Quels conseils donner sur les choix de mots de passe ?
Par bop le Vendredi 23 juillet 2010, 17:02 - Lien permanent
Comme tout informaticien, j’ai régulièrement des appels au secours pour dépanner les ordinateurs de mes connaissances… La plupart du temps, il s’agit d’ordinateurs tournant avec MS Windows et ayant été contaminés par des virus. Outre une sensibilisation aux comportements de précaution liés à la sécurité de leurs machines, il se pose souvent la question du choix des multiples mots de passe nécessaires à toute sortes de tâches ou services informatisés (accès privilégié à certains systèmes, services de courrier électronique, banques, réseaux sociaux, sites de commerce en ligne, etc). Quel conseil donner sur ce choix des mots de passe ?
Quelques articles récents m’ont poussé à refaire le point sur la question. Un premier conseil primordial est qu’un mot de passe est personnel, on ne doit jamais le communiquer à quelqu’un d’autre (voir ici et là) ! Ensuite, voici une liste de conseils donnés habituellement sur les mots de passe :
- ne pas écrire ses mots de passe ;
- ne pas utiliser le même mot de passe sur différents sites ;
- ne pas laisser son ordinateur se souvenir des mots de passe ;
- utiliser des mots de passe « forts », c’est-à-dire longs, avec des caractères de plusieurs types (minuscules, majuscules, chiffres, ponctuation, etc) ;
- ne pas utiliser un algorithme de construction de mots de passe prévisible du genre 123<nom du site>ABC ;
- changer de mot de passe régulièrement ;
- ne pas réutiliser d’anciens mots de passe.
L’ordre de priorité de ces conseils est sujet à discussion (voir ici) mais tous sont basés sur 2 types d’attaques principaux : les attaques par dictionnaire et les attaques statistiques. Les attaques par dictionnaires, très bien décrites ici, consistent à essayer une multitude de mots de passe en commençant par les plus couramment utilisés. Ces attaques se font en général hors ligne et utilisent des dictionnaires spécialement adaptés (voir ici). Un des moyens les plus simples de les empêcher est de rendre impossible l’accès aux mots de passes chiffrés et de limiter (à 3 par exemple) le nombre d’essais admis pour entrer un mot de passe (voir ici et on peut alors se permettre des mots de passe plus simples comme expliqué ici). Les attaquants ont contourné ces restrictions en lançant des attaques statistiques, c’est-à-dire que plutôt de concentrer leurs efforts sur un compte particulier, ils essaient de deviner les mots de passe d’un grand nombre de comptes et entrent dans le système par ceux dont les mots de passe sont les plus faibles. Un article récent propose une prévention qui peut être efficace contre ce genre d’attaques.
Concrètement, que pouvons-nous faire ? Il y a deux raisons pour lesquelles il est très difficile de respecter les conseils ci-dessus : d’une part l’homme a une mémoire défaillante et est paresseux et d’autre part, il est toujours plus facile d’attaquer le système que le mot de passe (voir les derniers paragraphes de cet article), par exemple en utilisant l’ingénierie sociale, d’où le conseil préliminaire de ne jamais communiquer son mot de passe à quiconque. Pragmatiquement, les conseils 2, 3, 6 et 7 ne me semblent pas tenables en général…
La technique que je préconise est d’apprendre par cœur quelques mots de passe forts et de les utiliser dans des contextes différents. Par exemple un pour les sites sur lesquels on dépose peu d’information, et un autre groupe de sites plus sensible et enfin, un mot de passe spécifique pour les 2 ou 3 plus sensibles (le travail, celui qui donne accès à un gestionnaire de mots de passe, etc) qu’on pourra éventuellement changer de temps en temps. Avec 5 ou 6 mots de passe complexes, on atteint la limite des capacités de mémorisation qu’on peut raisonnablement attendre de quelqu’un de non paranoïaque.
Et pour revenir sur le conseil n°1 de ne jamais écrire ses mots de passe, tout dépend du contexte d’utilisation. Ainsi, il est évident qu’il ne faut pas écrire sur un post-it collé sur l’écran de son ordinateur le mot de passe d’accès aux ressources fournies par cet ordinateur, j’avoue avoir écrit sur un papier posé à côté de mon boîtier d’accès à l’internet le mot de passe de mon réseau Wi-Fi personnel. En effet, je considère que toute personne arrivant chez moi ou bien est un ami et donc autorisé à accéder au réseau, ou alors un voleur et ne vient pas pour accéder à mon réseau ou à l’internet à travers lui.
Pour conclure, je relativiserai tout ceci en disant que se reposer uniquement sur des mots de passe pour la sécurité est une pratique obsolète et que d’avoir des mots de passe plus forts que la moyenne vous met déjà à l’abri des attaques automatisées les plus courantes.
Commentaires
C’est vrai que dans la chaine de sécurité, le maillon le plus faible est l’utilisateur.
Personnellement, j’apprécie beaucoup le principe de “clé privé” chiffré par mot de passe que je place dans une clef USB. Plusieurs avantage :
- la révélation du mot de passe n’est pas du tout suffisant pour pénétrer le systeme il faut aussi détenir physiquement la clé… un excellent moyen pour se prémunir du social-engenering
- la clé privé ne se propage pas (mais la clé public), on ne confie donc pas à un tiers la clé du système à un quelconque moment.
- c’est plus facile de garder une clé/systeme sur une clé USB + quelques mots de passe dans sa tête que un mot de passe/système dans sa tête.
- la taille d’une clé privé est très grande… et donc très forte
Un nouvel article sur les mots de passe sur le blog de Bruce Schneier. Lisez les commentaires, ils sont instructifs.
Sinon, mozilla (via lifehacker ici) donne une méthode (critiquable) pour créer des mots de passe “forts”. Ça a au moins l’avantage d’ouvrir la réflexion sur les mots de passe.
http://lifehacker.com/5667944/how-t…
where to buy chanel outlet online
but also because the the Fuxing baby’s OK implication covers not only because of its lovely cartoon image
Attribute MovementAsia Automatic StrapLeather Strap ColorsBlack Dial ColorsBlack GenderMan Size Weight0.18kilogram Beneath the watch case there comes high quality Asia Self-winding Movement with 21 jewelsThe case designed for this watch is solid 316 stainless steel with high quality plated rose goldThe watch is complete with top quality genuine leather strapThe glass-face composed of mineral crystal-scratch durableWatch water resistant Water-ResistantA peaceful enviroment is ensured by the smooth sweeping seconds handhttp://www.ourswatches.com/patek-ph…
where to buy chanel outlet online
http://www.bestchaneloutletonline.c… chanel bags,chanel handbags,chanel outlet
http://www.2013moncleronline.com moncler outlet,moncler sale,moncler jackets for men,moncler jackets for women
http://www.2013moncleronlineoutlet…. moncler sale,cheap moncler,moncler jackets
Http://www.newparkaoutlet.com woolrich outlet,woolrich parka,woolrich arctic parka
http://www.bestredbottomshoesoutlet… red bottom shoes,Christian louboutin outlet,Christian louboutin sale
http://www.2012moncleroutletonline…. moncler outlet,moncler jackets,cheap moncler
Etant developpeur, je dois dire que la structure de votre blog est interessante. Pourriez-vous poster quelques informations concernant le theme? Bravo !
Comparatif mutuelle santé http://goo.gl/XTBnr Comparateur Mutuelle
Hi there, I dont know if I am writing in a proper board but I have got a problem with activation, link I receive in email is not working…
http://www.habitdress.com
http://www.2012chanelonlineoutlet.c… chanel outlet,chanel bags,chanel 2.55
http://www.2013monclersaleonline.co… moncler sale,moncler online,cheap moncler
http://www.2013moncleronlineoutlets… moncler sale,cheap moncler,moncler jackets
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>chanel bag replica</strong></em></a>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>replica chanel bag</strong></em></a>
</p><p>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>replica chanel bags</strong></em></a>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>fake chanel bag</strong></em></a>
</p><p>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>chanel bag</strong></em></a>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>chanel outlet uk</strong></em></a>
</p><p>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>chanel handbag</strong></em></a>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>Replica Chanel Classic Bag</strong></em></a>
</p><p>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>Replica Chanel Flap Bag</strong></em></a>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>Replica Chanel Shoulder Bag</strong></em></a>
</p><p>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>Replica Chanel Tote Bag</strong></em></a>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>Replica Chanel Evening Bag</strong></em></a>
</p><p>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>Replica Chanel HandBag</strong></em></a>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>Replica Chanel Cambon Bag</strong></em></a>
<a href=”http://www.chaneloutletshop.co.uk“><em><strong>Replica Chanel coco Bag</strong></em></a>
Consumers buy discounted goods. If the business is due to promotional, preferential discounts.Can not exempt businesses to bear the legal responsibility.
Je vais partager votre site. C’est évident qu’il y a beaucoup à découvrir ici.
Designer bags will cost about hundreds of dollars and also range <a href=”http://www.bagshopdiscount.co.uk“><em><b>Burberry handbag online</em></b></a> around $1000. Meanwhile replica designer handbooks of <a href=”http://www.bagshopdiscount.co.uk“><em><b>replica Burberry handbag</em></b></a> fine quality might be about $200-$500, <a href=”http://www.bagshopdiscount.co.uk“><em><b>Burberry bag online</em></b></a> reasonable quality is roughly $100-$200 and you could get <a href=”http://www.bagshopdiscount.co.uk“><em><b>Burberry bag shop</em></b></a> sub-standard bags at even $20-$80. Replica Designer handbags are usually constructed from materials starting from leather to canvas, vinyl or cloth. Replicas are legal and you may carry them around without the worry.Various Handbag TypesReplicas of <a href=”http://www.bagshopdiscount.co.uk“><em><b>Burberry bag outlet</em></b></a> the many handbags and purses of many brands in styles also come in the market industry including.
read more:
http://www.handbagshopdiscount.com
http://www.bagshopdiscount.co.uk
http://tgn.tv/piaoxiang/
http://fengpiaoxiang.bcz.com/
http://piaoxiang1.qiangwai.co/
http://bags.diiso.com/
So you love designer <a href=”http://www.bagcheapshop.org“>Replica Gucci Belts</a> handbags? No one’s <a href=”http://www.bagcheapshop.org“>Gucci bag replica</a> disputing that. All we intend to have <a href=”http://www.bagcheapshop.org“>Gucci handbag replica</a> to do is search your wardrobe and stare in wonder while in the various shapes, sizes, textures, colors and types of designer <a href=”http://www.bagcheapshop.org“>replica Gucci bag</a> handbags and wallets you’ve inside. Prada, Fendi, Gucci, Balenciaga, Miu Miu, Christian Dior,When it will likely be <a href=”http://www.bagcheapshop.org“>fake Gucci Belts</a> named,its somewhere on your wardrobe.That’s inadequate numbers.
http://group.wweigold.com/members/p…
http://krishnacommunity.com/members…
http://person.quebecblogue.com/2012…
http://www.articleonarticle.com/08/…
http://group.wweigold.com/members/p…
http://krishnacommunity.com/members…
http://person.quebecblogue.com/2012…
http://www.articleonarticle.com/08/…
http://www.fundaychat.co.uk/members…
http://group.wweigold.com/members/p…
http://krishnacommunity.com/members…
http://person.quebecblogue.com/2012…
http://www.articleonarticle.com/08/…
http://group.wweigold.com/members/p…
http://krishnacommunity.com/members…
http://person.quebecblogue.com/2012…
http://www.articleonarticle.com/08/…
http://www.fundaychat.co.uk/members…