Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Mot de passe unique par compte et changé rarement
Un seul mot de passe utilisé pour tous les comptes et changé rarement
Changement fréquent de mots de passe
Changement fréquent de mots de passe + gestionnaire de mots de passe
Aucune stratégie particulière
Autre (à préciser dans les commentaires)
Discussion :
Je critiquais pas les utilisateurs qui mettent des séquences dans leurs mdp, je fais pareil pour pas devenir foldingo. Je parlais des admins sys sécurité qui se croient intelligent en imposant une telle pratique. C'est comme pour la réécriture des certificats racines des chaines de certification, c'est un truc hallucinant mais ils le font partout il parait.Envoyé par Jipété
Je pense fortement que Mme Cranor à raison et que le fil de discussion lui donne raison.
Pour ma part, j'utilise un gestionnaire de mots de passe KeePass avec le fichier data sur DropBox pour la synchronisation entre mes ordis et une image uniquement présent sur mes ordis pour sécuriser doublement le login. Je gère mes 500 comptes avec 500 mots de passe tous très différents.
Utiliser le même mot de passe pour tous ses sites d'achat est une erreur de débutant, car il suffit au développeur d'un site mal intentionné de faire un log des utilisateurs/mots de passe qui arrivent souvent en clair sur le serveur. Ensuite avec un programme, il est possible de tester ces comptes sur d'autres sites...
J'utilise Dashlane maintenant
Et comment faire quand on se retrouve devant une bécane professionnelle où il faut retenir 9 mots de passe différents, avec des longueurs différentes et complexités différentes ? Et bien sûr pas question de reprendre un ancien mot de passe déjà utilisé. MP pour la session, un MP pour l'accès avec la carte de service et 7 pour les logiciels professionnels ( J'étais OPJ donc les divers logiciels étaient plus ou moins sensibles. )
Sans compter qu'il faut en plus retenir le mot de passe de son compte ( ou ses comptes si plusieurs ) bancaire, de sa carte bleue et les quelques mots de passe pour aller sur des sites ou des forums.
Bon d'accord mais sur l'ordi professionnel, impossible de mettre quoi que ce soit si ce n'était pas validé par un service informatique national, donc pas de logiciel style Dashlane etc ... ( autant demander une autoroute gratuite entre son domicile et son lieu de travail, c'était plus simple comme souhait).
Donc la solution un carnet avec tous les mots de passe pro, et donc le proverbe " le mieux est l'ennemi du bien " prend tout son sens dans ce cas décrit.
Maintenant que je suis en retraite, sur mon PC à la maison, hop Dashlane ( il y en a d'autres ) pour tous les sites où je suis inscrit et n'ai plus à retenir qu'un seul mot de passe pour l'accès à mon compte bancaire.
D'un point de vue purement professionnel, SSO + une gestion des droits digne de ce nom.
Si tu te logues sur ton poste de travail, tu accèdes aux applications auxquelles tu as droit en fonction de ton poste. C'est pas surnaturel, c'est juste hallucinant que l'administration ne réalise pas ce genre d'investissements ultra critiques
Le SSO (cf. Single Sign On - Authentification Unique) présente des avantages mais aussi au moins un inconvénient, justement pour des fonctions sensibles, en cas d'usurpation d'identité.D'un point de vue purement professionnel, SSO + une gestion des droits digne de ce nom.
Si tu te logues sur ton poste de travail, tu accèdes aux applications auxquelles tu as droit en fonction de ton poste. C'est pas surnaturel, c'est juste hallucinant que l'administration ne réalise pas ce genre d'investissements ultra critiques
De plus, l'interopérabilité avec des logiciels métiers spécifiques n'est pas toujours possible du fait des différents standards.
En résumé, ça n'est pas si simple d'investir dans une solution SSO, beaucoup de travail en amont doit être réalisé par des spécialistes en sécurité, ce doit être un projet à part entière.
Je me rappelle qu'a mon premier travaille, ce n'étais pas de l'informatique.
La chef passe et nous dit "changer tous vos mot de passe, il y a un audit en sécurité qui va passer".
Premier problème pour la surprise on repassera.
Et c'est un peu partout pareille.
Il y a juste SAP, qui m'obligeaient à changer de mot de passe à interval régulier
Bonjour,
Dans mon entreprise, nous devons changer de mot de passe tous les trois mois avec la contrainte de respecter les règles de robustesse du groupe. Un petit guide rappelle à l'utilisateur l'efficacité d'un moyen mnémotechnique. Dans mon cas, en choisissant un événement personnel qui vient d'avoir lieu ou qui est proche ("Génial ! J'ai reçu ma console le 8 août" => G!Jarmcl8a), mes mots de passe respectent les règles d'entreprise, ne se ressemblent jamais et sont faciles à retenir. Si je ne peux éviter le changement avant un départ en vacances, période où le risque d'oubli est élevé, je fais au pire un post-it rangé dans le tiroir fermé à clé avec un petit message me rappelant le contexte auquel je pensais pour mon mot de passe. Cela étant personnel, la phrase est difficilement décodable par un tiers.
Identifiant fourni par la DSI = clé publique.
Empreinte matérielle de la machine stockée dans la base d'accès = clé privée.
BYOD identifié dans la base d'accès avec l'utilitaire générant un mdp unique et jetable par algorithme RSA injecté.
Press Enter : issue solved and ™Thalès ©®
Et procédure inverse pour ouvrir l'accès aux applications métiers et données du BYOD.
Je ne suis pas forcement d'accord avec cette étude qui tente à prouver que c'est moins sûr.
Effectivement, si on nous demande de changer de mot de passe trop souvent, on va avoir tendance à utiliser une règle de transformation d'un mot de passe à l'autre.
Mais la méthode pour prouver que c'est une méthode faible laisse à désirer. Elle prouve surtout que le système de hash utilisé est mauvais :
Effectivement si on a un mot de passe précédent de la chaîne on peut deviner le suivant en appliquant des règles de transformation connue. Ca ne diffère pas trop d'une attaque par dictionnaire de mot de passe faible.Pour 17 % des comptes qu’ils ont étudiés, en connaissant le mot de passe précédent, l’algorithme a permis de deviner le nouveau mot de passe au bout de 5 essais. En ayant en plus accès au fichier de mot de passe hashé, pour 41 % de ces comptes, il a été possible de deviner le nouveau mot de passe en 3 secondes par compte, à partir d’un ordinateur dédié avec des caractéristiques typiques de l’année 2009, a expliqué le professeur Lorrie Cranor dans un billet de blog en mars dernier.
Ensuite comment se fait-il qu'on arrive à attaquer le hash de cette manière avec une liste de mot de passe probable ?
En pratique si le salage est bien fait, cette attaque n'est pas réalisable. Cela laisse plutôt penser à un algorithme trop faible.
Bref il me semble que cette étude ne prouve rien.
A moins qu'il ne lui soit interdit d'utiliser une clé USB, il n'y a pas de raison qu'il ne puisse pas utiliser de gestionnaire de mots de passe. Le gestionnaire Keepass contient une version à dézipper sur sa clé USB, ce qui fait qu'on n'est pas obligé de l'installer sans avoir les droits sur le poste de travail. D'ailleurs, même sans ça, si on utilise la version dézippable directement sur son poste de travail, il n'y a pas non plus besoin des privilèges administrateur. Ensuite, on peut transporter la base de mots de passe sur cette même clé.
Aussi, contrairement aux autres je ne pense pas que le gestionnaire de mot de passe les rende plus accessibles.
Déjà, quand c'est à deux facteurs d'authentification, c'est déjà plus compliqué (mot de passe + fichier clé, à, bien sûr, noyer dans une centaine d'autres fichiers clé afin qu'il faille trouver le bon mot de passe ET la bonne clé. En ayant mis un mot de passe fort et jamais utilisé sur internet, bonne chance...).
Ensuite, partant de ce principe, c'est pareil pour les trousseaux de clé : les mettre toutes ensembles pour être sûres de toutes les perdre. Sauf que ça facilite la vie de les trouver ensemble et ça reste très rare de les perdre ainsi.
Enfin, est-on obligé de mettre les vrais noms des sites auxquels correspondent les mots de passe ? Si on sait que c'est un service à risque ou quelque chose qu'on utilise souvent, autant ne pas mettre le vrai nom du site ni le vrai identifiant.
Exemple : compte Facebook, legremlinsdu58@yahoo.fr -> Nom du site : forum.aufeminin.com (le mieux étant de prendre un site existant qu'on n'utilise pas pour que ça ait l'air vrai), nom de l'identifiant/mail : gremlinouchet@gmail.com (changement du nom pour une adresse inventée ressemblant à notre adresse et changement du service de mail, sachant qu'en général on connait nos mails pour savoir à quoi correspond "gremlinouchet") et ainsi, seul le mot de passe est vrai. Mais à quoi sert un mot de passe qu'on ne peut relier à aucun compte ? Clairement, un hacker se sentirait un peu paumé dans une telle base, surtout s'il n'a jamais accès aux différentes boites mail utilisées par l'utilisateur.
Et si on veut être encore plus vicieux, mettre une entrée "Facebook" avec ce même faux mail. Quand le hacker le rentrera, il se dira "mais ça fonctionne pas, c'est pas à jour, il a changé son mot de passe :'( "
Répondre avec citation
Partager