Bien choisir et mémoriser ses mots de passe ?

http://korben.info/bien-choisir-memoriser-mots-de-passe.html
Contenu sponsorisé avec passion par F-Secure Les mots de passe sont une constituante essentielle de notre vie privée. Ils permettent de verrouiller l’accès à nos secrets pour les protéger des curieux. Mais choisir un bon mot de passe et surtout le retenir est quelque chose qui ne doit pas être pris à la légère. La faiblesse…

Pour “Ma loutre ne devinera jamais que le téléphone a mangé des frites au caramel bleu”

Même pas la peine de se faire chier à faire du l33t à la limite, le dico français c’est 100 000 mots ( aller, disons 30 000 usuels), soit 30000^15 pour cette phrase ; ~1^67 ~= 2^220 (si je me suis pas planté :P) soit bien au delà de la sécurité du point de vu crypto qui est à 2^128

Par contre, conseiller un logiciel proprio tel que F-Secure pour mettre ses mots de passe, bof bof. KeePass !

utilisateur de keepass aussi. C’est clair que c’est moche, mais ça marche aussi. Utiliser la version 2 pour accéder au stockage par ftp.

Bonjour,
J’utilise également Keepass mais ce qui m’ennuie c’est que je n’ai l’accès aux mots de passe que depuis mon PC.
Y aurait il un moyen d’y avoir accès depuis mon smartphone?

Ou existe t-il un produit comme F-secure à héberger sois-même?

Perso c’est hébergé sur un serveur WebDav en HTTPS. Comme le fichier est très petit au pire même en ADSL un Raspberry suffit comme serveur :slight_smile:

@Adreqi La base est bien chiffrée, mais autant éviter de faire passer le fichier en clair sur le réseau => ftps ou sftp ou comme moi WebDav/HTTPS :slight_smile:

Il y a une app android :slight_smile:

Moi j’utilise la technique du décalage : http://blog.blaisethirard.com/creez-et-memorisez-des-mots-de-passe-complexes-et-differents/

Bonjour, votre méthode semble intéressante mais il me manque des éléments pour la mettre en place, pourriez-vous m’aider en me donnant plus de détails?
Il me semble que, qui dit HTTPS dit achat de certificat c’est bien ça?

Merci

Non :slight_smile:
https://letsencrypt.org

Comme Korben le dit, une passphrase c’est suffisant… pour l’instant. Mais des gens bossent sur des outils utilisant par exemple les chaînes de Markov pour casser les passphrases également. Evidemment ça ne marchera pas pour tout mais autant être prudents.

Perso moi mon approche favorite c’est d’utiliser une passphrase et de mal orthographier l’un des mots. C’est simple à retenir et ça offre encore une meilleure protection :wink:

Le gros gros problème c’est qu’il y a des outils en ligne, pour cracker des “hash MD5” je suis tombé dessus après avoir lu un article.
Donc un simple “hash md5” de ce type: 11f0fdccc652e3cd211b174ad3da7f79
sera trouver en moins de 5s par un moteur
j’ai fait plein de test le meilleur moyen pour que le moteur ne trouve pas

c’est de mettre assez de caractères ascii du type:
’_!-

un mot de passe pourrie est cracker facilement:
t5e9rty72Hrjo

un non crackable:
t5’e_9r-ty72Hrj!o

Une technique à laquelle on ne pense jamais, car tombée en désuétude avec l’invention de l’imprimerie et carrément reléguée dans le musée des oubliettes avec l’avènement de l’ordinateur est la mémoire des palais (ou mémoire des lieux) inventée par Simonide dans l’antiquité. En gros, on visualise un lieu que l’on connait bien et on y dépose les choses (ou chiffres ou mots ou phrases) qu’on désire retenir. Ça a l’air compliqué, mais c’est incroyablement efficace et finalement assez simple. L’avantage, c’est que c’est inviolable (c’est dans ta tronche uniquement), et résistant à toute défaillance matérielle (excepté Alzheimer et la mort).

Il manque dans la liste l’excellent https://www.enpass.io proche de 1password car c’est une application native, avec l’avantage de proposer une version Linux.
Les données ne sont donc pas stockées sur le serveur web d’un tiers, on peut cependant les synchroniser via un owncloud/dropbox ou un répertoire de son réseau interne.
De plus enpass est gratuit sur desktop, et très abordable sur smartphone. Il lui manque juste un équivalent de https://teams.1password.com

Bonjour,
J’ai toujours peur, avec les gestionnaires de mots de passe, d’un plantage de la machine. Comment fait-on, si on perd l’usage de la machine ?
J’ai chez moi une liste de mes MdP, et j’en amène une copie quand je pars en voyage. Bien sûr je les planque loin de ma machine, mais je peux grâce à cette liste me connecter depuis une autre machine en cas de besoin.

Pour la mettre en place : (cas avec un raspberry derrière une box, mais ça marche avec n’importe quel Linux)

  • Installer Apache (ou NGinx au choix)
  • Configurer un dossier WebDav (Cf google, c’est assez simple, ça se fait en 3 lignes)
  • Ajouter une authentification htaccess (ça se fait dans la config ou dans le dossier Dav directement)
  • [Facultatif si l’ip est statique] Ajouter un DynDNS (certaines box offrent directement cette possibilité)
  • Configurer le NAT de sa box en redirigeant un port vers le port 80 (443 pour HTTPS) du raspberry
  • Configurer son logiciel KeePass pour pointer la base vers cette adresse

Pour le certificat HTTPS, sachant que c’est pour ton usage perso, un auto-signé suffit (cf Google encore une fois), sinon Let’s Encrypt est gratuit :slight_smile:

1 J'aime

Sauf que en théorie plus personne n’utilise MD5 comme solution de hash pour des mots de passe. C’est de plus en plus du bcrypt ou du SHA-1.
MD5 c’est bien pour vérifier qu’un document est intègre (et encore y’a des attaques pour falsifier ça avec des injections de caractères en en-tête).

Tu peux faire régulièrement une sauvegarde sur un Cloud. Bien sûr si on a que DropBox/Drive sous la main, je conseille de repasser une couche de VeraCrypt par dessus, on est jamais trop prudent :slight_smile:

Oui évidemment, mais bon Markov il me semble que ça reste entièrement probabiliste, du coup avec une phrase sans aucun sens comme celle donnée en exemple, les risques sont peu réduits.

J’ai un mot de passe compliqué à retenir, que je dérive en fonction des situations, que j’utilise le moins possible, le reste dans dans ma BDD keepass avec des mots de passe de 110 à 128bits.

Je ne suis pas certain que sauvegarder dans le Nuage, ne soit pas antinomique de sécurité ?
Si je chiffre mes données avant de les envoyer dans les nuages (avec FileVault sur mon Mac), puis je y accéder, depuis le PC Windows, ou Linux d’un copain ? Depuis mon ancien Mac de 2002, je ne peux pas lire un DDE chiffré avec FileVault sur mon actuel.
Puis ça fait encore un MdP à retenir, en mémoire :confounded: la Banque, mes deux sessions + 2 sur l’ancien ordinateur, le mot de passe pour l’image disque chiffrée qui contient entre autres la liste de mes MdP, mon code pour le téléphone, ma CB, et j’ajouterais le MdP d’accès au Nuage.
En plus le coût, pas très élevé certes mais en plus

Je n’en sais rien, je ne suis pas webmaster, mais l’article faisait référence au fait que
si une bdd est volé, avec les listes de MD5, ca ne sera pas compliquer pour cracker un password.

cela ressemble à quoi un “bcrypt ou un SHA-1” une fois crypter?