Test force mot de passe

Aïe… c’est le moment ou vous vous dites que votre mot de passe n’est peut-être pas aussi fort que vous le pensiez n’est-ce pas ?

Attention, ces calculateurs de temps de crack sont perfectible. En effet, le temps dépendra du niveau de hashage (d’encodage), ainsi que d’autres variable tel que l’utilisation ou non de mots existants, d’années etc…

 

Choisir des mots de passe forts

Pour choisir des mots de passe fort, il vous faut les “générer” aléatoirement. Plusieurs études ont pu démontrer les caractéristiques d’un bon mot de passe. Les deux principales étant :

  • La longueur du mot de passe (12 caractères MINIMUM)
  • L’utilisation de mots qui n’existe pas
Effectivement, les pirates ont très bien compris que la plupart des gens utilisaient des noms communs assortie de dates etc… Il est par exemple prouvé que lorsqu’une majuscule est requise pour la saisie d’un mot de passe, les utilisateurs choisissent la première lettre. Ce n’est qu’un exemple, croyez-moi, les mots de passe sont bien plus prédictible qu’on pourrait le penser !

 

L’ANSSI nous présente deux méthodes pour choisir et retenir ses mots de passe :
 
  • La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am
  • La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A

Mots de passe : tous différents !

L’une des plus grandes erreurs que font la majorité des utilisateurs, est la réutilisation des mêmes mots de passe, partout, tout le temps.

Bien que cela soit pratique de n’avoir a retenir qu’un seul mot de passe (encore plus lorsque celui-ci est complexe), le danger est bien réél.

Exemple : un pirate réussit à pirater un petit site sur lequel vous vous êtes inscrit il y a bien longtemps, pour laisser un commentaire ou télécharger une connerie. Ce pirate à désormais votre adresse email et votre mot de passe entre ses mains. Vous utilisez ce mot de passe partout, même pour vous connecter sur votre messagerie. Le pirate n’aura alors qu’à se connecter sur ladite messagerie et aura la possibilité de se connecter à n’importe lequel de vos comptes en ligne. Un simple “oubli du mot de passe” et c’est gagné ! 

Vous l’aurez compris : ne réutilisez jamais le même mot de passe deux fois

T’es marrant toi, j’ai des dizaines voir des centaines de comptes en ligne. Comment veux-tu que je retiennes 1000 mots de passe différent !!

Les coffres-fort de mots de passe

Peu de gens les utilisent, pourtant ils sont aussi simples d’utilisation qu’accessibles ! Un coffre-fort de mot de passe n’est ni plus ni moins qu’une application qui contient l’ensemble de vos mots de passe.

Ces coffres-forts sont disponible en ligne ou non. A titre personnel, je préfère les coffres-forts hors-ligne pour des raisons de souveraineté. C’est un choix personnel, je n’ai pas envie que MES mots de passe soient gérer par un tiers.

Comment fonctionne un coffre-fort de mot de passe ?

C’est très simple. Cette application dispose d’une base de données chiffrées. Vous n’aurez alors à retenir qu’un seul mot de passe pour avoir accès a tous les autres ! Inutile de vous recommander pour ce mot de passe en particulier, une robustesse particulièrement élevée !

Quel coffre-fort de mot de passe utiliser ?

J’utilise personnellement et depuis plusieurs années la solution Keepass. On parle ici d’une logiciel open source, libre de droit. L’outil est donc gratuit, et cerise sur le gâteau, certifié par l’ANSSI !

A l’usage, rien de compliqué. Après installation (ou exécution en direct dans sa version portable), Keepass vous demande un mot de passe “master“. A l’issue de ce processus, vous aurez la possibilité d’enregistrer tout vos mots de passe dans ce coffre sécurisé.

Keepass

Personnellement, je serais incapable de fournir mon mot de passe pour tel ou tel service ou plateforme même sous la torture. La raison est simple : je ne connais pas mes mots de passe. Ils sont tous générés aléatoirement et stockés dans mon Keepass. Pour me connecter, il me suffit de copier/coller le mot de passe dont j’ai besoin directement depuis mon Keepass et c’est tout.

Gros “plus” de Keepass : il existe de nombreux plugins additionnels qui vous simplifie la vie. Vous aurez ainsi la possibilité d’installer un plugin “Firefox” ou “Chrome” qui s’occupera d’aller rechercher dans votre Keepass automatiquement vos login et mots de passe. C’est comme si vous enregistriez vos mots de passe dans votre navigateur, à ceci prêt qu’ils sont stockés dans Keepass plutôt que dans votre navigateur. Le processus est donc beaucoup plus sécurisé, puisqu’il est très facile pour un pirate de récupérer votre base de mots de passe stockés dans votre navigateur.

Les bases de données Keepass se trouve sous la forme d’un fichier “.kdbx“. Bien que ces fichiers soient chiffrés, je les stockes personnellement sur une clé USB chiffré (une IronKey) pour plus de sécurité.

Une copie de ma base de données Keepass est également hébergé sur mon Google Drive. Grâce à l’application KeepassDroid, je peux y accéder aussi depuis mon mobile sans problème.

L’authentification multifactor (MFA / 2FA)

Sans même le savoir, vous utilisez probablement déjà l’authentification multifactor. Il s’agit en fait de valider en plus de votre mot de passe, un code supplémentaire. Les banques traditionnelles ont pour la plupart déjà adopté ce système depuis quelques années avec le “3D-Secure”. 

Avez-vous déjà due valider un achat sur internet par carte bancaire avec un “code” reçu par SMS ? Il s’agit là d’une authentification multifactor. En synthèse, on vous réclame une vérification supplémentaire pour être “sure” que vous êtes bien à l’origine de la transaction en cours.

Il est aujourd’hui possible de gérer et d’activer sois-même l’authentification multifactor sur de nombreuse plateforme en ligne. Dans le monde des cryptomonnaies notamment, cette option d’authentification est quasiment devenu un standard.

Pour simplifier le processus, la “double authentification” s’effectue souvent au moyen d’un code envoyé par SMS. En clair, vous vous identifier avec votre login + mot de passe, puis un SMS de confirmation est envoyé sur votre mobile pour vérifier que vous êtes bien le propriétaire du compte sur lequel vous vous connectez.

Ce système à tout de même ses limites : délais d’envoi du SMS, clone de carte SIM permettant à des pirate de recevoir le SMS en même temps que vous…

Pour répondre à cette problématique, vous avez toujours la possibilité d’utiliser des applications 2FA installable directement sur votre mobile. La plus connue d’entre elle est Google Authenticator. 

Son utilisation est simple : vous activer sur le site qui l’accepte l’option 2FA, vous scannez un QRcode avec Google Authenticator, et c’est tout ! Lors de votre prochaine connexion, il vous faudra simplement saisir le code affiché dans votre application Google Authenticator pour valider votre identité. Ce code change toutes les 10 secondes, ce qui vous assure qu’il ne pourra être “bruteforcé”.

Conclusion

Vous comprenez maintenant l’importance d’utiliser des mots de passe uniques et fort. Des solutions tel que Keepass existent pour vous faciliter la vie sans avoir a tous les retenir par coeur. Vous n’avez donc plus d’excuses, d’autant que ces coffres-forts de mots de passe sont accessible sur ordinateur ou mobile.

L’évolution des technologies et des puissances de calculs de nos ordinateurs mettent en périls l’usage des mots de passe. Heureusement, les solutions de double authentification (MFA / 2FA) existent pour ajouter une vérification supplémentaire à la vérification de votre mot de passe.

Vous avez dorénavant toutes les cartes en mains pour sécuriser vos accès. En appliquant les bonnes pratiques énoncés dans cet article, vous disposez du plus haut niveau de sécurité possible en matière de gestion des accès. Tout ce que l’on vous a présenté ici est gratuit, alors profitez-en !

N'hésitez pas à noter ce contenu !
[Total: 0 Moyenne: 0]
Vous aimez ? Partagez !

 

id suscipit risus. diam odio ut commodo ut in ultricies