Différences

Ci-dessous, les différences entre deux révisions de la page.

--- wiki:securite:secu_mot_de_passe [2025/08/12 12:36] – [Les bonnes questions] palas
+++ wiki:securite:secu_mot_de_passe [2025/10/10 18:22] (Version actuelle) – palas
@@ Ligne 1: / Ligne 1: @@
 ====== Au niveau des Mots de Passe ======
+**[[wiki:securite:secu_mot_de_passe_lister_mdp|Lister ses Mots de passe]]** \\
+**[[:wiki:securite:secu_Mot_de_passe_Gestionnaires|Gestionnaires de Mots de passe]]**
-**[[:wiki:securite:secu_Mot_de_passe_Liste|Liste des Mots de passe]]**
-**[[wiki:securite:secu_Mot_de_passe_Gestionnaires|Gestionnaires de Mots de passe]]**
 ===== MdP =====
 Un **[[:wiki:glossaire#mot de passe|mot de passe]]** est une suite de mots ([[https://www.lemagit.fr/conseil/Comment-creer-une-phrase-de-passe-forte-avec-des-exemples|passphrase]]) ou une série de caractères utilisés comme moyen d'[[:wiki:glossaire#authentification|authentification]] pour prouver son identité.
@@ Ligne 22: / Ligne 21: @@
   * Quelles sont les conséquences en cas de craquage de ce MdP ?
   * Cela permettra-t-il d'avoir accès à mes autres comptes ? (créer le schéma des validations entre comptes mails)
-  * Ce site serait-il utile pour usurper mon identité ? (EdF, téléphone, etc.) > 25 caractères.
+  * Ce site serait-il utile pour usurper mon identité ? (EdF, téléphone, etc.) MdP > 25 caractères.
   * Par quels moyens ce MdP pourrait-il être craqué ?
-    * Le MdP d'accès au BIOS de la machine doit être tapé manuellement. Ce MdP peut être relativement faible, car il doit être saisit manuellement pour chaque tentative (c'est très long).
+    * Le MdP d'accès au BIOS de la machine doit être tapé manuellement pour chaque tentative (c'est très long). Ce MdP peut être relativement faible.
     * Les MdP définis sur les sites Internet doivent être long (> 25 caractères), car ils pourront être testés par des algorithmes répétitifs.
@@ Ligne 34: / Ligne 33: @@
 ===== Évaluation de la sécurisation d'un site =====
 Quelles sont les caractères possibles pour le MdP ? (caractéristiques : nombre de caractères maxi ; au moins 1 MAJ, 1 min, 1 chiffre ; avec caractères spéciaux). Vous en déduisez le niveau de sécurité. \\
 Au bout de combien de tentatives le compte est-il bloqué ? \\
@@ Ligne 54: / Ligne 54: @@
   * 10 caractères en 2020.
   * ...
-S'il faut taper le MdP au clavier (BIOS/UEFI), ça va prendre beaucoup de temps, et de courage. (attention à la pile) \\
+S'il faut taper le MdP au clavier (BIOS/UEFI), ça va prendre beaucoup de temps, et de courage. (attention à la pile du PC) \\
 Si l'objet (fichier, sauvegarde...) est à disposition en local, non limité à un nombre d'essais, le crackage prendra beaucoup moins de temps (pas de temps d'attente entre ré-essais). \\
@@ Ligne 70: / Ligne 70: @@
 ===== Question secrète =====
-Il faut la gérer comme un MdP normal. Avec une attaque par dictionnaire, c'est une grosse faille de sécurité !
+Avec une attaque par dictionnaire, c'est une grosse faille de sécurité ! Il faut la gérer comme un MdP normal.
 ===== Liste des MdP à éviter =====
-https://www.ouest-france.fr/leditiondusoir/data/73635/reader/reader.html#!preferred/1/package/73635/pub/104600/page/9 \\
-https://www.blogdumoderateur.com/etude-mots-de-passe-vulnerables
+https://www.ouest-france.fr/leditiondusoir/data/73635/reader/reader.html#!preferred/1/package/73635/pub/104600/page/9 \\
+https://www.blogdumoderateur.com/etude-mots-de-passe-vulnerables \\
+Ce ne sont que quelques exemples.
 ===== Créer soi-même son MdP =====
 Plus c'est compliqué et long, mieux c'est (au moins 12 caractères des 4 types). Impossible à deviner.
-Pas de mot figurant dans un dictionnaire (même étranger), de date, de suites,.
+Pas de mot figurant dans un dictionnaire (même étranger), de date, de suites.
 Complexes, utilisant les 4 types de caractères : majuscules, minuscules, chiffres, caractères spéciaux (+ ponctuation).
-  * au moins 12 caractères
+  * au moins 12 caractères (recommandation officielle, insuffisante)
   * au moins 1 minuscule
   * au moins 1 majuscule
   * au moins 1 chiffre
-  * au moins 1 caractère spécial
+  * au moins 1 caractère spécial (selon les sites)
 ===== Méthodes pour créer un mot de passe qui se retient =====
-  * Première lettre des mots d'une phrase --- Exemple à partir de la phrase : Après la plus le beau temps ! Un tien vaut mieux que deux tu l'auras. => Alp,lbt!1tvmq2tl'a.
+  * Première lettre des mots d'une phrase --- Exemple à partir de la phrase : Après la plus le beau temps ! Un tien vaut mieux que deux tu l'auras. => Alp,lbt!1tvmq2tl'a. (il est facile d'ajouter ces combinaisons connues à un dictionnaire d'attaque)
   * Garder la ponctuation.
   * Il est fortement conseillé de ne pas laisser d'espaces entre les mots.
@@ Ligne 96: / Ligne 97: @@
   * Mettre une lettre sur deux, en majuscule, ce qui nous donne :"H,mFeAfLc".
   * Écrire phonétiquement une phrase : J’ai acheté huit CD pour cent euros cet après-midi — > ght8CD%E7am. \\ « 1 m0t de p@$ qui va me rester !! »
-  * Schéma sur le clavier.
+  * Schéma sur le clavier. Attention : le clavier doit toujours être le même, en français (variante, sans touche morte, obsolète...), ou toujours en anglais quand on doit le saisir.
   * Choisir une phrase de passe, donc un MdP très long (exemple : une série de 6 ou 8 mots aléatoires). Le plus important est la longueur du mot de passe, contre les attaques par force brute (test de toutes les combinaisons possibles, une à une).
   * Méthode par substitution : vous attribuer un signe à une lettre.
-  *
+  * Une combinaison de cela.
-Une combinaison de cela.
 Ce mot de passe doit être unique, car il existe des dictionnaires recensant tous les mots de passe déjà crackés.
@@ Ligne 114: / Ligne 114: @@
   * Renouvelés régulièrement et systématiquement, tous les 90 jours pour les systèmes contenant des données sensibles, ou Professionnelles.
-  * Utiliser des **Identifiants** (logins) différents sur chaque site, pour éviter votre profilage.
+  * Utiliser des **Identifiants** (logins) différents sur chaque site, pour éviter le piratage par réutilisation.
   * MdP gardés secrets, ils sont confidentiels. Ne jamais les écrire sur un bout de papier (ou bien les mettre dans un coffre) — hameçonnage.
@@ Ligne 139: / Ligne 139: @@
 **Certaines préconisations sont en contradiction avec d'autres.** \\
 On peut voir cela dans un ordre de préférences :
-  - Utiliser un gestionnaire de MdP pour le PC (ex : KeePass).
+  - Utiliser un gestionnaire de MdP pour le PC (ex : KeePassXC).
   - Utiliser le gestionnaire de MdP du navigateur.
   - ...
@@ Ligne 231: / Ligne 231: @@
   * NAS derrière sa box
-????? pas compris ----- "Encryptage de la base de mot de passe : lors de la création de la base de mots de passe, keepass2 vous propose d'indiquer le nombre de fois qu'il encrypte le fichier généré (ex : 5000 fois, estimation du temps de décryptage : 200 ans)."
+????? ----- "Chiffrement de la base de mot de passe : lors de la création de la base de mots de passe, keepass2 vous propose d'indiquer le nombre de fois qu'il encrypte le fichier généré (ex : 5000 fois, estimation du temps de décryptage : 200 ans)."
 ----
@@ Ligne 257: / Ligne 257: @@
 ----
-extension pour Google Chrome, baptisée [[https://www.passprotect.io|PassProtect]], développée par Okta et publiée sous licence libre sur le site [[https://github.com/OktaSecurityLabs/passprotect-chrome|GitHub]], elle sert à analyser vos mots de passe pour déterminer s’ils ont été piratés dans le cadre d’un leak.
+extension pour Google Chrome, baptisée [[https://www.passprotect.io|PassProtect]], développée par Okta et publiée sous licence libre sur le site [[https://github.com/OktaSecurityLabs/passprotect-chrome|GitHub]], elle sert à analyser vos mots de passe pour déterminer s’ils ont été piratés dans le cadre d’un [[https://fr.wiktionary.org/wiki/leak|leak]].