Ico Chamois d"or
Ico Multimedia
Ico Système
Ico Navigateur
Ico Messagerie
Ico Réseau
Ico Le Petit Geste du Jour
Ico Club de lecture
Ico Dossier
Ico Le saviez-vous ?
Ico Polémiquons
Ico Divers

J'apprends à gérer mes mots de passe

Date 21/08/2016
Ico Système
Comms 2 commentaires
Où les souris vertes se font passer pour Ali Baba car elles ont bien noté le sésame

Petite souris gérant ses mots de passe


"Laisser dedans

En attente

La clé de la porte latérale."


Takahama Kyoshi (1874-1959)


Tiens tiens, un drôle de sujet aujourd'hui pour les souris vertes. Est-ce qu'on ne viendrait pas de transformer notre petite aire de jeu pimpante en un de ces sites entourés de barbelés et de messages qui clignotent en rouge pour distiller la peur de l'attaque terroriste du gros hacker chevelu ? Pourquoi diantre parler des mots de passe dans un site qui lutte pour l'économie et la bonne utilisation des ressources numériques ? Effectivement, le rapport n'est pas immédiat, mais il faut savoir que les mauvais mots de passe sont une source de gaspillage silencieux à plusieurs titres.


Tout d'abord, c'est un fait qui n'est pas connu du grand public, mais la perte de mot de passe est la tâche principale qui occupe les administrateurs systèmes leurs journées durant, entre deux compétitions de Tetris. On ne se figure pas le nombre de gens qui sont capables d'égarer leur mot de passe, qu'ils pensaient pourtant avoir gentiment noté sur un post-it bien en évidence au milieu de leur bureau. Tout cela génère donc grosse dépense d'énergie, échange de mails, soupirs agacés de part et d'autre, contribution généralisée à la mauvaise humeur ambiante, bref ça ne va pas du tout.


L'autre problème, c'est que le manque de sécurité des mots de passe est aussi un angle d'attaque facile pour les mauvaises gens qui ne vous veulent pas du bien, et dont une attaque réussie est potentiellement dévastatrice pour votre portefeuille et votre compte Facebook. Mais cela sera encore pire si la prise de contrôle d'une boîte mail par exemple, ou d'une machine, sert de plateforme avancée pour inonder le monde de spam ou de Virus De La Mort, auquel cas vous serez devenu à votre insu un bras armé de la pollution numérique mondiale, tout cela parce que vous avez choisi le nom de votre chien, qui ne fait malheureusement que 5 lettres, comme mot de passe principal.


Et en plus, le manque de vigilance des utilisateurs est précisément ce qui encourage les attaques informatiques les plus coûteuses de la terre, à savoir les attaques par force brute, en gros l'énumération de toutes les combinaisons possibles jusqu'à trouver le mot de passe. Si tout le monde avait un mot de passe de 15 lettres, chiffres, caractères spéciaux et décorations de noël, je vous assure que les malfrats malveillants arrêteraient bien vite ce petit sport pour se consacrer à quelque chose de peut-être pas vraiment plus socialement utile, mais au moins nettement moins coûteux en ressources informatiques.


Dernier fait bien attristant, vu qu'il faut créer des mots de passe pour absolument tout dans la vie aujourd'hui, de la consultation du carnet de notes de la petite à l'authentification sur le site de la chorale des voisins, la majorité des gens ont adopté une stratégie parfaitement légitime mais totalement inefficace, à savoir conserver leurs mots de passe dans des mails. Il y a même pas mal d'informaticiens chevronnés pour tomber dans le panneau. Et là non seulement, du point de vue de la sécurité, on peut difficilement faire pire à part les tracter directement sur le marché, puisque le contenu de vos messages transite en clair dans tous les réseaux et reste lisible sur votre serveur mail, même par votre fournisseur, mais en plus du point de vue écologique c'est la catastrophe car, rappelez-vous, le stockage sur les serveurs de messagerie est hyper consommateur en ressources. Alors, c'est vrai, je reconnais que c'est chipoter pour quelques octets de texte, et que l'argument ne tient pas vraiment tant que vous ne décidez pas de garder vos mots de passe sous forme de ces images de sécurité Captcha à la mode, totalement impossibles à lire sans une forte dose de LSD.


Mais on peut faire tellement mieux. Alors pourquoi se priver ?


Un mot de passe ? Mais qu'est-ce que c'est ?


Bon on ne va pas en faire des tartines sur le choix des mots de passe, vu que la terre entière maintenant dispense des conseils en la matière, difficile de s'inscrire sur un site de recettes de cuisine sans qu'on vous abreuve de recommandations. Gardons en tête tout de même quelques règles simples pour le choix d'un bon mot de passe :


1 - la longueur


Eh oui, chaque caractère vous fait passer un ordre de grandeur supplémentaire en terme de nombre de combinaisons à explorer. Si on ne prend que des chiffres, par exemple, à chaque fois que vous ajoutez un chiffre vous multipliez par 10 le nombre de possibilités, donc la force de votre mot de passe. Pas mal hein ?


Précisons que le fait de ne pas connaître la longueur potentielle d'un mot de passe est un inconvénient majeur pour l'attaquant, qui se prend d'un coup un ordre de grandeur supplémentaire du fait de devoir essayer toutes les longueurs possibles. Ceci est valable aussi pour les digicodes, par exemple : le fait de savoir que le code est à 4 chiffres est une information qui réduit fortement la sécurité du code, alors que si la longueur peut être arbitraire, 3, 4, 5, 6 chiffres, c'est tout de suite bien plus sûr.



2- L'alphabet de référence


C'est pour cela qu'on vous recommande d'utiliser des majuscules, minuscules, des chiffres et des caractères spéciaux. En gros le nombre de combinaisons à essayer pour trouver un mot de passe est : DL, où L est la longueur de votre mot de passe, et D la taille de l'alphabet de référence, donc chaque caractère ajouté vous multiplie par D la force du mot de passe.


Si vous n'utilisez que des chiffres, vous travaillez sur un alphabet (comprendre : liste de symboles) de 10 caractères, avec chiffres et lettres on est à 36, avec majuscules à 62 (10+26+26), et si vous vous autorisez les caractères spéciaux, là on part dans la stratosphère, vu qu'il est difficile de borner le nombre de caractères en question. Disons qu'on est au moins à un alphabet de taille 100.


Donc vous voyez que c'est tout simple de choisir un mot de passe, choisissez une longueur raisonnable, comme une dizaine de caractères, et tapez dans l'alphabet le plus large possible. Si on prend le nom de votre chien (ou de votre souris verte) à 5 lettres, on aura 265=11 millions de possibilités environ. Ca paraît beaucoup, mais en fait pour un processeur c'est une bouchée de pain, rappelez-vous de l'article sur la fréquence des processeurs : plusieurs milliards d'instructions par seconde. Mais supposons que vous avez fait un petit effort, vous avez ajouté 5 caractères bien choisis à Médor pour passer en mode Gros Alphabet, vous arrivez tout de suite à 10010=1020 combinaisons, soit un 1 avec 20 zéros derrière. Par un minuscule effort, vous venez de passer à des millions de milliards de milliards de milliards, du méga à une lettre grecque qui n'existe pas encore en informatique, à l'ordre de grandeur de la taille en mètre de notre galaxie, bref plus que toutes les souris vertes de l'univers mises bout à bout. Vous pouvez dormir tranquille avant qu'un pirate malintentionné n'arrive à vous le piquer, quand bien même il aurait à sa disposition toutes les machines de la planète. Evidemment, ça ne sert pas à grand chose si votre mot de passe est écrit en énorme sur votre bureau ou au milieu d'un mail. Mais on y arrive.


Alors, malheureusement, il n'est pas toujours possible de choisir la longueur ou l'alphabet que vous souhaitez, certains sites ayant des restrictions dont on se demande bien à quoi elles servent. Personnellement, avec les souris vertes on arrose régulièrement de courriers indignés le site de notre banque, moins sécurisé que celui de la piscine municipale, puisqu'il est interdit de choisir des caractères spéciaux dans le mot de passe, et qu'en plus la longueur est contrainte de 8 à 12 caractères, une information précieuse pour toute personne malveillante qui aimerait se servir sur votre compte en banque. Malheureusement, pour le moment nos actions de protestation ne sont pas reprises par la presse locale ou le grand public, et ne sont pas réellement suivies d'effet. Ceci est d'autant plus agaçant que l'institution bancaire en question ne se prive pas d'inonder ses clients de communications toujours plus alarmantes sur les problèmes de sécurité des comptes personnels, nous dépeignant un climat de terreur profonde où il est temps de s'acheter une caisse de fusils d'assaut, quand dans le même temps on ne permet même pas à l'utilisateur consciencieux de renforcer convenablement son mot de passe sans effort et en un tour de main.


Mais bon, aujourd'hui ce genre de situation commence à devenir exceptionnel, et normalement dans la grande majorité des cas on a les moyens de choisir son mot de passe dans la catégorie des gros costauds, alors autant se faire plaisir. Un petit conseil tout de même concernant le choix des caractères spéciaux : n'allez pas trop loin dans l'exotisme non plus, car si vous vous trouvez face à un clavier non français vous serez peut-être bien en peine de trouver comment faire votre symbole ð ou ~ préféré.


3- La facilité de mémorisation


Eh eh oui, voilà une caractéristique bien souvent oubliée des dispensateurs de bonnes pratiques, mais c'est à vrai dire celle qui est de très loin la plus importante pour un mot de passe. Si vous ne pouvez pas le retenir facilement, il va falloir le noter quelque part, donc stocker de l'information pour rien et en affaiblir la sécurité, ou bien on va l'oublier régulièrement et donc engorger des procédures de support informatique parfaitement inutiles, et tout ce qui s'ensuit.


L'avantage c'est que la plupart des mots de passe étant personnels, vous pouvez les choisir pour qu'ils aient un sens que vous seul saurez décoder. Après, il faudra trouver un équilibre subtil entre le fait de mettre votre date de naissance ou le nom de votre poisson rouge (quelle animalerie chez vous quand même), et le fait qu'il ne soit pas facilement devinable. Les programmes qui tentent de trouver des mots de passe se servent en général de dictionnaires de mots tout prêts qui ne feront qu'une bouchée de votre mimi1976 dont vous êtes si fier. Une bonne stratégie consiste à saupoudrer finement d'autres signes, pour arriver à quelque chose qui est presque aussi facile à retenir mais nettement plus difficile à craquer, par exemple !MiMi19-76?. C'est tout simple, mais croyez-moi c'est radical,, vous passez en un clin d'oeil de l'antivol de vélo premier prix au coffre-fort en titane de 5 tonnes.


4- L'unicité


Encore une donnée sous-estimée par SuperSecureMag et le NSA Weekly, de l'avis des souris vertes. Etant donné qu'il n'est tout simplement pas humainement possible ni souhaitable de retenir les centaines de mots de passe personnels qui encombrent les serveurs de l'internet mondial, la stratégie la plus simple consiste à choisir toujours le même. Et là c'est formidable pour les pirates hirsutes et balafrés, parce qu'au lieu de s'attaquer au site de votre assurance qui sera entouré d'acier blindé, il leur suffit de récupérer le mot de passe sur la liste de diffusion de votre boulangerie pour avoir accès à tous vos comptes : courrier électronique (donc tous les mots de passe pour ceux qui stockent sous forme de mails), banque, impôts, comptes de réseaux sociaux, photos de famille et tout ce qu'on peut imaginer.


Bref, par cette petite mécanique astucieuse le quidam inconscient se met à la merci de la plus petite faille de sécurité dans tous les sites qu'il utilise. Rappelons que la pêche au mot de passe personnel n'est pas, loin s'en faut, la seule manière de mettre la main sur votre sésame. Une attaque en règle d'un serveur peut aussi donner accès directement à la liste de tous les comptes clients, et de nombreux membres prestigieux de l'Internet Rotary Club se sont déjà fait prendre à ce petit jeu. Autrement dit, la meilleure manière de se prémunir, c'est de cloisonner et de ne pas avoir le même mot de passe partout.


Alors bien évidemment rien ne vous empêche d'utiliser une base commune, et d'ajouter ce qu'on appelle bien joliment du sel, c'est-à-dire une partie qui rend votre mot de passe unique. Tout en étant capable de retenir le machin final. Un vrai casse-tête ! Une solution pas trop complexe consisterait à particulariser en fonction de l'usage. Au lieu de votre mimi1976, donc, vous pourriez avoir !MiMi19-76?banque, !MiMi19-76?courrier, etc. Mais bon il y a plein d'autres possibilités, je vous laisse vous amuser pour trouver ce qui vous conviendra le mieux.


Une petite souris me tire la manche pour me signaler qu'avec cette méthode il n'est pas bien difficile de trouver les autres mots de passe quand on en connaît déjà un. C'est vrai, même si une machine aura du mal à faire le même raisonnement que vous, et en général les gens qui essaient de s'introduire par effraction dans vos comptes numériques ne prennent pas la peine d'inspecter les listes qu'ils récupèrent à la main, ça serait trop long et trop fastidieux. Mais, surtout, dans les systèmes bien conçus, les mots de passe ne sont jamais stockés tels quels, en fait ce que l'on retient c'est un gloubi-boulga absolument imbitable, le résultat d'une transformation appelée le hachage (rien à voir avec votre cousin bûcheron) qui rend impossible de retrouver la valeur initiale. Quand vous donnez votre mot de passe, on applique la même transformation et on compare avec la valeur hachée qu'on avait stockée au départ. Si c'est identique, c'est bon. C'est pour cela qu'il suffira d'une toute petite différence entre vos mots de passe, comme ça les valeurs hachées stockées sur les différents serveurs n'auront aucun rapport (le hachage est une opération qui brouille complètement les cartes, deux valeurs proches ont des valeurs résultantes qui n'ont rien de proche), et il sera impossible de les déduire les unes des autres.


Bien rangé à plat dans son tiroir


Bon, il nous reste à aborder l'épineux problème du stockage de tous ces mots de passe. On a beau avoir suivi le supplément Souris Vertes de l'été pour créer tout plein de valeurs hyper sécurisées, pas trop compliquées à retenir, et parfois franchement cocasses, on ne va quand même pas pouvoir garder tout ça en tête, surtout pour certains comptes qu'on utilise une fois tous les deux cents ans. Et puis il y a aussi le cas de ces sites importuns qui nous empêchent de mettre notre combinaison habituelle à cause de leurs contraintes débiles, et pour lesquels on se retrouve bien embêté car ils sont totalement spécifiques à ces contraintes.


Alors, comment fait-on ? On a déjà disqualifié le mail comme espace de stockage, non non n'insistez pas. Le fichier texte sur son bureau, ou la feuille de tableur, franchement c'est à peine mieux. Et il faut aussi dénoncer la pire des solutions, celle où vous remettez les clés de la maison directement sur la porte d'entrée avec un petit ruban autour, le fait de conserver vos mots de passe enregistrés dans votre navigateur web, ou encore pire dans votre appareil mobile qui fait absolument tout ce qu'il veut avec ces informations sans vous en parler. Au secours ! Allez on arrête les bêtises.


Figurez-vous qu'il existe des programmes tout faits, et tout bien faits même, qui sont des petits coffres-forts pour y mettre vos mots de passe, mais aussi plein d'autres informations qui peuvent vous servir régulièrement comme votre numéro de sécurité sociale ou de carte bleue. Le principe est simple, vous créez en général une entrée avec le nom de votre choix, l'identifiant, le mot de passe, l'url si vous voulez vous rappeler où aller renseigner tout ça, des commentaires où vous pouvez ajouter tout ce qui sera utile et qui vous évitera de vider votre sac sur la table du salon de manière récurrente. Pour les plus paresseux, il y a même moyen de demander à vous ouvrir la page web et renseigner automatiquement tous les champs pour vous, un luxe un peu inutile mais bon pourquoi pas. Il y a certainement beaucoup de choix dans ce type de logiciels, je ne vais citer que celui qu'on utilise chez les souris vertes : KeepassX. Il est tout simple, mais open-source, gratuit, multi-plateforme, je ne vois pas bien ce qu'on pourrait demander de plus au père noël.


Bien sûr se pose immédiatement la question toute bête, comment fait-on pour sécuriser ce fameux coffre-fort digital ? En l'occurence on ne va pas dégainer de super arme technologique de la mort, il n'existe en gros que deux façons de faire : un mot de passe, ou bien un fichier, dont on s'assure qu'il identifie bien votre machine de manière unique. Le logiciel gère les deux modes au choix. C'est toujours pareil quand on parle de sécurité, on allonge la chaîne d'un maillon mais il y a toujours quelque part un point faible, ici le mot de passe principal, ou bien l'accès à la machine qui possède le fichier. On peut tourner longtemps en rond comme ça, dans une grande farandole de souris vertes. Disons que si on choisit le mot de passe, ce qui est encore le plus simple, il faudra qu'il soit bien balèze, et surtout qu'il ne soit écrit nulle part celui-là.


Petit revers de la médaille de notre système magique, vous n'aurez accès à vos mots de passe que depuis les machines où vous aurez installé votre petit coffre-fort de poche. La base des mots de passe étant au final un fichier crypté de taille minuscule, on peut envisager de la balader d'une machine à une autre, voire sur une clé USB (il existe des versions portables qui ne nécessitent pas d'installer le logiciel pour s'en servir) mais la technique quand même la plus sûre consiste à retenir les mots de passe les plus courants dont vous pourriez avoir besoin en pleine jungle, et à limiter l'accès aux sites occasionnels ou sensibles à la maison, bien au chaud sur votre petit terminal personnel.



Bon, on s'en tient là pour cette petite session spéciale sécurité. J'espère qu'elle ne vous aura pas rendu paranoïque au point d'aller courir acheter une mitraillette ou enterrer frénétiquement vos objets numériques de valeur au fond du jardin. A la place, on respire un grand coup et on applique les deux trois petits gestes qui permettent d'aller se promener au mileu des champs l'esprit libre. Et on salue les souris vertes rencontrées au passage !



Vous avez aimé ce billet ?

 

Vous aimerez peut être...
> Au secours, mon ordi est lent ! (1) : les souris vertes à la rescousse
> Grandeurs du monde numérique (3) : Monsieur Herz mesure la solitude du processeur
> Le saviez vous ? La voiture est un ordinateur sur roues
> Le saviez vous ? Il est possible d'être informaticien sous Windows sans se pendre
> Grandeurs du monde numérique (2) : Octets et compagnie, les rois du stockage
 

Mot-clefs de ce billet...
mot de passe système

Commentaires


Saint Projet   25/08/2016 11:25:07
J'ai perdu mon mot de passe pour accéder au blog des Souris vertes, je l'avais pourtant bien noté dans un mail...
Cela étant, j'ai appris des tas de choses dans cet article.
Professeur Souriso   02/10/2016 21:10:41
Cher Saint Projet,
Les souris vertes restent fort heureusement accessibles sans mot de passe à la planète entière, plantes et animaux compris, inutile donc de revenir à ces méthodes archaïques. Pour ne pas angoisser nos lecteurs, précisons qu'il n'existe pas de section VIP du blog où certains articles ne seraient visibles que par une élite select et de préfèrence fortunée. Ceci n'est prévu que pour le rachat inévitable et prochain de notre site par un géant du web, vu son succès phénoménal. Mais ces opérations boursières prennent du temps, d'ici là qu'on se rassure, inutile de s'embarrasser d'un mot de passe supplémentaire !

Ajouter un commentaire


La validation des commentaires se fait manuellement par l'administrateur du blog. La publication de votre commentaire se fera donc une fois que l'administrateur du blog l'aura accepté. Toutefois, si votre commentaire ne respecte pas les conditions d'utilisation ou s'il est considéré comme spam, il sera supprimé sans être publié.

Auteur
Email
 
(facultatif et caché)
Site web
 
(facultatif)
Message

Ico Valider


Infos blog

Des Souris Vertes

Derniers billets

Divers   25/05/2017
Les souris vertes s'invitent à la radio
Le Petit Geste du Jour   20/05/2017
Le Petit Geste Du Jour : je change les réglages de mon appareil photo
Dossier   11/05/2017
Au secours, mon ordi est lent ! (7) : Je réinstalle mon système tout seul comme un grand
Le Petit Geste du Jour   06/05/2017
Le Petit Geste Du Jour : j'écris un haïku pour me détendre
Divers   14/04/2017
Cultiver l'attente...
Club de lecture   25/03/2017
Les souris vertes ont lu pour vous : la convivialité d'Ivan Illich
Le Petit Geste du Jour   09/03/2017
Le Petit Geste Du Jour : j'enlève la signature automatique des messages
Polémiquons   27/02/2017
L'inquiétant mariage de la science et du numérique
Dossier   17/02/2017
Au secours, mon ordi est lent ! (6) : J'adapte mon système à mes besoins
Club de lecture   12/02/2017
Les souris vertes ont lu pour vous : une question de taille, d'Olivier Rey
Le saviez-vous ?   21/01/2017
Le saviez vous ? La voiture est un ordinateur sur roues
Dossier   10/01/2017
Au secours, mon ordi est lent ! (5) : J'apprends à ne pas perdre mes données
Dossier   30/12/2016
Au secours, mon ordi est lent ! (4) : Je nettoie Windows à grands jets
Polémiquons   23/12/2016
Le Petit Geste de l'Année : je ne commande rien d'électronique au père noël
Le Petit Geste du Jour   11/12/2016
Le Petit Geste Du Jour : j'utilise un bloqueur de publicités
Dossier   27/11/2016
Au secours, mon ordi est lent ! (3) : J'apprends à ne pas polluer mon ordinateur
Dossier   14/11/2016
Au secours, mon ordi est lent ! (2) : Je dégage l'antivirus à coup de pied
Dossier   05/11/2016
Au secours, mon ordi est lent ! (1) : les souris vertes à la rescousse
Le Petit Geste du Jour   23/10/2016
Le Petit Geste Du Jour : j'utilise le mode avion même à pied
Système   16/10/2016
L'ordinateur portable est-il plus écologique ?
Le Petit Geste du Jour   02/10/2016
Le Petit Geste Du Jour : je gère la durée de vie de ma batterie
Club de lecture   17/09/2016
Les souris vertes ont lu pour vous : l'âge des low tech, de Philippe Bihouix
Système   21/08/2016
J'apprends à gérer mes mots de passe
Le Petit Geste du Jour   08/08/2016
Le Petit Geste Du Jour : j'arrête d'inclure les messages quand je réponds
Polémiquons   30/07/2016
Ecole et numérique font-ils bon ménage ?
Le Petit Geste du Jour   19/07/2016
Le Petit Geste du Jour : j'arrête d'écrire mes mails en HTML
Chamois d"or   10/07/2016
Le saviez vous ? Il est possible d'être informaticien sous Windows sans se pendre
Messagerie   04/07/2016
L'incarnation du mal : la pièce jointe dans les mails
Le Petit Geste du Jour   26/06/2016
Le Petit Geste Du Jour : Je réduis la luminosité de mon écran
Divers   18/06/2016
Stop à l'imprimante jetable
Dossier   12/06/2016
Grandeurs du monde numérique (6) : Réseaux en folie
Le Petit Geste du Jour   05/06/2016
Le Petit Geste du Jour : j'éteins ma box quand je ne m'en sers pas
Le saviez-vous ?   31/05/2016
Le saviez-vous : Google n'est pas le seul moteur de recherche ?
Dossier   25/05/2016
Grandeurs du monde numérique (5) : Dans la jungle des écrans
Le Petit Geste du Jour   20/05/2016
Le Petit Geste du Jour : je mets mes sites favoris... en favoris
Le Petit Geste du Jour   15/05/2016
Le Petit Geste du Jour : je change la page de démarrage de mon navigateur
Dossier   14/05/2016
Grandeurs du monde numérique (4) : Les spectaculaires performances des jeux vidéos
Le saviez-vous ?   12/05/2016
Le saviez-vous : à quoi sert l'économiseur d'écran ?
Dossier   08/05/2016
Grandeurs du monde numérique (3) : Monsieur Herz mesure la solitude du processeur
Dossier   06/05/2016
Grandeurs du monde numérique (2) : Octets et compagnie, les rois du stockage
Dossier   05/05/2016
Grandeurs du monde numérique (1) : c'est gros, c'est petit ?
Divers   04/05/2016
Les souris partent à l'aventure


MP  Mighty Productions
> Blogs
> Des Souris Vertes
> Système
> J'apprends à gérer mes mots de passe
 
RSS       Mentions légales       Comms  Haut de la page  
◄ ►