Mots de passe : rappel de quelques conseils

Anthony Nelzin-Santos |
Après LinkedIn, c'est au tour de Last.fm d'annoncer que tout ou partie de sa base de mots de passe a été piratée : mieux vaut changer vos mots de passe, c'est donc l'occasion de rappeler quelques conseils utiles.



Le problème avec ces vols
Ces piratages ne sont pas destinés à voler des mots de passe directement : ceux-ci sont aujourd'hui la plupart du temps hashés, c'est-à-dire passés par une moulinette pour devenir illisibles. Mais ces mots de passe hashés peuvent être très utiles. La cible favorite des pirates est un service dont la sécurité est faible et à partir duquel on va pouvoir facilement voler les mots de passe. Encore mieux : certains de ces services peu protégés se contentent en plus de hasher les mots de passe sans prendre d'autres dispositions particulières, comme le salage — c'était le cas de LinkedIn.

Si l'on passe un même mot de passe par une même moulinette, on obtient toujours le même résultat. C'est ainsi que lorsque vous vous connectez à un site, le site passe le mot de passe que vous avez entré à la moulinette, compare le résultat à celui qui est stocké dans sa base, et vous laisse entrer si c'est le bon — dans l'opération, il n'a jamais vu votre mot de passe en clair, mais toujours le mot de passe hashé. La force de ce système est aussi sa faiblesse : des ordinateurs peuvent générer des mots de passe, les hasher, et stocker le mot de passe en clair et sa version hashée. On obtient ainsi des rainbow tables, des tables de comparaison.

Lorsqu'un pirate vole des mots de passe à un service, il tente d'abord de comparer les hashs à ces tables : s'il trouve un mot de passe simple dont on connaît la correspondance, il va alors prendre votre adresse e-mail, ce mot de passe, et essayer la combinaison d'abord sur votre webmail, pour tenter de récupérer d'autres mots de passe que l'on vous aurait envoyé. Il faut ainsi toujours détruire les mails contenant des mots de passe en clair. Il va ensuite essayer la combinaison sur de nombreux sites, jusqu'à réussir à entrer dans votre Paypal, votre iTunes ou votre Amazon avec votre carte bleue, etc. Ainsi, lorsque la sécurité d'un site est compromise, c'est l'ensemble des services que vous utilisez qui peuvent être compromis si vous utilisez un mot de passe unique. C'est pourquoi si vous pouvez vous contenter d'un mot de passe unique pour des services peu critiques, vous devez absolument avoir un mot de passe unique pour chaque service associé à vos données de paiement et vos réseaux sociaux.

Le pirate va ensuite essayer de déchiffrer les hashes : le résultat peut être payant par l'alimentation de nouvelles rainbow tables et l'accès à de nouveaux services, mais prend un temps fou — même si ce temps se réduit de plus en plus maintenant que l'on peut par exemple travailler sur 33,1 milliards de mots de passe à la seconde avec le GPGPU. Un bon mot de passe ralentit d'autant cette opération, comme il ralentit les attaques par force brute sur des services encore moins protégés, une fois que votre adresse e-mail est dans la nature.

Un bon mot de passe est un mot de passe… long !
Un bon mot de passe n'est pas forcément un mot de passe très compliqué, que vous risquez d'oublier — et ce n'est surtout pas votre date de naissance, le nom de votre chien ou de la petite dernière, ou un mot de passe utilisé pour tous vos comptes. C'est d'abord et avant tout un mot de passe long.

Du bon sens sur les mots de passe (XKCD)


On recommandait il y a quelques années de choisir des mots de passe d'environ six à huit caractères, en évitant les mots de passe « bêtes » comme 123456, password et azerty, les mots du dictionnaire ou encore les mots faciles à deviner par ingénierie sociale. C'est une bonne habitude de manière générale, qui évitera que votre mot de passe ne tombe trop vite.

Puisque les programmes de déchiffrement travaillent par permutations et essais, il vaut mieux aussi allonger le mot de passe : alors qu'il faut quelques jours pour craquer un mot de passe de huit caractères (217 millions de possibilités), il faut quelques mois à quelques années pour en craquer un de dix caractères (147 milliards de possibilités), sans même parler de ceux de douze caractères (99 246 milliards de possibilités). On vous demande aussi, en général, d'y glisser une majuscule et un chiffre : il ne faut plus essayer des combinaisons avec 26 possibilités, mais 62. Ajoutez un symbole, et l'espace de recherche passe maintenant à 95 possibilités par emplacement. Un mot de passe de douze caractères avec un symbole, un chiffre et une majuscule ne pourra être craqué, au mieux, qu'en quelques millions de siècles (4,68 x 1029 possibilités). De quoi voir venir.

Le mieux est de choisir un mot de passe assez facile à mémoriser mais suffisamment long et complexe pour être difficile à attaquer par force brute. Par exemple, le mot de passe Blabla######7 est plus facile à mémoriser et plus sûr que le mot de passe t+Kq9wTb : ce dernier peut-être retrouvé en quelques jours, alors que le premier peut en théorie tenir plusieurs dizaines de milliers de siècles. Tout simplement parce qu'il contient une majuscule, un chiffre et des symboles, mais est beaucoup plus long.

À chacun sa technique pour obtenir un mot de passe long, complexe, mais facile à retenir : la méthode la plus simple est celle de la phrase de passe, une phrase que l'on est le seul à connaître dont on utilise la première lettre de chaque mot comme mot de passe, en ayant changé quelques lettres par un chiffre, une majuscule et un symbole. Vous pouvez aussi former tous vos mots de passe de la même manière : la même phrase de passe commençant toujours par une majuscule à laquelle on ajoute un symbole et deux chiffres, qui changent toujours de service en service par exemple.

Gérer vos mots de passe
Vous pouvez aussi vous reposer sur un gestionnaire de mot de passe, ce qui est aujourd'hui une excellente idée : ils vous permettent d'utiliser un mot de passe unique, complexe et long par service, ce qui vous protège plutôt bien des attaques en ligne. Tous ces mots de passe sont stockés dans un fichier chiffré et protégé par un mot de passe maître, que vous êtes le seul à connaître, ce qui protège l'ensemble de vos données en cas d'accès physique à votre machine. Bien sûr, ce mot de passe devra lui aussi être facile à retenir tout en étant difficile à retrouver par attaque par force brute.

Les solutions sont nombreuses et diverses, en voici quelques unes :

  • 1Password, qui à l'avantage d'être disponible sur Mac, PC, iPhone et iPad et d'autres plateformes mobiles ;

  • Dashlane, un système concurrent mettant l'accès sur la simplicité d'utilisation ;

  • KeePass, qui est non seulement gratuit, mais aussi open-source et multi-plateforme.



De quoi au final non pas être protégé, car les attaques sont maintenant fréquentes et bien organisées, mais d'avoir suffisamment de temps pour réagir en cas de problème.
Tags
avatar Malcolmm | 
J'étais entrain de penser que j'avais une mémoire infaillible , la preuve je retiens les 4 chiffres du code de ma carte bancaire , arf 4 chiffres oh non au secours .
avatar Malcolmm | 
Decidemment le sujet me passionne . @ patchoulol [08/06/2012 10:30] (effacer) (editer) "coucoulesamiscommentcavabienaujourdhui" J'ai toujours cru qu'il fallait eviter les lettres qui se repetent car s'annulent , dans ton exemple il y a 4c ,4o ,5u ,4a ,etc .
avatar bugman | 
Je pense que le risque est faible de passer par ces solutions (jawad006), le chiffrement doit certainement être de l'AES, et même si l'application serait compromise, sans le mot de passe, un petit génie de l'informatique serait dans l'impossibilité d'avoir accès aux données (les autres mots de passe). Le risque de ces solutions serait peut être de se retrouver avec un fichier corrompu, dans ce cas difficile d'avoir accès à nos données. Faites une sauvegarde ! Par contre, je n'aime pas laisser mes mots de passe (même dans un fichier chiffré) sur Dropbox ou autres services en ligne. Idiot, mais un principe chez moi. @ Malcolmm : "arf 4 chiffres oh non au secours" mais que 3 essais et l'impossibilité (normalement) d'extraire les données de la carte... ça change tout. J'ai choisi un procédé similaire pour mes données (10 essais puis destruction des données puis de la clé (physiquement)... Comme dans Mission impossible, lol)
avatar 19marine91 | 
Bonjour à tous, Je n'utilise aucun gestionnaire de mot de passe. Pour mes mots de passe je fais un mixte entre 2 mots de passes: celui généré pas le collège et celui du lycée. Au total 12 caractères avec lettre et chiffres. J'ai souvent le même pour éviter d'oublié (je changeais avant et je savais jamais). Avec un mélange avec les mots de passe de mon copain (du même style) et des maj à divers endroits. Aucun problème jusque là^^
avatar bugman | 
"Il faut ainsi toujours détruire les mails contenant des mots de passe en clair." SUR LE SERVEUR sinon ça ne sert à rien (faut bien le préciser, on s'en doute un peu mais bon...)
avatar Armand07 | 
Et comment faire avec les sites qui imposent 6 caractères maximum... Et qqfois en plus obligation de caractères spéciaux (Majuscule, nombre, etc)...? Pas facile d'avoir un MDP qui "passe" partout !
avatar boussiko | 
Merci pour l article. J ai changé et rallongé l integralite de mes mots de passe, et ils sont tous differents. J ai juste imprimé mes mots de passe et mis la feuille dans un dossier facture edf. ;-)
avatar karayuschij | 
Si un software comme KisMAc peut cracker un mot de passe WPA en 15-30 minutes, à quoi sert un mot de passe?
avatar lmouillart | 
@Bernard07 "Et comment faire avec les sites qui imposent 6 caractères maximum..." Ma banque impose 6 chiffres, BINGO.
avatar Anthony Nelzin-Santos | 
@karayuschij : absolument rien à voir. Les clefs WEP ne se craquent pas de la même manière, et sont un jeu d'enfant à craquer par rapport à un hash de mot de passe en base.
avatar karayuschij | 
@ Anthony, je n'ai pas compris les histoires de hache et de base, mais je te crois. ;) Ce que je me demandais c'était si enfin de compte c'était si difficile que ça, pour une personne mal intentionnée et sachant comment faire, de cracker un mot de passe.
avatar crash_47 | 
@initialsBB Sauf qu'il faut forcément l'application 1password pour ouvrir tes mots de passe. Donc chez un copain la meilleure solution c'est d'avoir 1password sur iPhone.
avatar thierry37 | 
Ça fait des mois que je le remette "je dois changer les mots de passe" Ça sera une bonne occasion à la suite de ce très bon article. Mince j'avais jamais compté. J'ai 13 caractères dans mon mot de passe "fort". Ça va me porter la poisse ?? :-)
avatar thierry37 | 
des mois que je me répette ! (merci la correction auto)
avatar bugman | 
@ karayuschij : Personne aujourd'hui a (à ma connaissance) cracké Rijndael (AES). Pour s'attaquer à une clé, il faut essayer toutes les possibilités jusqu'à trouver la bonne (valable pour les applications proposées dans l'article) Une empreinte de mot de passe ne fait 'que' 128 bits (MD5), plus 'facile' à trouver.
avatar Vanton | 
Tiens c'est cool je me rends compte que sans vraiment le savoir j'ai plutôt géré. J'ai au moins 5 mots de passe différents. Et celui que j'utilise pour les services les plus sécurisés fait plus de 12 caractères. Pas de date d'anniv dedans, rien à voir avec le nom du chien... Bon, je me sens plutôt en sécurité ! :D C'est une belle journée.
avatar imrfreeze | 
Quid du trousseau de Mac Os ??? Pas un mot dans l'article ni dans les commentaires
avatar Tfzero | 
Très bon article. Par contre, les gestionnaires de mot de passe sont pour moi le Mal absolu : imaginer une faille dans 1Password me donne froid dans le dos... Je trouve que ce genre de solutions déresponsabilise les gens.
avatar DG33 | 
Pour ma part une racine de quelques caractères, un signe, et une terminaison variant d'un site/service/matériel à l'autre. Le tout avec des chiffres et accents. De plus la racine change en fonction du thème : une pour le thème Mac, une autre pour le thème iBidule, une autre pour les sites d'achats, et encore une pour les sites d'actualité.
avatar expertpack | 
moi mon pass c'est steve_job chut !
avatar Jimpi6142 | 
@imrfreeze + 1
avatar Logoman | 
Un mot de passe complexe de 12 caractères demande une éternité pour être cracké ... par un seul ordinateur ! Il existe des millions de machines zombies, des ordinateurs capables d'effectuer de lourds calculs en tâche de fond pour le compte d'un pirate. Le possesseur/utilisateur de l'ordinateur ne s’aperçoit généralement de rien, car les opérations du pirate utilisent uniquement la puissance processeur inutilisée par l'utilisateur. Ce genre d'attaque permet à un cracker de faire travailler des millions d'ordinateurs simultanément sur la même tâche (disons casser un mot de passe, à tout hasard). On estime qu'environ un ordinateur connecté à Internet sur cinq est une machine zombie. http://fr.wikipedia.org/wiki/Machine_zombie Donc, pour en revenir au mot de passe complexe de 12 caractères, il tiendra effectivement une éternité pour un PC, mais seulement quelques heures pour une horde de machines zombies ... A méditer ...
avatar rva1mac | 
Un mot de passe de huit caractères est beaucoup plus rapide à trouver que ce qui est dit dans l'article et ce quelque soit les caractères utilisés !
avatar jeanlucinfo | 
Très bonne explication. Très bond conseils Comme d'hab.. Merci MacG!
avatar samigina00 | 
[quote]Vous pouvez aussi vous reposer sur un gestionnaire de mot de passe, ce qui est aujourd'hui une excellente idée : ils vous permettent d'utiliser un mot de passe unique, complexe et long par service[/quote] C'est sûr, c'est la meilleure solution dans le meilleur des mondes, mais du coup l'accès à ses comptes quand on est chez un pote ou depuis un autre ordo que le sien devient difficile, voire impossible, à moins d'avoir une mémoire hors norme……

Pages

CONNEXION UTILISATEUR