Outils pour utilisateurs

Outils du site


wiki:securite:secu_mot_de_passe

Au niveau des Mots de Passe

MdP

Un mot de passe est un mot ou une série de caractères utilisés comme moyen d'authentification pour prouver son identité.

Faiblesse d'un système

La stratégie la plus fréquente chez les pirates, cherchant à prendre le contrôle d’un système, consiste tout d’abord à usurper l’identité d’un utilisateur ; il lui faut réussir à trouver une paire “login/mot de passe” valide. Puis dans un deuxième temps, il utilisera les failles connues du système pour devenir “superutilisateur”.

Une chaîne de sécurité n’est jamais plus solide que son maillon le plus faible. Certains croient à tort, que leur mot de passe ne concerne que leur poste de travail et que ça n'a pas de conséquences sur le réseau complet. Le pirate s’attaque d’abord à un système sous-protégé du réseau.

Les bonnes questions

  • Quelles sont les conséquences en cas de craquage de ce MdP ?
  • Cela permettra-t-il d'avoir accès à mes autres comptes ? (créer le schéma des validations entre comptes mails)
  • Ce site serait-il utile pour usurper mon identité ? (EdF, téléphone, etc.) > 25 caractères.
  • Par quels moyens ce MdP pourrait-il être craqué ?
    • Le MdP d'accès au BIOS de la machine doit être tapé manuellement. Ce MdP peut être relativement faible, car il doit être saisit manuellement pour chaque tentative.
    • Les MdP définis sur les sites Internet doivent être long (> 25 caractères), car ils pourront être testés par des algorithmes répétitifs.

Il faut prendre le temps de ces réflexions lors de la création du MdP, car nous n'y repenserons plus ensuite. Qui “change régulièrement” ses MdP comme c'est recommandé, sur la centaine de site où il s'est inscrit ? Mettez des MdP forts plutôt que de vous imposer de les “changer régulièrement” (ce que vous ne ferez jamais).

Pour les MdP donnant accès à des cryptages (clef publique, gestionnaire de MdP, compte Firefox…), le MdP sert aussi de clef de chiffrement. Le changer impliquera de tout refaire. A vérifier dans la documentation du service.

Évaluation de la sécurisation d'un site

Quelles sont les caractères possibles pour le MdP ? (caractéristiques : nombre de caractères maxi ; au moins 1 MAJ, 1 min, 1 chiffre ; avec caractères spéciaux). Vous en déduisez le niveau de sécurité.
Au bout de combien de tentatives le compte est-il bloqué ?
Les contraintes sont très diverses, voire surprenantes par rapport à l'importance du site (site de banque avec 6 chiffres seulement).

Créer un MdP pour quelle importance de site ?

  1. Le Gestionnaire de MdP.
  2. La Boite mail (le plus important à sécuriser) ⇒ + de 14 caractères. Elle reçoit un grand nombre de vos services en ligne (banques, commerces en ligne, réseaux sociaux, etc.). Un cybercriminel pourrait utiliser la fonctionnalité “Mot de passe oublié” ⇒ Question secrète.
  3. Les Finances ⇒ > 12 caractères (Banque, Impôts, Sécurité sociale, CAF, Pole Emploi, Ebay, Amazon…).
  4. Les Informations, pétitions… ⇒ > 10 caractères (journaux sans abonnement payant, forums, etc.).

Ces longueurs de MdP sont minimales.
— Elles dépendent de la complexité des types de caractères utilisés (majuscules, minuscules, chiffres, caractères spéciaux, ponctuation).
— Elles dépendent du nombre d'essais avant blocage. Si on est limité à un nombre d'essais, le crackage prendra beaucoup de temps (dû au temps d'attente entre ré-essais).
— Elles dépendent de la puissance des machines (vitesse). L'idée est que cracker un MdP prend 5 h pour :

  • 3 caractères en 1980.
  • 8 caractères en 2000.
  • 10 caractères en 2020.

S'il faut taper le MdP au clavier (BIOS/UEFI), ça va prendre beaucoup de temps, et de courage. (attention à la pile)
Si l'objet (fichier, sauvegarde…) est à disposition en local, non limité à un nombre d'essais, le crackage prendra beaucoup moins de temps (pas de temps d'attente entre ré-essais).

Question secrète

Il faut la gérer comme un MdP normal. Avec une attaque par dictionnaire, c'est une grosse faille de sécurité !

Liste des MdP à éviter

Créer soi-même son MdP

Plus c'est compliqué et long, mieux c'est (au moins 12 caractères des 4 types). Impossible à deviner. Pas de mot figurant dans un dictionnaire (même étranger), de date, de suites,. Complexes, utilisant les 4 types de caractères : majuscules, minuscules, chiffres, caractères spéciaux (+ ponctuation).

  • au moins 12 caractères
  • au moins 1 minuscule
  • au moins 1 majuscule
  • au moins 1 chiffre
  • au moins 1 caractère spécial

Méthodes pour créer un mot de passe qui se retient

  • Première lettre des mots d'une phrase — Exemple à partir de la phrase : Après la plus le beau temps ! Un tien vaut mieux que deux tu l'auras. ⇒ Alp,lbt!1tvmq2tl'a.
  • Garder la ponctuation.
  • Il est fortement conseillé de ne pas laisser d'espaces entre les mots.
  • Premières lettres de l'un de vos poèmes, chansons ou slogans préférés, espacés à chaque fois d'un chiffre ou caractère spécial, de même, mélanger les lettres majuscules et minuscules est recommandé.
  • Mettre une lettre sur deux, en majuscule, ce qui nous donne :“H,mFeAfLc”.
  • Écrire phonétiquement une phrase : J’ai acheté huit CD pour cent euros cet après-midi — > ght8CD%E7am.
    « 1 m0t de p@$ qui va me rester !! »
  • Schéma sur le clavier.
  • Choisir une phrase de passe, donc un MdP très long (exemple : une série de 6 ou 8 mots aléatoires). Le plus important est la longueur du mot de passe, contre les attaques par force brute (test de toutes les combinaisons possibles, une à une).
  • Méthode par substitution : vous attribuer un signe à une lettre.

Une combinaison de cela.

Ce mot de passe doit être unique, car il existe des dictionnaires recensant tous les mots de passe déjà crackés.

Bonnes pratiques (ANSSI, CNIL...)

  • Pas de suites de chiffres, de lettres…
  • Pas d'informations personnelles (noms, de société, d’enfant, de ville, d'animaux, date de naissance, n°SS, n°immatriculation, etc. ⇒ social engineering). Vous ne savez jamais qui est le pirate. Vous ne savez jamais de quelles informations il dispose.
  • Pas de mots d'un dictionnaire toutes langues, composés chimiques… (attaque par dictionnaire, y compris les fuites de listes de comptes dérobées sur les sites web).
  • MdP différent pour chaque compte.
  • Distincts d’un système à l’autre (pas de réutilisation).
  • Changez les MdP par défaut (objets connectés, services…) à l'installation d'un service, dès la première utilisation, ils sont souvent connus des cybercriminels.
  • MdP différents, entre l'environnement Professionnel et Personnel, messageries surtout – fuites de fichiers.
  • Renouvelés régulièrement et systématiquement, tous les 90 jours pour les systèmes contenant des données sensibles, ou Professionnelles.
  • Utiliser des Identifiants (logins) différents sur chaque site, pour éviter votre profilage.
  • MdP gardés secrets, ils sont confidentiels. Ne jamais les écrire sur un bout de papier (ou bien les mettre dans un coffre) — hameçonnage.
  • Ne pas les écrire en clair dans un fichier informatique, encore moins sur un papier facilement accessible.
  • Ne pas communiquer son MdP par téléphone, mail, messagerie instantanée, même au dépanneur (créez un autre compte dont vous changez le MdP ensuite)…
  • Ne pas partager un compte utilisateur.
  • Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des MdP choisis.
  • Ne pas utiliser vos MdP sur un ordinateur partagé (ordinateurs piégés en libre accès).
  • Ne pas utiliser l'Authentification en 1 clic de FessesBouc, Gooogol… (tous les comptes d'un coup, pistage).
  • Changer votre MdP au moindre doute de divulgation, d’utilisation frauduleuse (activité inhabituelle sur ce compte).
  • S'assurer de la déconnexion avant de quitter un poste ou activer l'écran de veille s'il est protégé par un MdP.
  • Ne pas utiliser d'informations qui sont ou pourraient devenir publiquement associées à l'utilisateur ou au compte.
  • Ne pas utiliser de MdP constitués d'une combinaison des composants faibles susmentionnés.
  • Les gestionnaires de MdP des GAFAM… sont-ils sûrs (backdoors) ?

Certaines directives conseillent de ne pas écrire les MdP, tandis que d’autres, reconnaissant l'impossibilité pour l'utilisateur de mémoriser un grand nombre de MdP robustes différents, encouragent l’écriture de MdP tant que les listes de MdP écrites sont conservées dans un endroit sûr. (Wikipédia)

Certaines préconisations sont en contradiction avec d'autres.
On peut voir cela dans un ordre de préférences :

  1. Utiliser un gestionnaire de MdP pour le PC (ex : KeePass).
  2. Utiliser le gestionnaire de MdP du navigateur.
  3. Marquer le MdP sur un papier collé sur l'écran ;-)

Je recommande d'écrire sur papier les MdP principaux (mail, gestionnaire de MdP) dans un lieu secret (coffre, codé dans un livre, fichier crypté quelque part…).

D'une façon générale

  • Les Identifiants sont uniques (profilage).
  • Les MdP sont uniques (piratage).
  • Les MdP sont longs, complexes ou aléatoires (décryptage par force brute).
  • Aucun lien avec soi : age, prénoms, ville / département, entreprise… (ingénierie sociale).
  • Ne pas laisser d'indices : post-it, fichiers texte, smartphone, boite de messagerie…

Mesurer la force de votre MdP

https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe
https://www.huffingtonpost.fr/jan-valcke/craquer-les-mots-de-passe_b_3658361.html
https://fr.wikipedia.org/wiki/Cassage_de_mot_de_passe https://www.passwortcheck.ch/passwortcheck/passwortcheck - Test de MdP

https://howsecureismypassword.net — Combien de temps faudrait-il pour craquer mon mot de passe avec un/des ordinateurs ?

N’utiliser pas votre vrai MdP avec ces outils, ils peuvent l'enregistrer dans leur liste qui servirait à des piratages.

Utiliser un Gestionnaire de MdP

  • KeePass, logiciel gratuit et certifié par l’ANSSI + cryptage de centenaire (espace de stockage).
  • Zenyway
  • Passwordsafe

Choisir un gestionnaire de MdP : - Sur plusieurs appareils (linux, Android…) - Sur un site (dashlane)

⇒ sur 20 caractères (mini).

https://fr.wikipedia.org/wiki/Vuln%C3%A9rabilit%C3%A9_des_services_d%27authentification_web
https://www.undernews.fr/authentification-biometrie/le-plus-gros-dictionnaire-de-mots-de-passe-crackes-au-monde-diffuse.html (15 GB, 1,5 milliard de MdP en 2013)

Types d’authentification

4 cas d’authentification par MdP - CNIL 4 cas d’authentification par MdP - CNIL

  • MdP seul.
  • MdP + Restriction d'accès.
  • Mdp + avec Information complémentaire.
  • MdP + avec Matériel personnel (carte à puce…).

Phrase2Passe (CNIL)

La CNIL a développé un outil pour générer un MdP robuste à partir d’une phrase, et un moyen mnémotechnique. Le code de cet outil est disponible sous la forme d’une extension logicielle en javascript, afin que vous puissiez l’intégrer dans vos applications. ⇒ ⇒Télécharger l’extension.

Mon MdP a-t-il était compromis

Firefox Monitor : https://monitor.firefox.com Have I be PWned : https://haveibeenpwned.com

Double authentification

« Authentification à double facteur » ou 2FA (two-factor authentication), l’utiliser dès que possible.

  • Gmail, Outlook, Yahoo Mail…
  • Facebook, Instagram, LinkedIn, Twitter…
  • Skype, WhatsApp…
  • Amazon, eBay, Paypal…
  • Apple iCloud, Dropbox, Google Drive, One Drive…

Le service vérifie par un téléphone (SMS) ou un autre équipement, si un nouvel appareil inconnu tente de se connecter à votre compte.

Mots de passe à usage unique

Les mots de passe à usage unique (One Time Password, OTP) sont un système d'authentification forte basés sur le principe de challenge/réponse. Le concept est simple : Utiliser un mot de passe pour une et une seule session. De plus, le mot de passe n'est plus choisi par l'utilisateur mais généré automatiquement par une méthode de pré-calculé (c'est à dire que l'on précalcule un certain nombre de mot de passe qui seront utilisés ultérieurement). Cela supprime les contraintes de :

  • Longévité du mot de passe. Le mot de passe est utilisé une seule fois.
  • Simplicité du mot de passe. Le mot de passe est calculé par l'ordinateur et non pas choisi par un utilisateur.
  • Attaque par dictionnaire ou par force brute : Pourquoi essayer de cracker un mot de passe obsolète ?
  • Sniffer et chiffrement du mot de passe : Le mot de passe à usage unique peut être envoyé en clair sur le réseau : Lorsqu'un sniffer en détecte un, il est déjà trop tard, car il est utilisé, et non ré-expoitable. https://www.securiteinfo.com/cryptographie/otp.shtml

Clouds

Mettre les mots de passes sur le cloud ? Choisir un mot de passe fort pour le cloud. Et choisir au moins un cloud français, ex:

????? pas compris —– “Encryptage de la base de mot de passe : lors de la création de la base de mots de passe, keepass2 vous propose d'indiquer le nombre de fois qu'il encrypte le fichier généré (ex : 5000 fois, estimation du temps de décryptage : 200 ans).”


Que penser des coffres-forts numériques ?

Votre assureur (voiture, habitation…) ou votre banque, en propose probablement. On change plus facilement d'assureur que de banque, il faut penser à transférer les données (une partie de plaisirs). Le chiffrage se fait-il sur votre PC (de bout en bout) ou sur le serveur (à l'arrivée) ?


Fuite d'adresse ou de nom d'utilisateur

Sites consultés

https://www.cybermalveillance.gouv.fr
(+ assistance) https://www.ssi.gouv.fr — ANSSI — Agence Nationale de Sécurité des Systèmes d’Information,
https://www.cnil.fr
https://www.securiteinfo.com


extension pour Google Chrome, baptisée PassProtect, développée par Okta et publiée sous licence libre sur le site GitHub, elle sert à analyser vos mots de passe pour déterminer s’ils ont été piratés dans le cadre d’un leak.

wiki/securite/secu_mot_de_passe.txt · Dernière modification : 2023/03/07 15:37 de palas

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki