Bonjour, Dernièrement une petite question m'est venue, Et j'aimerais profiter des vos avis : Quels risques y a-t-il à conserver ses mots de passes dans un fichier sur son ordinateur? Le compresser (en .rar par exemple) et y mettre un mot de passe suffit-il à rendre la chose suffisamment sécurisée?
C'est toujours dangereux de conserver ces mots de passes dans un fichier sur un ordinateur.
La compresser en .rar et y mettre un mot de passe pourrait suffire si le mot de passe est compliqué {iF@#28m;qZ_[ par exemple ^^.
L'inconvénient est qu'il faut désarchiver et ré archiver à chaque fois ton fichier.
Il existe toute fois des solutions permettant de les conserver de façon plus sécurisé : http://www.pcastuces.com/logitheque/lastpass.htm (il en existe évidemment d'autre une petite recherche sur google te satisfera)
J'aurais pas spécialement confiance dans la sécurité des fichiers .rar protégés par mot de passe (m'enfin je ne sais pas comment c'est foutu derrière donc c'est à prendre avec des pincettes).
Dans le doute, le mieux reste quand même de ne les noter nulle part, et de prévoir juste une poignée de mots de passe pour les applis à degré de sensibilité/confiance équivalent.
Perso j'utilise keepass ( http://keepass.info/ ) qui te génère les mots de passe aléatoirement, et permet de les stocker de manière un poil plus sécurisée qu'un rar
- Edité par Sisyphe 73-173 11 février 2013 à 20:02:59
Tu as des solutions comme 1Password qui te permette de générer un mot de passe aléatoire puis de stocker ce dernier au sein de sa base de données qui est entièrement chiffrée. Le but après est soit d'afficher la liste de tes mots de passes, soit d'utiliser la connexion automatique à un site.
Bien entendu, stocker un mot de passe en claire comme ça sur son ordinateur est très dangereux.
Je pense que ça répond à la question. Le mieux est de choisir des phrases. C'est facile à retenir et incroyablement long à cracker. Du coup le seul endroit où tu as besoin de les stocker c'est dans ta tête. (Cette règle ne s'applique pas dans le monde professionnel néanmoins, où il FAUT au contraire écrire les mots de passe, en particulier si tu es dans le domaine IT.)
Et il est primordial de n'utiliser un mot de passe qu'une seule fois, mais pour plusieurs endroits.
Merci beaucoup pour toutes vos réponses, je pensais donc à tort qu’un .rar avec mdp ca tenait la route. Par contre je serais intéressé de savoir pourquoi un logiciel prévu à cet effet est meilleur ? Si quelqu’un en sait plus.
Ce que j’en pense en fait, c’est que ca mâche le travail à un voleur potentiel dans le sens où il n’a pas de raison de savoir qu’on a un fichier .rar avec ses mots de passe, surtout s’il n’a pas un nom explicite. Tandis qu’un tel logiciel est rapidement visible. Enfin c’est évidemment mon avis, et c’est pour relancer un peu le débat.
Nodel, ton lien http://xkcd.com/936/ est « excellent » si j’ose puisque cela décris parfaitement comment je choisissais mes mot de passe, et comment je n’arrivais ensuite pas à m’en rappeler tout ça pour quelque chose de facilement crackable J’en prends donc bonne note (et quand j’aurais le temps j’essayerais de comprendre pourquoi)!
Enfin je ne suis pas fan du tout des mots de passe générés aléatoirement, à part 1 ou 2 pour les comptes en banque. Notamment parce que j’utilise régulièrement d’autres PC.
Une autre question comme ca : un avis sur le «sync» de firefox qui permets de tout stocker sur internet et de le retrouver sur un autre PC ?
Si tu tiens absolument à noter tes mots de passe, il y a aussi une technique assez fiable selon les cas. Tu les notes simplement dans un fichier txt. C'est tout ? Ben non. Tu appliques un petit algorithme facile sur chacun des mots de passe. Du genre t'inverse la troisième et la cinquième lettre à chaque fois et à chaque ligne tu ajoutes un caractère indésirable à la même place qui correspond au numéro de ligne. Enfin tu vois le genre ?
Ah et évite de nommer le fichier passwords.txt.
Mais selon moi la technique la plus fiable reste de ne jamais noter les mots de passe quel que soit l'endroit, et d'utiliser les phrases de 4 à 6 mots. Le seul problème avec cette technique est que certains sites limitent la longueur du mot de passe... Ces sites sont cons vu qu'ils devraient normalement hasher les mdp et qu'une emprunte a toujours la même taille, mais bon.
Oui c'est exactement de ca que je parlais quand je disais que le .rar n'avait pas un nom explicite
Et non je tiens pas nécessairement à noter mes mots de passe, mais cette question me trotait dans la tête depuis un moment, et la réponse est assez claire
Si vraiment je me décide, je les écrirais simplement sur une feuille avec un bon vieux style, et je rangerais ca soigneusement chez moi.
T'as carrément raison, si ta mémoire te fait défaut, le post-it te sauvera.
Pourquoi vouloir stocker ça sur un ordi alors que tu peux noter ça sur papier sans soucis et sans risque ? Aucun intérêt, je suis même étonné que des solutions existent pour te générer et te garder ton mot de passe (BDD chiffré ou pas, peu importe), derrière ces mots de passe, il y a tes mails, tes conversations privées, parfois même tes coordonnées bancaires (beaucoup de site les sauvegarde...).
Sauf qu'un bout de papier se trouve facilement et n'est justement pas sans risque... À moins de le mettre dans une coffre-fort. Donc il faut compter 2-3 minutes pour te connecter à Gmail... Super !
Sauf qu'un bout de papier se trouve facilement et n'est justement pas sans risque... À moins de le mettre dans une coffre-fort. Donc il faut compter 2-3 minutes pour te connecter à Gmail... Super !
Les garder en tête = meilleure solution.
Faut déjà rentrer chez toi pour le trouver... le jour où tu te fais cambrioler, changer ton mot de passe Facebook et Gmail sera pas ton principal problème.
Tout le monde n'habite pas seul et n'invite jamais aucun ami chez soi... Faut réfléchir plus loin que le bout de son nez hein.
D'autant plus que les voleurs n'auront pas seulement accès aux mots de passe Facebook et Gmail, mais aussi des comptes bancaires et autres logins importants. Tu sais y'a pas que Facebook et Gmail dans la vie hein.
Et c'est sans compter qu'une feuille volante avec des mots de passe dessus ça se perd hyper facilement. Tu la poses sur ton bureau et deux jours plus tard elle n'y est plus. Nan sérieux c'est pas une solution viable, faut arrêter de dire des bêtises deux minutes.
Un mot de passe ça se retient. On a un cerveau, alors on l'utilise. Et dans le pire des cas on utilise la fonction "j'ai oublié mon mot de passe". Mais l'écrire sur un papier c'est vraiment bien mauvais quoi comme solution.
Je ne suis pas d'accord avec ce que tu dis sur le fait de mettre ses mot de passe à l'écris!
Premièrement on est pas obliger d'y mettre les mot de passes sensibles, même dans le fichier .rar dont j'ai parlé jamais je n'aurais mis mes mots de passe de banque, ni même de mes adresses mails principales, tout simplement parce que je les connais!
Mais ce que j'aimerais éviter c'est d'avoir le même mot de passe sur tous les sites / forums sur les quels on est obligé de s'inscrire, pour la simple et bonne raison que je n'ai aucune confiance dans le système sois-disant crypté de la base de donnée.
Du coup j'aurais besoin de pas loin de 50 mots de passes de 4 mots si je voulais faire ca proprement, et en particulier pour des sites sur lesquels j'irais une fois par mois.
Une feuille, ca se range facilement, j'ai un classeur dans mon bureau avec tous mes papiers importants, personne n'ira fouiller dedans (je sais qui vient chez moi) et en cas de doute je n'ai qu'à le sortir, ca me prends 30s.
Tout dépend des circonstances. Si tu arrives à sécuriser ton truc et que tu es confiant par rapport à son efficacité, alors c'est bon. C'est à toi de voir. Moi je balançais juste des idées, mais c'est à toi de déterminer si elles te conviennent ou pas et si elles nécessitent des adaptations.
Et n'oublie pas que tu peux garder une base commune à certains de tes mots de passe. Tu peux garder trois mots identiques et uniquement changer le dernier.
Et sinon il s'agit de hachage et ne pas de chiffrement ("cryptage"). Le hashage génère une emprunte théoriquement irréversible. Il a pour but de contrôler l'intégrité des données contrairement au chiffrement où le but est de pouvoir accéder à la donnée chiffrée.
La problème d'écrire tes mots de passes sur une feuille en papier, c'est quand tu veux accéder aux sites alors que tu n'es pas chez toi, ainsi que ce qui a été écrit précédemment, si quelqu'un vient chez toi, il y a accès en clair. Après, faire quelque chose de simple, c'est risqué, mais ça fait un peu La Lettre, d'Edgar Allan Poe.
Maintenant, je pense que la meilleure solution est de coder un logiciel de chiffrement : tes mots de passes sont cryptés, si tu en fais un qui crypte en RSA, et pour peu que tu aies une clef privée assez longue, même si on te prend le fichier, personne ne pourra le décrypter (enfin, en moins de quelques siècles :p).
Les solutions les plus simples sont souvent les meilleures.
À priori le mec bosse par pour le FBI ou la NASA, donc le chiffrement RSA t'oublies. Ce serait utiliser un tracteur à pelleteuse mécanique pour jouer dans le bac à sable.
À un moment faut arrêter de se prendre la tête pour ça hein, y'a pas ta vie ou la vie d'autres personnes en jeu. Prends une phrase du genre "newton arbre pomme bleue" et tu utilises une couleur différente pour chaque site. Et si y'a trop de sites (/pas assez de couleurs), tu utilises le nom du site à la place de la couleur. Enfin tu vois le genre ?
Pour Facebook : newton arbre pomme facebook
Compte Google : newton arbre pomme google
Etc. Très simple à retenir, pas besoin de noter, extrêmement long à cracker, sécurisé.
Tout le monde n'habite pas seul et n'invite jamais aucun ami chez soi... Faut réfléchir plus loin que le bout de son nez hein.
Si tes amis fouillent dans tes tiroirs quand ils viennent chez toi, changes d'ami...
Nodel a écrit:
Un mot de passe ça se retient. On a un cerveau, alors on l'utilise. Et dans le pire des cas on utilise la fonction "j'ai oublié mon mot de passe". Mais l'écrire sur un papier c'est vraiment bien mauvais quoi comme solution.
Ouais on est d'accord, je n'ai aucun mot de passe écris chez moi, mais entre la solution d'un service X qui te génère et te conserve ton mot passe, la solution de le noter dans un fichier texte (chiffré ou non), et la solution de l'écrire sur un support physique : la 3ème reste la meilleure.
"Si tes amis fouillent dans tes tiroirs quand ils viennent chez toi, changes d'ami..."
On s'en tape. Déjà la question ne me concerne pas, je disais ça comme une généralité car je ne connais pas le cas de l'auteur et des autres qui liront ce topic. Et tout le reste que j'ai dit et auquel tu n'as pas répondu se tient toujours.
On s'en tape. Déjà la question ne me concerne pas, je disais ça comme une généralité car je ne connais pas le cas de l'auteur et des autres qui liront ce topic. Et tout le reste que j'ai dit et auquel tu n'as pas répondu se tient toujours.
J'ai dit que pour le reste j'étais d'accord avec toi. Nos avis différent juste sur le fait que c'est une grosse erreur ou non de garder ses mots de passe écrit chez soi. Etant donnée qu'en principe tu es censé gardé tous les papiers administratifs/importants chez toi, tu n'es pas à ça prêt je pense. C'est moins compliqué de changer ses mots de passe suite à un cambriolage que de subir une usurpation d'identité à cause des nombreuses informations récoltés.
Et bon, pour l'histoire la feuille qui disparaît du bureau et/ou facilement lisible, j'ai pas dit non plus qu'il fallait la coller sur ton frigo, ranger dans un tiroir, ce n'est pas à la vue de tout le monde et ça ne bouge pas. :)
L'avantage du soft, c'est qu'il te génère les mots de passe de la longueur que tu veux, avec tout les type de caractères que tu veux. Par contre, tu ne les retiendras pas, et tu auras besoin du soft pour y accéder (encore que keepass est portable, aka installable sur une clé usb par exemple). Le fichier de stockage est crypté, donc ça devrait tenir le coup. Et rapport à ceux qui lancent la NSA dans le coup: si ils s'amusent avec toi, ils auront pas besoin de tes mots de passe pour accéder à tes comptes en ligne
Sinon, une variante de la méthode des phrase à créer de nulle part: choisis un bouquin, voire quelques bouquins différents, à partir du moment ou tu retiens quel bouquin va pour quel genre de site. Ensuite tu prend des pages au hasard, ou juste une page, c'est toi le boss, et tu pioche des mots. Pour t'en rappeler, tu peux noter sur un papier les "coordonnées" des mots choisis (n° de page, n° de paragraphe, et position du mot dans le paragraphe). Par contre, ne note pas le titre du bouquin. Pour peu que t'ai une bonne bibliothèque, ça va être tendu d'associer le bon bouquin au bon mot de passe. Tu peux aussi varier en ne prenant que certains caractères, en te repérant différemment dans le bouquin, etc.
Alors effectivement j'ai oublié un point fondamental, là où j'ai besoin de me rappeler des mes mots de passe c'est en général quand je ne suis pas chez moi, et du coup on est d'accord que se trimbaler avec une feuille de papier avec tous ses mots de passe, c'est comme avoir un post-it avec son code sur sa carte bleue.
Mais vous avez de bonnes idées pour la constitution de petites phrases! Je vais faire mon propre mix et ca devrait aller!
Si vous avez des problèmes de mémoire, soit vous utilisez des mots de passe qui sont trop difficiles à mémoriser, et dans ce cas changer la façon de les constituer est la solution, soit vous avez vraiment pas de mémoire, et à ce moment là vous n'avez de toutes façons pas le choix : il faut les noter quelque part.
Dans un contexte pro, noter les mots de passe et les transmettre sur le réseau n'est pas délirant (au contraire, quand on bosse à plusieurs c'est même nécessaire), il suffit de chiffrer correctement les infos sensibles, comme on chiffrerait n'importe quelle info sensible autre qu'un mot de passe.
Pour les bouts de papier, faut les stocker dans un endroit approprié (protip : pas sous le clavier).
- Edité par LoupSolitaire 13 février 2013 à 1:47:02
La compresser en .rar et y mettre un mot de passe pourrait suffire si le mot de passe est compliqué {iF@#28m;qZ_[ par exemple ^^.
L'inconvénient est qu'il faut désarchiver et ré archiver à chaque fois ton fichier.
FYI : Winrar gère très bien ça, en ouvrant un fichier depuis le .rar il demande le mot de passe puis t'ouvre ton .txt, et au moment de le quitter, en enregistrant, winrar ré-archive ça de manière transparente (c'est surement moins transparent sur un gros fichier).
Il faut savoir qu'aujourd'hui le nombre minimal de caractères pour un mot de passe très sécurisé est de 12 (ou ici, chercher "GPGPU"), car en-dessous on se rapproche des temps de crackage à échelle humaine (< d'une vie pour cracker le mot de passe).
ATTENTION sur le lien xkcd. Il est plus parodique qu'autre chose. Contrairement à ce que l'auteur sous-entend, le mot de passe "correcthorsebatterystaple" n'est pas très sécurisé car il ne contient que des mots communs. Or les systèmes évolués de craquage des mots de passe utilisent des dictionnaires de mots communs qu'ils combinent aléatoirement car de nombreuses personnes les utilisent. Par conséquent, "correcthorsebatterystaple" serait "relativement" vite trouvé par un tel outil.
Aujourd'hui, certains outils de craquage des mots de passe peuvent atteindre 2,800,000,000 tests par seconde sur un ordinateur normal (oui oui, 2,8 milliadrs, chercher "As of 2011"), donc une combinaison de mots communs serait aisément trouvée en quelques heures
Par conséquent, "correcthorsebatterystaple" serait "relativement" vite trouvé par un tel outil.
En même temps, rares sont les gens qui les combinent pour faire des mots de passe de plus de plus de 20 caractères ! Les algos qui reposent sur les dictionnaires cherchent la meilleure probabilité, et tomber sur un mot de passe de plus de 20 caractères est assez rare.
Note aussi que pour pouvoir tester des milliards de combinaisons par seconde, il faut avoir le hash à cracker en local, si on attaque un service distant, le bruteforce est voué à l'échec (on se bloque sois-même en provoquant un déni de service).
- Edité par LoupSolitaire 14 février 2013 à 1:21:51
Blond, bouclé, toujours le sourire aux lèvres...
Blond, bouclé, toujours le sourire aux lèvres...