Mots de passe : rappel de quelques conseils

Anthony Nelzin-Santos |
Après LinkedIn, c'est au tour de Last.fm d'annoncer que tout ou partie de sa base de mots de passe a été piratée : mieux vaut changer vos mots de passe, c'est donc l'occasion de rappeler quelques conseils utiles.



Le problème avec ces vols
Ces piratages ne sont pas destinés à voler des mots de passe directement : ceux-ci sont aujourd'hui la plupart du temps hashés, c'est-à-dire passés par une moulinette pour devenir illisibles. Mais ces mots de passe hashés peuvent être très utiles. La cible favorite des pirates est un service dont la sécurité est faible et à partir duquel on va pouvoir facilement voler les mots de passe. Encore mieux : certains de ces services peu protégés se contentent en plus de hasher les mots de passe sans prendre d'autres dispositions particulières, comme le salage — c'était le cas de LinkedIn.

Si l'on passe un même mot de passe par une même moulinette, on obtient toujours le même résultat. C'est ainsi que lorsque vous vous connectez à un site, le site passe le mot de passe que vous avez entré à la moulinette, compare le résultat à celui qui est stocké dans sa base, et vous laisse entrer si c'est le bon — dans l'opération, il n'a jamais vu votre mot de passe en clair, mais toujours le mot de passe hashé. La force de ce système est aussi sa faiblesse : des ordinateurs peuvent générer des mots de passe, les hasher, et stocker le mot de passe en clair et sa version hashée. On obtient ainsi des rainbow tables, des tables de comparaison.

Lorsqu'un pirate vole des mots de passe à un service, il tente d'abord de comparer les hashs à ces tables : s'il trouve un mot de passe simple dont on connaît la correspondance, il va alors prendre votre adresse e-mail, ce mot de passe, et essayer la combinaison d'abord sur votre webmail, pour tenter de récupérer d'autres mots de passe que l'on vous aurait envoyé. Il faut ainsi toujours détruire les mails contenant des mots de passe en clair. Il va ensuite essayer la combinaison sur de nombreux sites, jusqu'à réussir à entrer dans votre Paypal, votre iTunes ou votre Amazon avec votre carte bleue, etc. Ainsi, lorsque la sécurité d'un site est compromise, c'est l'ensemble des services que vous utilisez qui peuvent être compromis si vous utilisez un mot de passe unique. C'est pourquoi si vous pouvez vous contenter d'un mot de passe unique pour des services peu critiques, vous devez absolument avoir un mot de passe unique pour chaque service associé à vos données de paiement et vos réseaux sociaux.

Le pirate va ensuite essayer de déchiffrer les hashes : le résultat peut être payant par l'alimentation de nouvelles rainbow tables et l'accès à de nouveaux services, mais prend un temps fou — même si ce temps se réduit de plus en plus maintenant que l'on peut par exemple travailler sur 33,1 milliards de mots de passe à la seconde avec le GPGPU. Un bon mot de passe ralentit d'autant cette opération, comme il ralentit les attaques par force brute sur des services encore moins protégés, une fois que votre adresse e-mail est dans la nature.

Un bon mot de passe est un mot de passe… long !
Un bon mot de passe n'est pas forcément un mot de passe très compliqué, que vous risquez d'oublier — et ce n'est surtout pas votre date de naissance, le nom de votre chien ou de la petite dernière, ou un mot de passe utilisé pour tous vos comptes. C'est d'abord et avant tout un mot de passe long.

Du bon sens sur les mots de passe (XKCD)


On recommandait il y a quelques années de choisir des mots de passe d'environ six à huit caractères, en évitant les mots de passe « bêtes » comme 123456, password et azerty, les mots du dictionnaire ou encore les mots faciles à deviner par ingénierie sociale. C'est une bonne habitude de manière générale, qui évitera que votre mot de passe ne tombe trop vite.

Puisque les programmes de déchiffrement travaillent par permutations et essais, il vaut mieux aussi allonger le mot de passe : alors qu'il faut quelques jours pour craquer un mot de passe de huit caractères (217 millions de possibilités), il faut quelques mois à quelques années pour en craquer un de dix caractères (147 milliards de possibilités), sans même parler de ceux de douze caractères (99 246 milliards de possibilités). On vous demande aussi, en général, d'y glisser une majuscule et un chiffre : il ne faut plus essayer des combinaisons avec 26 possibilités, mais 62. Ajoutez un symbole, et l'espace de recherche passe maintenant à 95 possibilités par emplacement. Un mot de passe de douze caractères avec un symbole, un chiffre et une majuscule ne pourra être craqué, au mieux, qu'en quelques millions de siècles (4,68 x 1029 possibilités). De quoi voir venir.

Le mieux est de choisir un mot de passe assez facile à mémoriser mais suffisamment long et complexe pour être difficile à attaquer par force brute. Par exemple, le mot de passe Blabla######7 est plus facile à mémoriser et plus sûr que le mot de passe t+Kq9wTb : ce dernier peut-être retrouvé en quelques jours, alors que le premier peut en théorie tenir plusieurs dizaines de milliers de siècles. Tout simplement parce qu'il contient une majuscule, un chiffre et des symboles, mais est beaucoup plus long.

À chacun sa technique pour obtenir un mot de passe long, complexe, mais facile à retenir : la méthode la plus simple est celle de la phrase de passe, une phrase que l'on est le seul à connaître dont on utilise la première lettre de chaque mot comme mot de passe, en ayant changé quelques lettres par un chiffre, une majuscule et un symbole. Vous pouvez aussi former tous vos mots de passe de la même manière : la même phrase de passe commençant toujours par une majuscule à laquelle on ajoute un symbole et deux chiffres, qui changent toujours de service en service par exemple.

Gérer vos mots de passe
Vous pouvez aussi vous reposer sur un gestionnaire de mot de passe, ce qui est aujourd'hui une excellente idée : ils vous permettent d'utiliser un mot de passe unique, complexe et long par service, ce qui vous protège plutôt bien des attaques en ligne. Tous ces mots de passe sont stockés dans un fichier chiffré et protégé par un mot de passe maître, que vous êtes le seul à connaître, ce qui protège l'ensemble de vos données en cas d'accès physique à votre machine. Bien sûr, ce mot de passe devra lui aussi être facile à retenir tout en étant difficile à retrouver par attaque par force brute.

Les solutions sont nombreuses et diverses, en voici quelques unes :

  • 1Password, qui à l'avantage d'être disponible sur Mac, PC, iPhone et iPad et d'autres plateformes mobiles ;

  • Dashlane, un système concurrent mettant l'accès sur la simplicité d'utilisation ;

  • KeePass, qui est non seulement gratuit, mais aussi open-source et multi-plateforme.



De quoi au final non pas être protégé, car les attaques sont maintenant fréquentes et bien organisées, mais d'avoir suffisamment de temps pour réagir en cas de problème.
Tags
avatar jeanlucinfo | 
Perso mon mot de passe contient 22 caractères :p qui n'ontpasde sens avec chiffres espaces majuscules lettres et malgré ceci je suis arrrivé à le retenir
avatar melvyn71 | 
Rien ne vaut le bon vieux post-it pour se souvenir des mor de passe chez soi ...
avatar saakhpets | 
Mince avec Blabla... vous avez révélé mon mot de passe !! Je fais comment maintenant ? :)
avatar initialsBB | 
@samigina00 "mais du coup l'accès à ses comptes quand on est chez un pote ou depuis un autre ordo que le sien devient difficile, voire impossible, à moins d'avoir une mémoire hors norme……" Pas si tu utilises Dropbox (en tout cas avec 1password): seulement à retenir le mot de passe maître et Dropbox, tous les mots de passe sont disponibles dans n'importe quel navigateur.
avatar AlaraD | 
Super intéressant. 1Password est facilement utilisable avec un Pc ou un Mac, il en est tout autre chose avec un BeauPhone. Allez et retour incessants entre applications, mot de passe à entrer dans 1Password, pas de saisie automatique entre 1 Password et l appli..... Bref Apple met des bâtons dans les roues des utilisateurs avec ses règles de fonctionnement inter-applicatifs. Je ne sais pas ce que le monde Android propose, j'espère que la fameuse "expérience utilisateur" est meilleur ce qui est franchement très simple sur ce sujet. Il faut traiter ce sujet en tenant compte qu'une proportion de plus en plus importante des accès aux services Web se font et se feront à partir d'un mobile ou d une tablette. Comme utilisateur ancien voir très ancien du monde Apple je dois reconnaître que cette entreprise ressemble de plus en plus à "FaceBouc", le diable quoi ! Santé, prospérité.
avatar manustyle | 
Depuis les récentes attaques sur l'itune store, j'en ai mis un super compliqué. le hic, c'est que c'est long a rentrer a chaque mise a jour sur l'iphone.
avatar Sergio_bzh | 
je vois que j'ai déjà suivi les bons conseils: j'ai un pw à environ 10 caractères avec un même mot "racine" et 1 ou 2 chiffre et un carac spécial. Et 1password + dropbox sur Mac et iPhone. Entrer le pw de 1passwd sur l'iPhone à chaque fois est un peu longuet mais il faut bien qu'il y ait une netrée manuelle quelque part pour qu'il y ait de la sécurité Si c'était automatique et qu'on me pique mon iPhone ... :((((
avatar bigham | 
Merci pour le lien sur la définition de salage sur wikipedia. J'ai enfin trouvé un truc court à lire qui endort rapidement.
avatar lmouillart | 
Sur Mac j'utilise un mot de passe classique + 1Password (en veillant à avoir un mdp différent par site), sauf les trucs à la noix où un piratage ne me gène pas tellement. Sur mon laptop du boulot il y a un outil style 1Password et un mot de passe biométrique par empreinte digitale + présence d'un dongle micro clé usb.Le lecteur biométrique manque sur le macbook car ça va super vite à saisir puis ça ne s'oublie pas (on peu enregistrer plusieurs doigts et plusieurs mains au cas ou une à des soucis). Sinon chez Google j'utilise le 2step logon, si les sites tiers plutôt que de passer par facebook utilisaient Google cela sera plus sécurisé.
avatar therealshad | 
Bonjour, J'ai une question des novice. J'ai un gros doute sur les gestionnaires de mots de passe, en fait si quelqu'un arrive à craquer le mot de passe du gestionnaire de mots de passe il aura accès à tous nos mots de passe donc c'est carrément dangereux non ? Merci pour vos éclaircissements.
avatar lmouillart | 
@therealshad effectivement, donc le but c'est d'en avoir un complexe et de ne pas se le faire attraper par quelqu'un qui regarde, un keyloguer ou autre, d'où ma préférence au système biométrique + jeton.
avatar Nesus | 
@therealshad : en théorie oui, sauf si tu suis la logique. Mon mot de passe dashlane comprend 13 caractères avec majuscule et signe. Avant de pouvoir le craquer il va falloir une éternité (sans jeu de mot). Pour un poste de travail minable personne ne prendra autant de temps à essayer. La réussite étant absolument pas sûre.
avatar DickyPoo | 
@melvyn71 ... et pour finir il faut coller le postit sur ton écran ou sous le clavier :) Plus sérieusement le truc du mot de passe unique et compliqué pour le mail, paypal, ebay etc. et des mots de passe simples et pas (forcément) unique pour un forum (ici par exemple) rend les choses plus faciles. Pour gérer les mots de passe j'utilise SplashID. Pas mal, il est possible que 1Password soit mieux mais ça fait 10ans que je l'ai donc l'habitude aidant...
avatar fubar | 
Merci pour ce très bon article, clair et concis. Perso j'utilise 1password qui est très pratique même si je m'aperçois après cette lecture que mon mot de passe n'est pas suffisant protéger...
avatar sylko | 
J'utilise LastPass depuis plusieurs années. Également multiplateformes. Gratuit ou Premium. Vraiment parfait. www.lastpass.com
avatar BitNic | 
C'est quoi un Post it ? Ça s'installe sur mon Minitel ??? Bonne journée... car c'est Vendredi... hihihi
avatar iBook 68 (non vérifié) | 
Le soucis avec les gestionnaires de mots de passe c'est qu'au premier souci avec l'application (bug, base vérolée ou n'importe quoi d'autre), pouf plus de mot de passe de rien. M'est arrivé avec KeePass, du jour au lendemain, j'avais plus accès à rien. Bon au moins personne pouvait me pirater, même moi-même :-) Mais ensuite c'est la galère pour tout remettre en place.
avatar SolMJ | 
[quote=samigina00] "mais du coup l'accès à ses comptes quand on est chez un pote ou depuis un autre ordo que le sien devient difficile, voire impossible, à moins d'avoir une mémoire hors norme……"[/quote] Avec Wallet tu as la version iPhone, donc accessible partout ;) [quote= ShowMeHowToLive]Et surtout ne jamais utiliser le même mot de passe pour plusieurs sites ![/quote] Dans la pratique quand t'es abonné à des dizaines de sites différents (dont 90% que tu vas utiliser une ou deux fois par an), ce n'est pas un drame si tu as des mots de passe identiques, faut pas tomber dans la parano excessive... ;) L'idéal est d'avoir différents niveaux de mots de passe, un pour les "petits" sites qui ne tiennent pas d'informations, un autre pour les plus sensibles, etc...
avatar zeveto | 
Je ne sais pas pourquoi mais je suis mal à l'aise avec cette idée de confier mes mots de passe à un logiciel tiers. J'ai 4 mots de passe que j'utilise en fonction du niveau de sensibilité des données. Je ne sais pas si cela est bonne chose. Sinon quelqu'un connait-il la fiabilité de solutions (dashlane, one password et keepass) ? Merci
avatar Malcolmm | 
Comme quoi avoir une très bonne mémoire ça aide , c'était quoi déjà la question ?
avatar patchoulol | 
Merci pour cet article ! Pour ceux qui veulent aller plus loin, voici un excellent article sur "Qu'est-ce qu'un bon mot de passe ?" : http://tech.dropbox.com/?p=165 . Où l'on apprend que 'deF4/+1e' est moins sûr que 'coucoulesamiscommentcavabienaujourdhui'.

Pages

CONNEXION UTILISATEUR