Publié initialement à : https://korben.info/bien-choisir-memoriser-mots-de-passe.html
Contenu sponsorisé avec passion par F-Secure Les mots de passe sont une constituante essentielle de notre vie privée. Ils permettent de verrouiller l’accès à nos secrets pour les protéger des curieux. Mais choisir un bon mot de passe et surtout le retenir est quelque chose qui ne doit pas être pris à la légère. La faiblesse…
Pour “Ma loutre ne devinera jamais que le téléphone a mangé des frites au caramel bleu”
Même pas la peine de se faire chier à faire du l33t à la limite, le dico français c’est 100 000 mots ( aller, disons 30 000 usuels), soit 30000^15 pour cette phrase ; ~1^67 ~= 2^220 (si je me suis pas planté :P) soit bien au delà de la sécurité du point de vu crypto qui est à 2^128
Par contre, conseiller un logiciel proprio tel que F-Secure pour mettre ses mots de passe, bof bof. KeePass !
utilisateur de keepass aussi. C’est clair que c’est moche, mais ça marche aussi. Utiliser la version 2 pour accéder au stockage par ftp.
Bonjour,
J’utilise également Keepass mais ce qui m’ennuie c’est que je n’ai l’accès aux mots de passe que depuis mon PC.
Y aurait il un moyen d’y avoir accès depuis mon smartphone?
Ou existe t-il un produit comme F-secure à héberger sois-même?
Perso c’est hébergé sur un serveur WebDav en HTTPS. Comme le fichier est très petit au pire même en ADSL un Raspberry suffit comme serveur 
@Adreqi La base est bien chiffrée, mais autant éviter de faire passer le fichier en clair sur le réseau => ftps ou sftp ou comme moi WebDav/HTTPS
Il y a une app android
Moi j’utilise la technique du décalage : http://blog.blaisethirard.com/creez-et-memorisez-des-mots-de-passe-complexes-et-differents/
Bonjour, votre méthode semble intéressante mais il me manque des éléments pour la mettre en place, pourriez-vous m’aider en me donnant plus de détails?
Il me semble que, qui dit HTTPS dit achat de certificat c’est bien ça?
Merci
Comme Korben le dit, une passphrase c’est suffisant… pour l’instant. Mais des gens bossent sur des outils utilisant par exemple les chaînes de Markov pour casser les passphrases également. Evidemment ça ne marchera pas pour tout mais autant être prudents.
Perso moi mon approche favorite c’est d’utiliser une passphrase et de mal orthographier l’un des mots. C’est simple à retenir et ça offre encore une meilleure protection 
Une technique à laquelle on ne pense jamais, car tombée en désuétude avec l’invention de l’imprimerie et carrément reléguée dans le musée des oubliettes avec l’avènement de l’ordinateur est la mémoire des palais (ou mémoire des lieux) inventée par Simonide dans l’antiquité. En gros, on visualise un lieu que l’on connait bien et on y dépose les choses (ou chiffres ou mots ou phrases) qu’on désire retenir. Ça a l’air compliqué, mais c’est incroyablement efficace et finalement assez simple. L’avantage, c’est que c’est inviolable (c’est dans ta tronche uniquement), et résistant à toute défaillance matérielle (excepté Alzheimer et la mort).
Il manque dans la liste l’excellent https://www.enpass.io proche de 1password car c’est une application native, avec l’avantage de proposer une version Linux.
Les données ne sont donc pas stockées sur le serveur web d’un tiers, on peut cependant les synchroniser via un owncloud/dropbox ou un répertoire de son réseau interne.
De plus enpass est gratuit sur desktop, et très abordable sur smartphone. Il lui manque juste un équivalent de https://teams.1password.com
Bonjour,
J’ai toujours peur, avec les gestionnaires de mots de passe, d’un plantage de la machine. Comment fait-on, si on perd l’usage de la machine ?
J’ai chez moi une liste de mes MdP, et j’en amène une copie quand je pars en voyage. Bien sûr je les planque loin de ma machine, mais je peux grâce à cette liste me connecter depuis une autre machine en cas de besoin.
Pour la mettre en place : (cas avec un raspberry derrière une box, mais ça marche avec n’importe quel Linux)
- Installer Apache (ou NGinx au choix)
- Configurer un dossier WebDav (Cf google, c’est assez simple, ça se fait en 3 lignes)
- Ajouter une authentification htaccess (ça se fait dans la config ou dans le dossier Dav directement)
- [Facultatif si l’ip est statique] Ajouter un DynDNS (certaines box offrent directement cette possibilité)
- Configurer le NAT de sa box en redirigeant un port vers le port 80 (443 pour HTTPS) du raspberry
- Configurer son logiciel KeePass pour pointer la base vers cette adresse
Pour le certificat HTTPS, sachant que c’est pour ton usage perso, un auto-signé suffit (cf Google encore une fois), sinon Let’s Encrypt est gratuit
1 « J'aime »
Sauf que en théorie plus personne n’utilise MD5 comme solution de hash pour des mots de passe. C’est de plus en plus du bcrypt ou du SHA-1.
MD5 c’est bien pour vérifier qu’un document est intègre (et encore y’a des attaques pour falsifier ça avec des injections de caractères en en-tête).
Tu peux faire régulièrement une sauvegarde sur un Cloud. Bien sûr si on a que DropBox/Drive sous la main, je conseille de repasser une couche de VeraCrypt par dessus, on est jamais trop prudent
Oui évidemment, mais bon Markov il me semble que ça reste entièrement probabiliste, du coup avec une phrase sans aucun sens comme celle donnée en exemple, les risques sont peu réduits.
J’ai un mot de passe compliqué à retenir, que je dérive en fonction des situations, que j’utilise le moins possible, le reste dans dans ma BDD keepass avec des mots de passe de 110 à 128bits.
Je ne suis pas certain que sauvegarder dans le Nuage, ne soit pas antinomique de sécurité ?
Si je chiffre mes données avant de les envoyer dans les nuages (avec FileVault sur mon Mac), puis je y accéder, depuis le PC Windows, ou Linux d’un copain ? Depuis mon ancien Mac de 2002, je ne peux pas lire un DDE chiffré avec FileVault sur mon actuel.
Puis ça fait encore un MdP à retenir, en mémoire 
la Banque, mes deux sessions + 2 sur l’ancien ordinateur, le mot de passe pour l’image disque chiffrée qui contient entre autres la liste de mes MdP, mon code pour le téléphone, ma CB, et j’ajouterais le MdP d’accès au Nuage.
En plus le coût, pas très élevé certes mais en plus
MD5 est considéré comme “cracké”, il est “simple” de trouver des collisions (un autre mot que le mot de passe, et qui donnera le même hash) avec le théorème des anniversaire par exemple. C’est possible qu’il soit encore utilisé (tout comme les sites qui ne hashent pas ou chiffrent les mots de passes…), mais c’est à éviter au maximum.
bcrypt c’est une fonction de hashage, pas de chiffrement (le nom porte à confusion), ça ressemble à
Un hash bcrypt commence par $2$, $2a$, $2x$, $2y$
Par exemple : $2a$04$92oz1TKT8FHHnzcZuA1eHukR82jthp3ZQGTfqoy0YT6wrHXJysWby
(Le $04 juste après, c’est le nombre d’itération)
Le SHA-1 ressemble à ça : 11F453355B28E1158D4E516A2D3EDF96B3450406
Il commence par $sha1$ généralement. Il est facilement identifiable : Longueur de 40 en hexa, … Il faut 2^63 opérations pour trouver une collision (Il me semble que c’est à peu près la puissance de tous ordinateurs du monde pendant 1 seconde)
Après il y a un rapport à faire entre sécurité de tes données au sens confidentialité, et sécurité au sens sûreté (ne pas les perdre). Souvent si tu veux les deux ça coûte plus ou moins cher (redondance sur plusieurs continents par exemple).
Bien sûr ce n’est pas top de sauvegarder ça sur un cloud “publique”. Après ce n’est pas forcément un mot de passe de plus à retenir, tu peux le noté sur un papier chez toi puisque c’est juste pour les éventuellement fuites de données, et ta base qui est dans le volume chiffré aura toujours un mot de passe qui est dans ta tête
Le coût pour stocker ça sur un cloud est nul avec les 3 à 15 Go gratuit
Pour l’anecdote ma solution c’est : Un serveur OVH qui héberge le WebDav + backup de la BDD sur un serveur d’un autre hébergeur. ça me coute ~21€ par mois, ce n’est pas très cher par rapport à la sécurité de mes données (surtout qu’il ne sert pas qu’à ça)