Informations :
Rubriques :
<ifauth @contrib>
Contributeurs :
Documents administratifs :
</ifauth>
<ifauth @admin>
<ifauth @contrib>
</ifauth>
<ifauth @admin>
-
Mes mots de passes sur le cloud ?
T'es tombé sur la tête ? ou bien choisir un cloud français, ex:
Choisir un mot de passe fort pour le cloud.
Encryptage de la base de mot de passe : lors de la création de la base de mots de passe, keepass2 vous propose d'indiquer le nombre de fois qu'il encrypte le fichier généré (ex : 5000 fois, estimation du temps de décryptage : 200 ans) ????? pas compris.
Un mot de passe est un mot ou une série de caractères utilisés comme moyen d'authentification pour prouver son identité.
La stratégie la plus fréquente chez les crackers, cherchant à prendre le contrôle d’un système, consiste tout d’abord à usurper l’identité d’un utilisateur ; il lui faut réussir à trouver une paire “login/mot de passe” valide. Puis dans un deuxième temps, il utilisera les failles connues du système pour devenir superutilisateur.
Une chaîne n’est jamais plus solide que son maillon le plus faible. Certains croient à tort, que leur mot de passe ne concerne que leur poste de travail et que ça n'a pas de conséquences sur le réseau complet. Le pirate s’attaque d’abord à un système sous-protégé du réseau.
Il faut prendre le temps de ces réflexions lors de la création du MdP, car nous n'y repenserons plus ensuite. Qui “change régulièrement” ses MdP comme c'est recommandé, sur la centaine de site où il s'est inscrit ???? Mettez des MdP forts plutôt que de vous imposer de les “changer régulièrement” (ce que vous ne ferez jamais).
Quelles sont ses possibilités de MdP ? (caractéristiques : nombre caractères maxi ; au moins 1 MAJ, 1 min, 1 chiffre ; avec caractères spéciaux). Vous en déduisez le niveau de sécurité.
Au bout de combien de tentatives le compte est-il bloqué ?
Les contraintes sont très diverses, voire surprenantes par rapport à l'importance du site (site de banque avec 6 chiffres seulement).
Ces longueurs de MdP sont minimales.
— Elles dépendent de la complexité des types de caractères utilisés (majuscules, minuscules, chiffres, caractères spéciaux, ponctuation).
— Elles dépendent du nombre d'essais avant blocage. Si on est limité à un nombre d'essais, le crackage prendra beaucoup de temps (dû au temps d'attente entre ré-essais).
— Elles dépendent de la puissance des machines (vitesse).
L'idée est que cracker un MdP prend 5 h pour :
S'il faut taper le MdP au clavier (BIOS/UEFI), ça va prendre beaucoup de temps, et de courage. (attention à la pile)
Si l'objet (fichier, sauvegarde…) est à disposition en local, non limité à un nombre d'essais, le crackage prendra beaucoup moins de temps (pas de temps d'attente entre ré-essais).
Il faut la gérer comme un MdP normal. Avec une attaque par dictionnaire, c'est une grosse faille de sécurité !
https://www.ouest-france.fr/leditiondusoir/data/73635/reader/reader.html#!preferred/1/package/73635/pub/104600/page/9
https://www.blogdumoderateur.com/etude-mots-de-passe-vulnerables
Plus c'est compliqué et long, mieux c'est (au moins 12 caractères des 4 types). Impossible à deviner. Pas de mot figurant dans un dictionnaire (même étranger), de date, de suites,. Complexes, utilisant les 4 types de caractères : majuscules, minuscules, chiffres, caractères spéciaux (+ ponctuation).
Une combinaison de cela.
Ce mot de passe doit être unique, car il existe des dictionnaires recensant tous les mots de passe déjà crackés.
Certaines directives conseillent de ne pas écrire les MdP, tandis que d’autres, reconnaissant l'impossibilité pour l'utilisateur de mémoriser un grand nombre de MdP robustes différents, encouragent l’écriture de MdP tant que les listes de MdP écrites sont conservées dans un endroit sûr. (Wikipédia)
Certaines préconisations sont en contradiction avec d'autres.
On peut voir cela dans un ordre de préférences :
Je recommande d'écrire sur papier les MdP principaux (mail, gestionnaire de MdP) dans un lieu secret (coffre, codé dans un livre, fichier crypté quelque part…).
https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe
https://www.huffingtonpost.fr/jan-valcke/craquer-les-mots-de-passe_b_3658361.html
https://fr.wikipedia.org/wiki/Cassage_de_mot_de_passe
https://www.passwortcheck.ch/passwortcheck/passwortcheck - Test de MdP
https://howsecureismypassword.net — Combien de temps faudrait-il pour craquer mon mot de passe avec un/des ordinateurs ?
N’utiliser pas votre vrai MdP avec ces outils, ils peuvent l'enregistrer dans leur liste qui servirait à des piratages.
Choisir un gestionnaire de MdP : - Sur plusieurs appareils (linux, Android…) - Sur un site (dashlane)
⇒ sur 20 caractères (mini).
https://fr.wikipedia.org/wiki/Vuln%C3%A9rabilit%C3%A9_des_services_d%27authentification_web
https://www.undernews.fr/authentification-biometrie/le-plus-gros-dictionnaire-de-mots-de-passe-crackes-au-monde-diffuse.html (15 GB, 1,5 milliard de MdP en 2013)
4 cas d’authentification par MdP - CNIL
La CNIL a développé un outil pour générer un MdP robuste à partir d’une phrase, et un moyen mnémotechnique. Le code de cet outil est disponible sous la forme d’une extension logicielle en javascript, afin que vous puissiez l’intégrer dans vos applications. ⇒ ⇒Télécharger l’extension.
Firefox Monitor : https://monitor.firefox.com Have I be PWned : https://haveibeenpwned.com
« Authentification à double facteur » ou 2FA (two-factor authentication), l’utiliser dès que possible.
Le service vérifie par un téléphone (SMS) ou un autre équipement, si un nouvel appareil inconnu tente de se connecter à votre compte.
Les mots de passe à usage unique (One Time Password, OTP) sont un système d'authentification forte basés sur le principe de challenge/réponse. Le concept est simple : Utiliser un mot de passe pour une et une seule session. De plus, le mot de passe n'est plus choisi par l'utilisateur mais généré automatiquement par une méthode de pré-calculé (c'est à dire que l'on précalcule un certain nombre de mot de passe qui seront utilisés ultérieurement). Cela supprime les contraintes de :
Votre assureur (voiture, habitation…) ou votre banque, en propose probablement. On change plus facilement d'assureur que de banque, il faut penser à transférer les données (une partie de plaisirs). Le chiffrage se fait-il sur votre PC (de bout en bout) ou sur le serveur (à l'arrivée) ?
https://www.cybermalveillance.gouv.fr
(+ assistance)
https://www.ssi.gouv.fr — ANSSI — Agence Nationale de Sécurité des Systèmes d’Information,
https://www.cnil.fr
https://www.securiteinfo.com
…
extension pour Google Chrome, baptisée PassProtect, développée par Okta et publiée sous licence libre sur le site GitHub, elle sert à analyser vos mots de passe pour déterminer s’ils ont été piratés dans le cadre d’un leak.