Les Conseils du Net Expert – Bien choisir ses mots de passe pour protéger ses données sur Internet
Les Conseils du Net Expert
Bien choisir ses mots de passe pour protéger ses données sur Internet
|
Bien choisir ses mots de passe pour protéger ses données sur Internet
Entre les affaires de piratage de données personnelles de serveurs informatiques et les attaques dévoilant au grand jour les mots de passe les plus utilisés (c.f. liste des mots de passe récupérée lors du piratage de certains serveurs de la multinationale Adobe en Octobre 2013), il devient urgent de reconsidérer la manière dont nous choisissons nos mots de passe.
La liste des mots de passe les plus utilisés sur Internet
Octobre 2013, Adobe confirmait avoir subi une cyberattaque d’envergure, ayant entrainé le vol du code source de ses applications Photoshop, Adobe Acrobat, ColdFusion, et la compromission de 38 millions de comptes utilisateurs.
Jeremi Gosney, un chercheur en sécurité, a réussi à casser les mots de passe des comptes utilisateurs volés à d’Adobe. IL révèle une liste aberrante des 100 mots de passe les plus utilisés.
Selon la liste, près de 1,9 million de comptes ont utilisé « 123456 » comme mots de passe, plus de 440 000 ont opté pour « 123456789 ». Le top 5 est complété par les mots de passe « password », « adobe123 » et « 12345678 ».
Il devient donc urgent que les utilisateurs, responsable de leur mot de passe, modifient leur manière de le choisir.
Cinq paramètres pour bien choisir ses mots de passe
Vous pouvez remarquer dans le tableau ci-dessus la manière la plus répandue de choisir un mot de passe. Il devient à mon avis urgent d’abandonner cette habitude d’utiliser une succession de chiffres ou de lettres ou bien un prénom, une date de naissance ou un mot connu le tout le plus facile à retenir). Il est de toute évidence primordial que les mots de passe doivent aujourd’hui non seulement être :
– faciles à retenir
– le plus long possible
– le plus complexe possible
– changé souvent
– différent pour chaque service
Ceci dit, si vous avez aussi la main sur le système chargé de gérer les accès, je recommande non seulement une action de blocage temporaire ou permanent d’un compte lorsqu’un nombre de tentatives maximum (généralement 10) est dépassé, ou bien bloquer les tentatives pendant un certain nombre de minutes au delà d’un certain nombre d’échecs successifs.
Pour ceux qui le désirent, je peux soit sous forme d’audit, sois sous forme de formation vous apprendre les bases des usages recommandés de l’informatique comprenant tout un chapitre sur les choix des mots de passe.
Vous trouverez ci-dessous, des informations essentielles pour comprendre et revoir votre politique de choix des mots de passe car il faut bien retenir quelque chose :
Au plus le mot de passe sera long (nombre de symboles) et complexe (mixité des types de symboles), au plus il sera difficile et long pour le retrouver !
Le tableau ci-dessous donne le nombre maximum d’essais nécessaires pour trouver des mots de passe de longueurs variables.
Ci-dessous, une estimation de temps pour retrouver votre mot de passe avec de puissants ordinateurs :
123456 (le plus utilisé dans le monde) : instantané
654321 : instantané
toto : instantané
toto84 : 0.544195584 seconds
toto84# : 3 minutes
toto84#26 :6 jours
toto84#26% : 344 jours
toto84#26% : 344 jours
totototo84#26% : 6 millions d’années
Des outils pour nous aider
Que ça soit des outils de génération automatique de mots de passe (qui pourra être considéré comme quasi-incassable mais sera impossible à retenir et donc obligatoire à stocker quelque part pour être capable de le retrouver) ou des coffre fort à mots de passe, certains éditeurs mettent en oeuvre leur imagination débordante pour nous aider à résoudre ce casse tête des très nombreux mots de passe que nous devons retenir pour chacun des sites internet sur lesquels nous disposons d’un compte personnel.
Il ne faut pas l’oublier, disposer d’un seul mot de passe pour plusieurs sites Internet peut vite devenir dangereux. En effet, si un système informatique (orange, sfr, ebay, sony…) se fait pirater, il est fort probable que si vous aviez un compte sur ce site Internet, votre mot de passe soit volé. Une fois volé et décodé, votre mot de passe rentre dans la longue liste des mots de passe connus et automatiquement tentés par les robots des pirates sur d’autres sites Internet. Si votre mot de passe est utilisé sur d’autres sites Internet dont ceux qui se feront pirater, les malfrats auront donc plus facilement accès à votre compte.
Enfin, il ne faut pas trop aller vers l’opposé (ne plus aller sur Internet, ou fuir la technologie). Utiliser des mots de passe trop compliqués peuvent vite vous rendre la vie bien compliquée. Si vous finissez pas les oublier ou par les noter sur un post-it sur votre écran ne répondra peut-être pas aux besoins d’utilisation que nous oblige de vivre l’ère numérique que nous traversons.
Outils à ne pas manquer :
Dashlane : Gestionnaire de mots de passe et portefeuille numérique pour ordinateur et smartphone mis au point par une jeune entreprise française, qui a pour but de simplifier la manière dont nous jonglons avec nos nombreux éléments d’identité numérique. Au lieu d’avoir à taper à chaque fois nos noms-prénoms-adresses ou lorsque l’on fait un achat sur Internet ou que l’on s’inscrit à un service, il suffit de renseigner une seule fois au départ le logiciel et ensuite à chaque fois qu’on en a besoin Dashlane remplit automatiquement les champs demandés. Il peut également stocker vos numéros de cartes bancaires toujours pour éviter d’avoir à les taper à chaque fois si vous êtes un cyberacheteur compulsif. Il garde un historique des achats que vous effectuez en ligne. Le système conserve en mémoire tous les mots de passe ce qui permet de se connecter plus vite à ses services habituels.
https://www.dashlane.com/fr
http://www.franceinfo.fr/emission/Unknown%20token%20emisaison-type-url/noeud-diffusion-temporaire-pour-le-nid-source-721447-05-05-2014-11-47
KeePass : Ce logiciel facilite la gestion des mots de passes en les enregistrant dans une base de données.
http://keepass.info
Password Keeper : Le logiciel Password Keeper Expert est à la fois une base de stockage et un puissant gestionnaire de mots de passe.
http://www.password-keeper.net
1Password : Gestionnaire de mot de passe qui vous offre un moyen simple et facile de gérer votre mot de passe.
https://agilebits.com/
Du coté des développeurs
Les administrateurs de sites Internet, de serveurs Web ou de serveurs informatiques en tout genre doivent aussi être sensibilisés et à mon avis responsabilisés par les conséquences que peuvent engendrer l’utilisation de systèmes de sécurité. La future mise en place d’un CDO (Chief DataOfficer), prévue par la commission européenne chargée de faire respecter en Europe les règles fondamentales de protection des données personnelles, a pour but, au sein d’une structure qui collectera des données personnelles, de rendre responsable jusqu’au niveau pénal, une personne chargée de veiller que cette protection respecte toute une série de paramètres, dont tout un volet consacré à la sécurité d’accès aux données.
Ainsi, les développeur en interne, les administrateurs des systèmes informatiques et les éditeurs de logiciels devront renforcer leurs méthodes de contrôle d’accès jusqu’à, sans aller jusqu’à imposer les mots de passe aux utilisateurs, les obliger tout au moins d’utiliser des mots de passe plus difficiles à retrouver par la simple utilisation de dictionnaires ou par tables de hashages.
Sans revenir sur l’utilisation indispensable aujourd’hui du hashage des mots de passe au moins en sha256, (sha1 et MD5 étant à ce jour facilement cassable), une des méthodes qui à mon sens peut rendre encore plus difficile la tache de conversion vers des tables de hashage est l’utilisation de grains de sel. Il s’agit d’un mot, qui de manière transparente pour l’utilisateur, sera systématiquement ajouté au mot de passe initial, avant hashage.
Le résultat sera que dans les bases de données, un mot de passe de taille déraisonnable sera stocké, et probablement impossible à retrouver par les technologies de dizaines de prochaines années (hashage en sha256 d’un mot de passe par exemple de 500 caractères si le grain de sel fait par exemple 490 caractères et le mot de passe 10 caractères minimum.
Cet article vous à plu ? Laissez-nous un commentaire
(notre source d’encouragements et de progrès)
Références :
23/01/2014 http://www.programme-tv.net/news/buzz/47672-quels-sont-mots-de-passe-plus-utilises-internet
05/11/2013 http://www.developpez.com/actu/63730/Piratage-d-Adobe-la-liste-aberrante-des-mots-de-passe-des-utilisateurs-plus-de-1-9-million-de-comptes-utilisent-123456-comme-mot-de-passe
http://assiste.com.free.fr/p/abc/a/attaque_des_mots_de_passe.html
http://www.openwall.com/john/
https://howsecureismypassword.net/
Cet article vous à plu ? Laissez-nous un commentaire
(notre source d’encouragements et de progrès)