logive@machine:~$

Gérer efficacement ses mots de passe.

Création et utilisation des mots de passe.
J’avais écrit cette note sur googlewave, pour tester un peu la bête, je l’ai réécrite, certains aurons donc déjà lu en partie cette note.

Comment créer un mot de passe solide et s’en souvenir? sans utiliser le même sur tous les sites.

Quantité de sites, pour quantité de mots passes, et donc quantité de risque de se faire piquer son mot de passe.

Une grande majorité des gens utilisent un mot de passe très simple, trop simple. Même le mot le plus long du dictionnaire est trop simple.

Ce n’est pas la longueur du mot de passe qui fait son efficacité, c’est sa composition.

Il faut de la variété de caractère pour le rendre solide, des chiffres, des lettres, des majuscules, pourquoi pas certains caractères spéciaux (pas toujours accepté sur tous les sites c’est d’ailleurs un très grand problème de sécurité.)

Actuellement, il faut très peu de temps sur une bonne machine, à un robot pour trouver un mot de passe de 8 compris entre AAAAAAAA et ZZZZZZZZ, ah tiens dejà ça vous refroidit. Et pire encore il ne faut pas beaucoup plus de temps pour faire le tour du dictionnaire.(J’en vois déjà qui se connectent à leur compte mail pour modifier leur pass « tintin ».)

Bien sur, sur certains sites, la sécurité on s’en tappe un peu, par exemple un forum, on a très peu ou pas du tout de données personnelles sensibles, donc le mot de passe n’a pas forcément besoin d’être au top, mais c’est pas une raison pour mettre le même que partout.

Si vous utilisez un mot de passe identique sur un compte de commerce et sur un site lambda, type forum, commentaires d’articles, sachez que vous faîtes erreur.

Vous faîtes fausse route aussi si vous avez utilisé deux pass différents avec une chaîne de caractère classique du genre « ptitmodepasse » ou « passsite » ou tout autre pass qui ne change pas la chaîne par des caractères différents.

Alors comment faire? Les solutions proposées, pas vraiment une révolution.

Utiliser pleins de mots passe différents au risque d’en oublier la moitié n’est pas non plus la solution ultime.

Utiliser le gestionnaire de mots passes de votre navigateur pour retenir la totalité s’avère très simple et efficace, mais 2 points sont à ne pas négliger:

• un gestionnaire de mot de passe signifie que vos mots de passes et login sont stockés quelque part dans un fichier, heureusement crypter, mais ça signifie que si on récupère ce fichier et qu’on le force, on a accès à tous vos mots de passes… et bingo.
• si vous n’êtes pas sur votre machine je vous mets au défi de vous rappeler le mot de passe associé à tel site si vous avez l’habitude d’en mettre pleins de différents, sans compter les sites qui génèrent automatiquement un pass.

-Une solution qui demande de l’implication dans sa sécurité personnelle sur internet (ça paraît pourtant évident dit comme ça…):
se créer sa propre technique de création de mots passe, couplé à un gestionnaire de mots de passes, Vous.

Pour palier à tous ça il existe un système de gestion et de création de mots de passe très simple, que seul vous pouvez maitriser. Le but étant de pouvoir se connecter à n’importe quel site sans l’aide d’un gestionnaire qui pourrait vous trahir en cas de piratage et bien sur en étant capable de vous en souvenir sans galérer pendant trois heures en essayant tous les mots de vocabulaires que vous utilisez habituellement. Le tout avec une chaîne de caractères complexe dont vous seul connaissez la logique.

Concrétisons la chose.

Pour maîtriser la gestion de mots de passe, il faut d’abord savoir reconnaitre l’utilité de son mot de passe.

On peut classer les sites dont une inscription est requise, par niveaux de sécurité.

voilà la méthode que j’utilise pour les classer:

• En premier les sites dit sensibles, ce sont les sites dans lesquels une partie de ma vie privée (données ne pouvant être fasilfiée, sites administratifs par exemple) est livrée, et aussi les sites où des données financières peuvent transiter (sites d’achat en ligne, spotify, …)
• en second les sites personnels, pour moi ce sont les webmails, les réseaux sociaux, les sites liés aux activités spéciales (compte béta de windows 7, compte launchpad pour Ubuntu…)
• En 3 les sites commun, ce sont les forums, les sites de news où les commentaires requiert une inscription, ou tout autre site sans grand intérêt (démonoid par exemple)
• Et enfin les sites que j’appelle bidon, ce sont ceux où on veut passer juste un instant, on sait qu’on y reviendra pas ou peu, je couple souvent ce genre de login à une adresse mail « poubelle ».

Donc 4 types de sites à reconnaître, au premier coup d’oeil, pour s’en rappeller automatiquement le mot de passe. Voilà le but, 4 mots de passe différents.

Enfin différent c’est un bien grand mot.

On va composer les 4 mots de passe à partir de la même base.

Prenons une référence parmis les 4 sites. Cette référence peut être les sites personnels (2-webmails, réseaux, etc..)

C’est ce mot de passe qu’on est amené à utiliser le plus souvent.

La chaîne de caractère doit être complexe mais doit vous sembler simple, grâce à un moyen mémo-technique que vous maîtrisez!

seule la méthode de développement du mot de passe que j’explique est à suivre si elle vous intéresse, à vous de vous créer votre base.

Pour l’exemple je vais créer un mot de passe avec une chaîne de la forme 1111XXXX11XX (4 chiffres, 4 lettres, 2chiffres, 2 lettres)= 1234abcd56EF

Voilà désormais si je veux me connecter a mon mail, twitter, ou Launchpad j’utiliserai 1234abcd56EF.

Maintenant développons ce mot de passe pour les 3 autres types de sites.

• sites sensibles>securise1111XXXX11XX>Haute protection>securise1234abcd56EF
• sites personnels1111XXXX11XX>base>bonne protection>1234abcd56EF
• sites communs>XXXX11XX>Peu d’intérêt de protection>abcd56EF
• sites bidon>11XX>Aucun intérêt de protection>56EF

Pour les sites sensibles, le but est de rajouter une chaîne de caractères devant le mot de passe de base. (Charge à vous d’en trouver une que vous retiendrez. j’aurais pu mettre une date, ou un mot absent du dico….)

Si on veut encore améliorer la chaîne de caractère on peut y insérer des caractères spéciaux #{[|`\^@] ou des majuscules, c’est l’idéal, mais malheureusement vous risquez de vous confronter à certains sites qui n’en voudront pas.

On pourrait créer une chaîne comme celle-ci: sec@site1234xXxX56XX ou secure#1234@xxXX56xx ….

Bref l’important c’est de trouver un chaînage qui vous semble logique, compréhensible par vous même, genre l’année de naissance de mon chien+l’année de naissance de ma grand mère+quatres initiales+une date+deux initiales= 1234abcd56ef vu?

Et dans tout ça il y’aura toujours le site qui vous enverra votre mot de passe par mail, alors en vous connectant avec ce mot de passe sur le-dit site, la première chose à faire s’est d’aller changer ce mot de passe!

Au final cette méthode vous oblige à ne garder qu’un seul mot de passe en tête, le plus sécurisée (securise1234abcd56EF). Une fois ce mot de passe appris par cœur, et selon la méthode de découpage que vous avez utilisé, il ne vous reste plus qu’à le réduire en fonction du site ou vous vous trouvez.

Bien sur vous pouvez continuer à utiliser le gestionnaire de mot de passe, mais le meilleur réflexe est quand même d’entrer son mot de passe manuellement au moins pour les sites de 1er niveau.

Et pour mon système d’exploitation je fais pareil?

En un mot? -non

Les utilisateurs linux (surtout ubuntu vu qu’il n’y a pas de réel Root) le savent bien le mot de passe administrateur c’est la clé de voûte du système, si il est découvert c’est terminé, même windows en deviendrait presque plus sécurisé dans ces moments là :p. (Pas de trolls je n’ai pas dit que Sudo était moins sécurisé que le compte root)

Non sérieusement, séparez bien les 2.

Sur votre système, le mot de passe se doit d’être solide aussi! les robots qui forcent les mots de passe ça marche aussi entre ordinateurs. On pourrait très bien se connecter chez vous via une porte ouverte (pourquoi pas celle des téléchargements..hum) et forcer le mot de passe.

Donc là aussi, chaînage important et complexe. N’utilisez pas le même qu’un site. Si le site se fait pirater, on récupère vos données personnelles, login mot de passe et adresse IP, ça suffit pour tenter le coup de se connecter avec le mot de passe du site chez vous.

Un truc simple pour créer un mot de passe rapide à taper (car oui sous Gnu/Linux le mot de passe faut qu’on le tappe vite, on en a souvent besoin), mais aussi complexe, consiste à utiliser les chiffres en haut du clavier, sans appuyer sur majuscule… oh là je suis pas clair.. en gros j’aimerai que mon mot de passe soit « motdepass1234″, mais quand je l’écris en configurant mon système je n’utilise pas la touche MAJ, ce qui fait que mont de passe s’écrit en fait « motdepass&é »‘ « .

Vous me suivez? relisez encore c’est simple…

Et enfin un dernier truc pour bien différencier système et internet, ne donnez pas le même login (nom). Sur votre machine c’est bien souvent votre prénom, n’utilisez pas le même sur les sites, utilisez un pseudo, ou votre deuxième prénom. C’est con mais j’en connais qui ont toujours le même, sur le système et sur les sites… je pirate le site, donc je pirate les données utilisateur, et hop un pc zombie en plus, ou vol de données personnelles. Ca arrive bien plus souvent que vous le pensez…

Mais retenez bien que malgré toutes les précautions que vous prendrez, votre mot de passe ne sera jamais infaillible. Une méthode comme celle que je propose ne peut être vraiment efficace que si vous prenez l’habitude de modifier son contenu régulièrement. Au moindre doute, (webmail/forum/sites piratés.. soupçon d’intrusion sur votre système..) changez le contenu de votre passphrase.
Sécuriser ses données ne doit pas être une chose prise à la légère. Ce n’est pas parce que vous n’êtes pas un grand utilisateur d’internet ou un  dieu de l’informatique que vous devez laisser ça de côté bien au contraire! Ce sont, comme partout, les plus faibles qui sont les plus touchés!

Je vais terminer cette note par les questions secrètes. Vous connaissez bien cette petite question que l’on vous propose de choisir pour retrouver votre mot de passe en cas de soucis. Cette méthode est pour moi la pire des choses qui existe en terme de sécurité de compte sur internet. Si vous choisissez une question à la quelle vous donnez une réponse exacte, il est assez facile pour un quidam de trouver la réponse, soit par le fait que cette personne vous connaît personnellement ou alors en faisant simplement une petite recherche.. merci facebook! Trop de personnes donnent des infos assez intéressantes sur facebook pour pouvoir répondre aux questions secrètes. Pire encore c’est la question « le nom de votre école primaire »… une petite recherche de votre identité sur un site comme « copains d’avant » donnera une réponse plus que pertinente.. je me trompe?
Il est plus intelligent de choisir n’importe quelle question et de répondre n’importe quoi, puisque de toute façon vous connaissez la structure de votre mot de passe en fonction du site..

Bon c’était un assez gros pavé de texte j’en conviens mais cela me paraît tellement important.. surtout en lisant ça ou ça pour les plus récents mais on pourrait en citer d’autres!

Que dire de plus?

Hop au boulot!

)

Je me suis basé pour cet écrit sur mes propres expériences mais aussi sur des infos de Korben ou de Ptit-seb de Tux-planet qui a au passage a de très bons articles sur la sécurité à tous les niveaux. Mais aussi tous les utilisateurs des forums diverses que je ne peux citer car j’ai pas book-marqué les liens honte à moi…