Bonjour,

J'ai besoin de vos avis.

D'après vous quelle est la tranche idéale pour la taille d'un pseudo  et d'un mot de passe (par exemple entre 3 et 16 caractères).

Pour un pseudo il faudrait que les gens puissent le retenir donc au delà de 10/15 ça risque d'être compliqué. Après y'a pas de minimum, ça peut être deux ou trois lettres

Pour le mot de passe je dirais le plus long possible. En dessous de 8 c'est risqué. Perso si c'est un site sensible (genre avec une carte bleue) je prend pas de risque je met au moins 25 caractères.

Il est plus sécurisé d'avoir un mot de passe long avec quelques caractères spéciaux que l'on créé nous même plutôt qu'un aléatoire plus court. Par exemple :

"1Tranch3DePa1n2Mie&DuNutella_Cest+ou-qque€!!" est bien plus secure que &-@°sfg128ybfyù et le premier est plus facile à retenir je trouve.

Puis il ne faut pas oublier que le mot de passe en lui même ne fait pas tout, il y a le fait de ne pas utiliser le même partout, de ne pas le laisser en clair quelque part etc etc...

Ils sont compliqués, vos mots de passe...

Si sdzfermat le permet, j'aimerais rebondir sur les réponses et poser deux questions :

1) J'ai un ordinateur de citoyen lambda (pas une machine gérant un réseau professionnel ou autre truc pour lequel la sécurité est critique). Quel est le danger si mon mot de passe est simpliste ? Mettons par exemple que sur le compte administrateur de mon ordinateur ce soit « robun123 ». Qu'est-ce qui va arriver à ma machine ?

2) J'évite de faire mémoriser mes mots de passe lorsqu'on me le propose. Par exemple les navigateurs ou les logiciels de mails proposent de mémoriser les mots de passe pour qu'on n'ait pas à les taper à chaque fois, mais (bêtement ?) je préfère éviter, comme si j'avais peur qu'ils soient stockés quelque part. Sur OpenClassroom ce n'est pas le cas, mais ce n'est pas important. Par contre chaque fois que je lis un mail, je dois taper mon mot de passe, de même chaque fois que je me connecte sur le site de ma banque (et je m'y déconnecte toujours avant de quitter le site), de même pour le site qui gère mes heures de travail, etc. Est-ce important ?

En gros, vaut-il mieux des mots de passe compliqués mais mémorisés par les logiciels, ou toujours retaper ses mots de passe même s'ils sont un peu moins compliqués ?

-
Edité par robun 31 mai 2016 à 14:32:17

Robun, je commence par la 2) . Ce que tu décrit comme sauvegarde des mots de passes c'est sur ta machine qu'ils sont sauvés via ton navigateur. Si tu te connectes à ta boite mail par exemple et que tu écris mémoriser mot de passe, c'est bel et bien sur ta machine. Il est de toute façon sauvegardé ailleurs obligatoirement (sauf certains système de SSO mais c'est pas le cas ici).

En fait que tu retape tous tes mots de passe ça évite juste qu'ils soient stockés sur ta machine, ça n'évite pas qu'ils soient stockés ailleurs. Par exemple si tu utilises un mdp sur un site qui les stocke en clair dans une base de donnée accessible ben la tu l'as dans l'os et tu n'as pas moyen de le savoir (ou plutôt si, en évitant les sites un peu douteux sur les sytèmes d'authent...)

Pour le premier point, si le mdp te ta machine et pas sécurisé, pour un ordi personnel d'un citoyen lambda c'est rarement grave. Si c'est un laptop, ça l'est un peu plus. Disons que si quelqu'un en a vraiment envie, il va pouvoir bruteforcer ton mot de passe pour se connecter à distance à ton PC et encore c'est pas vraiment gagné avec les firwalls qui vont bloquer.

Il vaut mieux des mots de passes différents pour tout ce qu'on fait, comme cela si l'un d'eux est stocké de façon absolument pas sécurisé quelque par, cela n'aura un impact que sur le site en question. Et il vaut mieux un mot de passe long et facile à retenir comme : LeChevalCestTr0pGenial!! qu'un mdp fourni par un logiciel et trop dur à retenir.

Un mot de passe tel que celui qui suit est facilement mémorisable (tout du moins pour moi) et est très difficilement crackable :

/=0|_43/=|_<\-//>g4/^/3|55i||î

ce qui veut dire pour les non initiés au 1337 speak : folaefolc ur game is silly

"1) J'ai un ordinateur de citoyen lambda (pas une machine gérant un réseau professionnel ou autre truc pour lequel la sécurité est critique). Quel est le danger si mon mot de passe est simpliste ? Mettons par exemple que sur le compte administrateur de mon ordinateur ce soit « robun123 ». Qu'est-ce qui va arriver à ma machine ?"

@Robun : Le risque est pas pour le mot de passe de connexion à ton ordinateur, le risque c'est les mots de passe utilisés sur internet. Par exemple, le site de ta banque ou ton compte Amazon avec un solde prépayé, c'est sensible parce que tu peux te faire piquer du fric. Alors oui tu peux faire jouer l'assurance, pour l'avoir fait (pour d'autres raisons) ça te prends une après midi... Perso je préfère retenir une trentaine de caractère en 2 minutes pour chaque nouveau site "sensible" que de perdre du temps à courir après mon argent.

Un compte facebook, twitter, skype, mail ou autre, la personne qui y accède peut se faire passer pour toi auprès de tes contacts, notamment pour leur demander de l'argent, c'est arrivé à une connaissance.

@PafDag : Parce que dans l'alphabet pour écrire e, tu as une seule possibilité. En leet, tu as :

e E é è ë É È Ë 3 (= [= /= \= |= {=

ainsi que toutes les variantes avec # à la place du =...

-
Edité par Bibou34 31 mai 2016 à 19:15:13

-
Edité par robun 1 juin 2016 à 0:58:57

robun a écrit:

Avicularia : merci pour ta réponse détaillée ! Pour le 2, je conclus qu'il n'y a donc aucune raison de ne pas mémoriser ses mots de passe.

Oui, mais pour aller sur mon ordinateur, il doit connaître le mot de passe. Qui n'est pas très compliqué, je sais...

Tu peux aussi jeter un coup d’œil ici https://openclassrooms.com/courses/protegez-l-ensemble-de-vos-donnees-sur-votre-ordinateur-1/l-ordinateur-une-maison-qu-il-faut-proteger

Section céez un mot de passe fort.

-
Edité par Bam92 1 juin 2016 à 13:09:54

Merci, c'est très intéressant ! Mais... dès le début, on nous dit qu'il faut créer (pour le login de son ordinateur) un mot de passe difficile à deviner et qu'il faut le changer tous les trois mois, et ce pour éviter les piratages. Eh bien je ne trouve pas ça convaincant. Ça le serait s'il s'agissait du mot de passe pour accéder en ligne à ma banque, par exemple. Mais pour mon petit ordinateur inoffensif, ah bon ? Pour reprendre l'analogie du début de cet article (ordinateur = chambre), j'ai l'impression qu'on veut me convaincre de mettre une porte blindée à ma chambre. En fait, je me demande si on n'est pas dans une situation où les pros donnent aux gens lambda pour leur ordinateur familial les consignes qu'ils donnent à leurs clients pour leur installation professionnelle. Non ? D'ailleurs la réponse d'Avicularia (7ème message) semble moins alarmiste que ce genre d'article. (C'est juste une impression, pas une critique de l'article qui m'a beaucoup intéressé pour sa deuxième partie, notamment le verrouillage de session.)

-
Edité par robun 1 juin 2016 à 23:45:47

Justement il faut aussi voir ce que détient ton ordi. S'il a tout tes codes utilisés sur le web de sauvegardés dont tes codes de banques, il vaut mieux éviter les mot de passe trop bidon.

Si ton ordi est fixe il y a moins de problème bien sur mais un portable peut se perdre ou se voler à de maintes occasions.

Salut L'article est écrit en général. C'est un peu comme ce que vient de dire PafDag. Si c'est une machine de jeux, alors laisse là sans sécurité. Mais, ... Et surtout le portable. N'as-tu jamais des secrets à toi seul que tu ne voudrais jamais partager? Je suis très sensible à la sécurité, et je ne blague pas de ce côté là. Pour te convaincre encore: tu fais une copie d'un doc de ton service pour finaliser à la maison. Tu le mes sur ton ordinateur perso. Ton ami ou ton enfant (je ne sais pas moi :)) sort avec le pc pour surfer. Eh... par hasard il ouvre ce ficher. Quelqu'un à ses côtés le lui demande... Imaginer la suite. En matière de sécurité on ne s'amuse pas. As-tu un mot de passe sur ton smartphone?

En fait, si on connait le login/mot de passe de ton ordinateur, dis toi qu'on peut faire tout ce qu'on veut dessus, que l'on soit physiquement sur l'ordi, ou même à distance. Ainsi, si tu as des données confidentielles sur ton ordi, un attaquant va pouvoir les récupérer. Alors pourquoi est-ce que je suis moins alarmiste ?

Parce que dans la pratique, un hacker mal intentionné (on a parlé de piratage) se fou un peu du PC de monsieur lambda. Alors oui, il y a des chances de trouver des infos intéressantes mais c'est vraiment très rare de trouver des infos bancaires, administratives. Le reste de ce que fait monsieur lambda, tout le monde s'en fou.

Mais après tout est relatif, car si tu n'es pas monsieur lambda mais le dirigeant d'une entreprise, tu es plus ou moins connu, alors tes données peuvent être plus intéressantes, soit tes données confidentielles pour espionnage industriel par exemple, ou encore tes données personnelles pour porter une atteinte à ta crédibilité, ou encore pour du chantage etc...

Ce qui va intéresser les vrais hackers mal intentionnés (je parle pas des scripts kidies hein), ça va être les grosse bases de données, les gros serveurs pour faire des vols de masse. Ça va être aussi les entreprises, l'industrie pour pouvoir faire du chantage, avoir un impact économique sur une société voire même un impact politique en jouant sur les industries ou des hommes important.

Tout se joue sur le rapport sécurité/intérêt.

Sinon, un mot de passe sur un android peut être bypassé. C'est utile juste pour protéger des gens lambda qui ont les yeux qui trainent.

-
Edité par Avicularia 2 juin 2016 à 10:13:37

L'intérêt d'un mot de passe fort sur un ordinateur familial est tout de même extrêmement limité face au chiffrement des partitions.

-
Edité par robun 2 juin 2016 à 23:31:50

robun a écrit:

Entwanne : si le chiffrement des partitions utilise un mot de passe, est-ce que ça ne revient pas un peu au même ?...

Pas tellement. La clef de chiffrement aura un réel intérêt, les données seront inaccessibles sans. Un mot de passe de session, bof, ça fait juste perdre quelques minutes.

robun a écrit:

.

Ou bien il vaut mieux ne pas les mémoriser !

.

C'est justement ce que je fais : banque, site du boulot, mail, Skype, ils ne sont pas mémorisés, donc pas stockés dans ma machine ─ les mots de passe mémorisés sont ceux des sites de forum comme ici.

.

Comment ça, ça dépend comment je les stocke ? Je viens de dire que je ne les stocke pas.

Sinon, je pensais à un truc. Mettons que quelqu'un vole un ordinateur portable. Il ne peut pas se connecter, il ne connaît pas le mot de passe des utilisateurs (à part l'invité de Windows ? il me semble qu'il n'a pas obligatoirement de mot de passe). Surtout si le mot de passe est compliqué. OK, mais si j'étais lui, je démarerrais la machine avec un "CD-live" de Linux et j'aurais accès à tout, non ? S'il y a des données sensibles, ça suggère que la meilleure méthode est en effet celle du chiffrement des partitions. Est-ce que je dis une bêtise ?

Déjà, il pourra probablement passer outre les sécurités sur le mot de passe : il y a des manipulations qui permettent de se connecter sans (ce qui fait qu'en cas d'oubli de mot de passe, tu peux simplement en choisir un nouveau plutôt que tout réinstaller). Maintenant, si le disque n'est pas chiffré et avec un liveCD, il est parfaitement possible d'accéder aux données, oui.