Carnet de notes

Et mes mots de passe ?

Oui, je sais, ça agace tout le monde alors plutôt que de vous dire quoi ne pas faire, on va se conten­ter de dire quoi faire, et on va être réaliste en y mettant un niveau d’ef­fort et d’em­mer­de­ment très bas. J’écris des tartines mais ça se résume en 5 prin­cipes :

La première règle théo­rique c’est de ne pas réuti­li­ser le même mot de passe deux fois, de ne pas les écrire en clair dans un fichier infor­ma­tique (et si ce sont des mots de passe profes­sion­nels sensibles, de ne pas les écrire du tout).

Je ne sais pas vous mais j’ai trois zillions de sites, appa­reils et services qui me demandent un mot de passe. Cette première règle théo­rique est déjà impos­sible à suivre humai­ne­ment. Il n’y a pas à tortiller, la première recom­man­da­tion est incon­tour­nable :

1. Utili­sez un gestion­naire de mots de passe

Un gestion­naire de mots de passe c’est une sorte de coffre fort pour vos mots de passe. Seul vous y avez accès.

Certains vous permettent de synchro­ni­ser ce coffre-fort sur vos diffé­rents appa­reils et vous offrent une inter­face pratique pour trou­ver et remplir les mots de passe qui vous sont deman­dés tout au long de la jour­née. Non seule­ment c’est plus sûr que vos anciennes habi­tudes, mais en plus ça sera plus pratique qu’a­vant. Tout bénef.

Je peux par exemple vous recom­man­der l’open source Bitwar­den mais il y a bien d’autres alter­na­tives.

Oh, et comme vous avez un beau gestion­naire de mots de passe dédié, désac­ti­vez la mémo­ri­sa­tion auto­ma­tique des mots de passe de votre navi­ga­teur, votre gestion­naire de mots de passe s’en char­gera à sa place. Je parie une bière que vous ne l’aviez de toutes façons pas confi­guré pour être aussi robuste que ce dernier (Chrome ne le permet d’ailleurs même pas pas).

2. Désac­ti­ver la mémo­ri­sa­tion des mots de passe de votre navi­ga­teur

Main­te­nant il va falloir créer tous ces mots de passe diffé­rents qu’on va ensuite stocker dans le gestion­naire de mots de passe. Un bon mot de passe est long, complexe, aléa­toire, unique.

Bien évidem­ment, n’uti­li­sez *jamais* de géné­ra­teur de mot de passe en ligne. Vous auriez un risque que votre mot de passe se retrouve immé­dia­te­ment dans les listes à tester par les robots.

Tous les gestion­naires de mots de passe vous offri­ront un moyen sûr de géné­rer des mots de passe de bonne qualité. Ils feront dans les 16 carac­tères avec diffé­rentes casses et des carac­tères spéciaux mais on s’en moque : Vous n’au­rez ni à les rete­nir ni à les taper. En fait vous n’avez même pas besoin de savoir à quoi ils ressemblent.

3. Utili­sez le géné­ra­teur de mots de passe inté­gré à votre outil

Parfois un admi­nis­tra­teur ou un service choi­sissent eux-même un mot de passe initial. Chan­gez-le avec un généré par vos soins.

Si on vous dit qu’il est néces­saire de lais­ser le mot de passe qu’on vous a donné, ça doit lancer une alarme dans votre tête : Au mieux votre inter­lo­cu­teur n’est pas compé­tent ou le service n’est pas sûr, au pire quelqu’un se réserve volon­tai­re­ment la capa­cité d’ac­cé­der à vos données. Dans tous les cas vous n’êtes pas en zone sécu­ri­sée sur ce service.

4. Ne lais­sez jamais les mots de passe par défaut, chan­gez-les

Il reste qu’il faut rete­nir le mot de passe qui donne accès au gestion­naire de mots de passe lui-même. Il faut aussi rete­nir celui pour ouvrir la session sur le poste de travail person­nel et celui pour le pendant profes­sion­nel. Person­nel­le­ment je retiens aussi celui de ma boite email perso, qui donne virtuel­le­ment accès à tout si je perds les autres clefs.

J’ai trois possi­bi­li­tés :

  1. Rete­nir 4x 16 carac­tères et symboles aléa­toires.
  2. Utili­ser une suite de symboles qui dérivent d’une phrase qu’on peut rete­nir
  3. Utili­ser une suite de mots plutôt qu’une suite de carac­tères

Le (2) c’est ce que propose par exemple l’ou­til de la CNIL. Il est un peu agaçant parce qu’il recon­nait assez peu de choses comme des carac­tères spéciaux, mais ça montre bien la démarche.

Le (3) part de l’idée oppo­sée. On tire au hasard une suite de mots dans une liste. Certains proposent de simple­ment les tirer au dé. Il est possible d’amé­lio­rer la mémo­ri­sa­tion de ces mots en imagi­nant une petite histoire ou petite comp­tine qui les utilise.

Dans les deux cas l’idée est de relier le mot de passe à une phrase ou des mots qui se mémo­risent plus faci­le­ment.

5. Utili­sez une méthode « sure » pour géné­rer les quelques mots de passe que vous devrez vrai­ment rete­nir vous-même

Le danger c’est que notre imagi­na­tion est limi­tée par notre envi­ron­ne­ment.

N’uti­li­sez pas un proverbe ou un refrain pour le (2), même si ça vous semble peu connu (un ordi­na­teur est capable de tester des dizaines de millions de proverbes ou refrains « peu connus », c’est à dire plus que vous n’en connais­sez vous-même et les variantes que vous pouvez en imagi­ner).

Chaque suite de termes évidents affai­blira votre mot de passe. Tiens, est-ce que vous avez commencé votre phrase par « Je », « Il » ou « Le » ? Vous avez le droit de rajou­ter un mot/symbole parce que le premier ne compte plus.

Ne choi­sis­sez pas vous-même les mots pour le (3). Le voca­bu­laire passif de quelqu’un de cultivé est limité à quelques milliers de mots. Le voca­bu­laire courant est bien plus faible et celui que vous aurez le loisir d’avoir en tête sera de quelques centaines tout au plus, avec une série de mots à très forte proba­bi­lité (par exemple tout ce qui est lié à l’in­for­ma­tique, à la sécu­rité ou à ce qui se trouve proche de votre bureau).

N’uti­li­sez rien qui vous est propre (date, nom, entre­prise, événe­ment, musique préfé­rée, etc.) Ne vous croyez pas plus fin que les autres en cher­chant acti­ve­ment un mot complexe, en opérant des varia­tions ou rempla­ce­ments de lettres. Un robot sera bien plus effi­cace que vous à ces petits jeux. Vrai­ment.

* * *

Et voilà. Main­te­nant vous avez des mots de passe sûrs, uniques, stockés en sécu­rité. C’est déjà infi­ni­ment mieux que la moyenne, et ça ne vous a pas coûté grand chose en effort.

La dernière étape c’est de renou­ve­ler vos anciens mots de passe : ceux qui peuvent être trou­vés par des robots, ceux qui sont les mêmes sur plusieurs services, etc. Certains gestion­naires de mots de passe comme Dash­lane peuvent même le faire pour vous.

Bonus : Renou­ve­lez vos anciens mots de passe peu sûrs

Si vous avez envie d’al­ler plus loin on peut parler de ne pas lais­ser déver­rouillé votre gestion­naire de mots de passe, de mettre en place une authen­ti­fi­ca­tion à double facteur, de bien penser à ce que vos postes de travail et votre smart­phone se verrouillent immé­dia­te­ment après une courte période d’inac­ti­vité, qu’ils demandent une authen­ti­fi­ca­tion au réveil, qu’ils aient des disques chif­frés… mais tout ça est pour un second épisode.

Publié

dans

par

Éric

Étiquettes :

Commentaires

9 réponses à “Et mes mots de passe ?”

  1. Avatar de Éric
    Éric

    Pour les plus dubitatifs, jettez un oeil à haveibeenpwned. Ça répertorie pas mal de mots de passe qui ont déjà fuité par une faille de sécurité passée. Si votre mot de passe est dedans, autant dire que vous avez déjà perdu.

    Vous y retrouverez pas mal de mots de passe courants, y compris celui que vous pensiez être le seul à utiliser (oui, genre « jemappelleremi », non seulement c’est automatisable parce que lié à vous, non seulement quelqu’un d’autre l’utilise, mais en plus une faille de sécurité à révélé son mot de passe, et ça fera parti des premiers testés à chaque fois qu’on va faire tourner un robot désormais).

    Si le votre n’y est pas ça ne veut pas dire qu’il n’est pas possible de le trouver en moins d’une semaine. Peut-être qu’il est trop court, ou trop peu complexe, ou basé sur des éléments personnels, etc.

    Ne considérez surtout pas qu’absence dans la liste = sécurité, surtout si vous avez testé ça sur le site en ligne : Désormais il n’est plus secret :-)

    Répondre
    1. Avatar de Jean
      Jean

      Pwned Passwords est intégré à 1Password et j’espère bientôt dans tous les gestionnaires de mot de passe.

  2. Avatar de Éric
    Éric

    Quelques liens qu’on m’a donné, en plus des liens du billet lui-même :

    * La page de la CNIL, très bien faite, tout public, avec les mêmes principes en moins austère mais peut-être moins argumenté. https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe
    * Toujours la CNIL, sur les mesures de sécurité élémentaires, mais là c’est déjà moins sympathique comme mise en page https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
    * La fameuse bande dessinée XKCD sur la génération de mots de passe via mots aléatoires https://xkcd.com/936/
    * Les recommandations pour mots de passe pour l’ANSSI https://www.ssi.gouv.fr/guide/mot-de-passe/
    * La méthode de tirage des mots au dé, en français avec la liste de mots associée http://weber.fi.eu.org/software/diceware/francais.pdf (pdf)
    * La FAQ de cette même méthode http://world.std.com/%7Ereinhold/dicewarefaq.html (en anglais)
    * Les recommandations Microsoft https://www.microsoft.com/en-us/research/wp-content/uploads/2016/06/Microsoft_Password_Guidance-1.pdf (pdf, anglais)
    * La page de l’outil de vérification du commentaire précédent, pour ceux qui sont intéressés par la technique et la sécurité https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/ (anglais)

    Répondre
  3. Avatar de Éric
    Éric

    Pour la liste de mots tirée au hasard, on me dit que certains préfèrent tirer plus de mots mais dans au sein d’une liste plus restreinte de mots communs et facilement mémorisables.

    On parle de 5 ou 6 mots au sein de plusieurs milliers, ou 8 mots parmi plusieurs centaines. L’idée c’est d’arriver à la même entropie à la fin. À vous de voir ce que vous pensez plus facile à retenir.

    Répondre
  4. Avatar de M
    M

    Saisir un pwd dans haveibeenpwned … ??
    Soit il est déjà connu, soit il le devient… du coup…

    Répondre
    1. Avatar de Éric
      Éric

      Oui, c’est bien ce qui est dit ici comme là bas. Ils ont du coup une jolie api pas idiote pour résoudre ce problème

  5. Avatar de Nico
    Nico

    Donc il faudrait que je donne en ligne mes mots de passe à : haveibeenpwned (cad : un inconnu) pour savoir si je suis sécurisé ?
    :)

    Répondre
    1. Avatar de Éric
      Éric

      Va voir comment leur API fonctionne, c’est plutôt bien foutu. Ca ne demande évidemment pas que tu ailles leur donner quelque chose de significatif sur ton mot de passe, et si tu es parano tu peux carrément télécharger leur base complète et faire la vérification toi-même.

  6. Avatar de Nico
    Nico

    Je me souviens d’un vieux « que sais-je » suggérant de prendre une liste de mots en n’ecrivant chaque lettre qu’une seule fois, ( PluieNoixCamargueTropiqueFer donnant : pluienoxcamrgtqf ), ça n’arrête pas forcément les robots, mais c’est rigolo est peut bloquer les regards de 1/4 de seconde par dessus les épaules.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *