Mots de passe : rappel de quelques conseils

Anthony Nelzin-Santos |
Après LinkedIn, c'est au tour de Last.fm d'annoncer que tout ou partie de sa base de mots de passe a été piratée : mieux vaut changer vos mots de passe, c'est donc l'occasion de rappeler quelques conseils utiles.



Le problème avec ces vols
Ces piratages ne sont pas destinés à voler des mots de passe directement : ceux-ci sont aujourd'hui la plupart du temps hashés, c'est-à-dire passés par une moulinette pour devenir illisibles. Mais ces mots de passe hashés peuvent être très utiles. La cible favorite des pirates est un service dont la sécurité est faible et à partir duquel on va pouvoir facilement voler les mots de passe. Encore mieux : certains de ces services peu protégés se contentent en plus de hasher les mots de passe sans prendre d'autres dispositions particulières, comme le salage — c'était le cas de LinkedIn.

Si l'on passe un même mot de passe par une même moulinette, on obtient toujours le même résultat. C'est ainsi que lorsque vous vous connectez à un site, le site passe le mot de passe que vous avez entré à la moulinette, compare le résultat à celui qui est stocké dans sa base, et vous laisse entrer si c'est le bon — dans l'opération, il n'a jamais vu votre mot de passe en clair, mais toujours le mot de passe hashé. La force de ce système est aussi sa faiblesse : des ordinateurs peuvent générer des mots de passe, les hasher, et stocker le mot de passe en clair et sa version hashée. On obtient ainsi des rainbow tables, des tables de comparaison.

Lorsqu'un pirate vole des mots de passe à un service, il tente d'abord de comparer les hashs à ces tables : s'il trouve un mot de passe simple dont on connaît la correspondance, il va alors prendre votre adresse e-mail, ce mot de passe, et essayer la combinaison d'abord sur votre webmail, pour tenter de récupérer d'autres mots de passe que l'on vous aurait envoyé. Il faut ainsi toujours détruire les mails contenant des mots de passe en clair. Il va ensuite essayer la combinaison sur de nombreux sites, jusqu'à réussir à entrer dans votre Paypal, votre iTunes ou votre Amazon avec votre carte bleue, etc. Ainsi, lorsque la sécurité d'un site est compromise, c'est l'ensemble des services que vous utilisez qui peuvent être compromis si vous utilisez un mot de passe unique. C'est pourquoi si vous pouvez vous contenter d'un mot de passe unique pour des services peu critiques, vous devez absolument avoir un mot de passe unique pour chaque service associé à vos données de paiement et vos réseaux sociaux.

Le pirate va ensuite essayer de déchiffrer les hashes : le résultat peut être payant par l'alimentation de nouvelles rainbow tables et l'accès à de nouveaux services, mais prend un temps fou — même si ce temps se réduit de plus en plus maintenant que l'on peut par exemple travailler sur 33,1 milliards de mots de passe à la seconde avec le GPGPU. Un bon mot de passe ralentit d'autant cette opération, comme il ralentit les attaques par force brute sur des services encore moins protégés, une fois que votre adresse e-mail est dans la nature.

Un bon mot de passe est un mot de passe… long !
Un bon mot de passe n'est pas forcément un mot de passe très compliqué, que vous risquez d'oublier — et ce n'est surtout pas votre date de naissance, le nom de votre chien ou de la petite dernière, ou un mot de passe utilisé pour tous vos comptes. C'est d'abord et avant tout un mot de passe long.

Du bon sens sur les mots de passe (XKCD)


On recommandait il y a quelques années de choisir des mots de passe d'environ six à huit caractères, en évitant les mots de passe « bêtes » comme 123456, password et azerty, les mots du dictionnaire ou encore les mots faciles à deviner par ingénierie sociale. C'est une bonne habitude de manière générale, qui évitera que votre mot de passe ne tombe trop vite.

Puisque les programmes de déchiffrement travaillent par permutations et essais, il vaut mieux aussi allonger le mot de passe : alors qu'il faut quelques jours pour craquer un mot de passe de huit caractères (217 millions de possibilités), il faut quelques mois à quelques années pour en craquer un de dix caractères (147 milliards de possibilités), sans même parler de ceux de douze caractères (99 246 milliards de possibilités). On vous demande aussi, en général, d'y glisser une majuscule et un chiffre : il ne faut plus essayer des combinaisons avec 26 possibilités, mais 62. Ajoutez un symbole, et l'espace de recherche passe maintenant à 95 possibilités par emplacement. Un mot de passe de douze caractères avec un symbole, un chiffre et une majuscule ne pourra être craqué, au mieux, qu'en quelques millions de siècles (4,68 x 1029 possibilités). De quoi voir venir.

Le mieux est de choisir un mot de passe assez facile à mémoriser mais suffisamment long et complexe pour être difficile à attaquer par force brute. Par exemple, le mot de passe Blabla######7 est plus facile à mémoriser et plus sûr que le mot de passe t+Kq9wTb : ce dernier peut-être retrouvé en quelques jours, alors que le premier peut en théorie tenir plusieurs dizaines de milliers de siècles. Tout simplement parce qu'il contient une majuscule, un chiffre et des symboles, mais est beaucoup plus long.

À chacun sa technique pour obtenir un mot de passe long, complexe, mais facile à retenir : la méthode la plus simple est celle de la phrase de passe, une phrase que l'on est le seul à connaître dont on utilise la première lettre de chaque mot comme mot de passe, en ayant changé quelques lettres par un chiffre, une majuscule et un symbole. Vous pouvez aussi former tous vos mots de passe de la même manière : la même phrase de passe commençant toujours par une majuscule à laquelle on ajoute un symbole et deux chiffres, qui changent toujours de service en service par exemple.

Gérer vos mots de passe
Vous pouvez aussi vous reposer sur un gestionnaire de mot de passe, ce qui est aujourd'hui une excellente idée : ils vous permettent d'utiliser un mot de passe unique, complexe et long par service, ce qui vous protège plutôt bien des attaques en ligne. Tous ces mots de passe sont stockés dans un fichier chiffré et protégé par un mot de passe maître, que vous êtes le seul à connaître, ce qui protège l'ensemble de vos données en cas d'accès physique à votre machine. Bien sûr, ce mot de passe devra lui aussi être facile à retenir tout en étant difficile à retrouver par attaque par force brute.

Les solutions sont nombreuses et diverses, en voici quelques unes :

  • 1Password, qui à l'avantage d'être disponible sur Mac, PC, iPhone et iPad et d'autres plateformes mobiles ;

  • Dashlane, un système concurrent mettant l'accès sur la simplicité d'utilisation ;

  • KeePass, qui est non seulement gratuit, mais aussi open-source et multi-plateforme.



De quoi au final non pas être protégé, car les attaques sont maintenant fréquentes et bien organisées, mais d'avoir suffisamment de temps pour réagir en cas de problème.
Tags
avatar Malcolmm | 
J'étais entrain de penser que j'avais une mémoire infaillible , la preuve je retiens les 4 chiffres du code de ma carte bancaire , arf 4 chiffres oh non au secours .
avatar Malcolmm | 
Decidemment le sujet me passionne . @ patchoulol [08/06/2012 10:30] (effacer) (editer) "coucoulesamiscommentcavabienaujourdhui" J'ai toujours cru qu'il fallait eviter les lettres qui se repetent car s'annulent , dans ton exemple il y a 4c ,4o ,5u ,4a ,etc .
avatar bugman | 
Je pense que le risque est faible de passer par ces solutions (jawad006), le chiffrement doit certainement être de l'AES, et même si l'application serait compromise, sans le mot de passe, un petit génie de l'informatique serait dans l'impossibilité d'avoir accès aux données (les autres mots de passe). Le risque de ces solutions serait peut être de se retrouver avec un fichier corrompu, dans ce cas difficile d'avoir accès à nos données. Faites une sauvegarde ! Par contre, je n'aime pas laisser mes mots de passe (même dans un fichier chiffré) sur Dropbox ou autres services en ligne. Idiot, mais un principe chez moi. @ Malcolmm : "arf 4 chiffres oh non au secours" mais que 3 essais et l'impossibilité (normalement) d'extraire les données de la carte... ça change tout. J'ai choisi un procédé similaire pour mes données (10 essais puis destruction des données puis de la clé (physiquement)... Comme dans Mission impossible, lol)
avatar 19marine91 | 
Bonjour à tous, Je n'utilise aucun gestionnaire de mot de passe. Pour mes mots de passe je fais un mixte entre 2 mots de passes: celui généré pas le collège et celui du lycée. Au total 12 caractères avec lettre et chiffres. J'ai souvent le même pour éviter d'oublié (je changeais avant et je savais jamais). Avec un mélange avec les mots de passe de mon copain (du même style) et des maj à divers endroits. Aucun problème jusque là^^
avatar bugman | 
"Il faut ainsi toujours détruire les mails contenant des mots de passe en clair." SUR LE SERVEUR sinon ça ne sert à rien (faut bien le préciser, on s'en doute un peu mais bon...)
avatar Armand07 | 
Et comment faire avec les sites qui imposent 6 caractères maximum... Et qqfois en plus obligation de caractères spéciaux (Majuscule, nombre, etc)...? Pas facile d'avoir un MDP qui "passe" partout !
avatar boussiko | 
Merci pour l article. J ai changé et rallongé l integralite de mes mots de passe, et ils sont tous differents. J ai juste imprimé mes mots de passe et mis la feuille dans un dossier facture edf. ;-)
avatar karayuschij | 
Si un software comme KisMAc peut cracker un mot de passe WPA en 15-30 minutes, à quoi sert un mot de passe?
avatar lmouillart | 
@Bernard07 "Et comment faire avec les sites qui imposent 6 caractères maximum..." Ma banque impose 6 chiffres, BINGO.
avatar Anthony Nelzin-Santos | 
@karayuschij : absolument rien à voir. Les clefs WEP ne se craquent pas de la même manière, et sont un jeu d'enfant à craquer par rapport à un hash de mot de passe en base.
avatar karayuschij | 
@ Anthony, je n'ai pas compris les histoires de hache et de base, mais je te crois. ;) Ce que je me demandais c'était si enfin de compte c'était si difficile que ça, pour une personne mal intentionnée et sachant comment faire, de cracker un mot de passe.
avatar crash_47 | 
@initialsBB Sauf qu'il faut forcément l'application 1password pour ouvrir tes mots de passe. Donc chez un copain la meilleure solution c'est d'avoir 1password sur iPhone.
avatar thierry37 | 
Ça fait des mois que je le remette "je dois changer les mots de passe" Ça sera une bonne occasion à la suite de ce très bon article. Mince j'avais jamais compté. J'ai 13 caractères dans mon mot de passe "fort". Ça va me porter la poisse ?? :-)
avatar thierry37 | 
des mois que je me répette ! (merci la correction auto)
avatar bugman | 
@ karayuschij : Personne aujourd'hui a (à ma connaissance) cracké Rijndael (AES). Pour s'attaquer à une clé, il faut essayer toutes les possibilités jusqu'à trouver la bonne (valable pour les applications proposées dans l'article) Une empreinte de mot de passe ne fait 'que' 128 bits (MD5), plus 'facile' à trouver.
avatar Vanton | 
Tiens c'est cool je me rends compte que sans vraiment le savoir j'ai plutôt géré. J'ai au moins 5 mots de passe différents. Et celui que j'utilise pour les services les plus sécurisés fait plus de 12 caractères. Pas de date d'anniv dedans, rien à voir avec le nom du chien... Bon, je me sens plutôt en sécurité ! :D C'est une belle journée.
avatar imrfreeze | 
Quid du trousseau de Mac Os ??? Pas un mot dans l'article ni dans les commentaires
avatar Tfzero | 
Très bon article. Par contre, les gestionnaires de mot de passe sont pour moi le Mal absolu : imaginer une faille dans 1Password me donne froid dans le dos... Je trouve que ce genre de solutions déresponsabilise les gens.
avatar DG33 | 
Pour ma part une racine de quelques caractères, un signe, et une terminaison variant d'un site/service/matériel à l'autre. Le tout avec des chiffres et accents. De plus la racine change en fonction du thème : une pour le thème Mac, une autre pour le thème iBidule, une autre pour les sites d'achats, et encore une pour les sites d'actualité.
avatar expertpack | 
moi mon pass c'est steve_job chut !
avatar Jimpi6142 | 
@imrfreeze + 1
avatar Logoman | 
Un mot de passe complexe de 12 caractères demande une éternité pour être cracké ... par un seul ordinateur ! Il existe des millions de machines zombies, des ordinateurs capables d'effectuer de lourds calculs en tâche de fond pour le compte d'un pirate. Le possesseur/utilisateur de l'ordinateur ne s’aperçoit généralement de rien, car les opérations du pirate utilisent uniquement la puissance processeur inutilisée par l'utilisateur. Ce genre d'attaque permet à un cracker de faire travailler des millions d'ordinateurs simultanément sur la même tâche (disons casser un mot de passe, à tout hasard). On estime qu'environ un ordinateur connecté à Internet sur cinq est une machine zombie. http://fr.wikipedia.org/wiki/Machine_zombie Donc, pour en revenir au mot de passe complexe de 12 caractères, il tiendra effectivement une éternité pour un PC, mais seulement quelques heures pour une horde de machines zombies ... A méditer ...
avatar rva1mac | 
Un mot de passe de huit caractères est beaucoup plus rapide à trouver que ce qui est dit dans l'article et ce quelque soit les caractères utilisés !
avatar jeanlucinfo | 
Très bonne explication. Très bond conseils Comme d'hab.. Merci MacG!
avatar samigina00 | 
[quote]Vous pouvez aussi vous reposer sur un gestionnaire de mot de passe, ce qui est aujourd'hui une excellente idée : ils vous permettent d'utiliser un mot de passe unique, complexe et long par service[/quote] C'est sûr, c'est la meilleure solution dans le meilleur des mondes, mais du coup l'accès à ses comptes quand on est chez un pote ou depuis un autre ordo que le sien devient difficile, voire impossible, à moins d'avoir une mémoire hors norme……
avatar jeanlucinfo | 
Perso mon mot de passe contient 22 caractères :p qui n'ontpasde sens avec chiffres espaces majuscules lettres et malgré ceci je suis arrrivé à le retenir
avatar melvyn71 | 
Rien ne vaut le bon vieux post-it pour se souvenir des mor de passe chez soi ...
avatar saakhpets | 
Mince avec Blabla... vous avez révélé mon mot de passe !! Je fais comment maintenant ? :)
avatar initialsBB | 
@samigina00 "mais du coup l'accès à ses comptes quand on est chez un pote ou depuis un autre ordo que le sien devient difficile, voire impossible, à moins d'avoir une mémoire hors norme……" Pas si tu utilises Dropbox (en tout cas avec 1password): seulement à retenir le mot de passe maître et Dropbox, tous les mots de passe sont disponibles dans n'importe quel navigateur.
avatar AlaraD | 
Super intéressant. 1Password est facilement utilisable avec un Pc ou un Mac, il en est tout autre chose avec un BeauPhone. Allez et retour incessants entre applications, mot de passe à entrer dans 1Password, pas de saisie automatique entre 1 Password et l appli..... Bref Apple met des bâtons dans les roues des utilisateurs avec ses règles de fonctionnement inter-applicatifs. Je ne sais pas ce que le monde Android propose, j'espère que la fameuse "expérience utilisateur" est meilleur ce qui est franchement très simple sur ce sujet. Il faut traiter ce sujet en tenant compte qu'une proportion de plus en plus importante des accès aux services Web se font et se feront à partir d'un mobile ou d une tablette. Comme utilisateur ancien voir très ancien du monde Apple je dois reconnaître que cette entreprise ressemble de plus en plus à "FaceBouc", le diable quoi ! Santé, prospérité.
avatar manustyle | 
Depuis les récentes attaques sur l'itune store, j'en ai mis un super compliqué. le hic, c'est que c'est long a rentrer a chaque mise a jour sur l'iphone.
avatar Sergio_bzh | 
je vois que j'ai déjà suivi les bons conseils: j'ai un pw à environ 10 caractères avec un même mot "racine" et 1 ou 2 chiffre et un carac spécial. Et 1password + dropbox sur Mac et iPhone. Entrer le pw de 1passwd sur l'iPhone à chaque fois est un peu longuet mais il faut bien qu'il y ait une netrée manuelle quelque part pour qu'il y ait de la sécurité Si c'était automatique et qu'on me pique mon iPhone ... :((((
avatar bigham | 
Merci pour le lien sur la définition de salage sur wikipedia. J'ai enfin trouvé un truc court à lire qui endort rapidement.
avatar lmouillart | 
Sur Mac j'utilise un mot de passe classique + 1Password (en veillant à avoir un mdp différent par site), sauf les trucs à la noix où un piratage ne me gène pas tellement. Sur mon laptop du boulot il y a un outil style 1Password et un mot de passe biométrique par empreinte digitale + présence d'un dongle micro clé usb.Le lecteur biométrique manque sur le macbook car ça va super vite à saisir puis ça ne s'oublie pas (on peu enregistrer plusieurs doigts et plusieurs mains au cas ou une à des soucis). Sinon chez Google j'utilise le 2step logon, si les sites tiers plutôt que de passer par facebook utilisaient Google cela sera plus sécurisé.
avatar therealshad | 
Bonjour, J'ai une question des novice. J'ai un gros doute sur les gestionnaires de mots de passe, en fait si quelqu'un arrive à craquer le mot de passe du gestionnaire de mots de passe il aura accès à tous nos mots de passe donc c'est carrément dangereux non ? Merci pour vos éclaircissements.
avatar lmouillart | 
@therealshad effectivement, donc le but c'est d'en avoir un complexe et de ne pas se le faire attraper par quelqu'un qui regarde, un keyloguer ou autre, d'où ma préférence au système biométrique + jeton.
avatar Nesus | 
@therealshad : en théorie oui, sauf si tu suis la logique. Mon mot de passe dashlane comprend 13 caractères avec majuscule et signe. Avant de pouvoir le craquer il va falloir une éternité (sans jeu de mot). Pour un poste de travail minable personne ne prendra autant de temps à essayer. La réussite étant absolument pas sûre.
avatar DickyPoo | 
@melvyn71 ... et pour finir il faut coller le postit sur ton écran ou sous le clavier :) Plus sérieusement le truc du mot de passe unique et compliqué pour le mail, paypal, ebay etc. et des mots de passe simples et pas (forcément) unique pour un forum (ici par exemple) rend les choses plus faciles. Pour gérer les mots de passe j'utilise SplashID. Pas mal, il est possible que 1Password soit mieux mais ça fait 10ans que je l'ai donc l'habitude aidant...
avatar fubar | 
Merci pour ce très bon article, clair et concis. Perso j'utilise 1password qui est très pratique même si je m'aperçois après cette lecture que mon mot de passe n'est pas suffisant protéger...
avatar sylko | 
J'utilise LastPass depuis plusieurs années. Également multiplateformes. Gratuit ou Premium. Vraiment parfait. www.lastpass.com
avatar BitNic | 
C'est quoi un Post it ? Ça s'installe sur mon Minitel ??? Bonne journée... car c'est Vendredi... hihihi
avatar iBook 68 (non vérifié) | 
Le soucis avec les gestionnaires de mots de passe c'est qu'au premier souci avec l'application (bug, base vérolée ou n'importe quoi d'autre), pouf plus de mot de passe de rien. M'est arrivé avec KeePass, du jour au lendemain, j'avais plus accès à rien. Bon au moins personne pouvait me pirater, même moi-même :-) Mais ensuite c'est la galère pour tout remettre en place.
avatar SolMJ | 
[quote=samigina00] "mais du coup l'accès à ses comptes quand on est chez un pote ou depuis un autre ordo que le sien devient difficile, voire impossible, à moins d'avoir une mémoire hors norme……"[/quote] Avec Wallet tu as la version iPhone, donc accessible partout ;) [quote= ShowMeHowToLive]Et surtout ne jamais utiliser le même mot de passe pour plusieurs sites ![/quote] Dans la pratique quand t'es abonné à des dizaines de sites différents (dont 90% que tu vas utiliser une ou deux fois par an), ce n'est pas un drame si tu as des mots de passe identiques, faut pas tomber dans la parano excessive... ;) L'idéal est d'avoir différents niveaux de mots de passe, un pour les "petits" sites qui ne tiennent pas d'informations, un autre pour les plus sensibles, etc...
avatar zeveto | 
Je ne sais pas pourquoi mais je suis mal à l'aise avec cette idée de confier mes mots de passe à un logiciel tiers. J'ai 4 mots de passe que j'utilise en fonction du niveau de sensibilité des données. Je ne sais pas si cela est bonne chose. Sinon quelqu'un connait-il la fiabilité de solutions (dashlane, one password et keepass) ? Merci
avatar Malcolmm | 
Comme quoi avoir une très bonne mémoire ça aide , c'était quoi déjà la question ?
avatar patchoulol | 
Merci pour cet article ! Pour ceux qui veulent aller plus loin, voici un excellent article sur "Qu'est-ce qu'un bon mot de passe ?" : http://tech.dropbox.com/?p=165 . Où l'on apprend que 'deF4/+1e' est moins sûr que 'coucoulesamiscommentcavabienaujourdhui'.

CONNEXION UTILISATEUR