mot_de_passe

Ceci est une ancienne révision du document !


Mot de passe / password

Les mots de passes sont comme vos sous-vêtements:

  • vous ne devriez pas les laisser traîner dans des endroits où d'autres personnes peuvent les voir
  • vous devriez les changer régulièrement
  • et vous ne deviez pas les prêter à des étrangers
Vous ne vous sentez pas concerné/e?

Dans le cadre de mon job à l'uni et des mes activités associatives bénévoles, j'ai régulièrement affaire à des personnes qui ne se sentaient pas non plus concernées. Et je peux vous dire qu'un mot de passe comme tintin ou milou peut avoir des conséquences assez graves.

Alors, même si ça peut sembler fastidieux - cela ne l'est pas vraiment, vous verrez, on peut aussi prendre cela comme un jeu, lisez ce qui suit.

  1. Les meilleurs mot de passe sont les mots de passe aléatoires, combinant chiffres et lettres, et encore mieux, caractères spéciaux.
  2. Ne pas noter le mot de passe sur un fichier texte librement accessible sur votre PC. Ne pas non plus le noter sur un bout de papier collé à l'écran. En effet, si vous êtes chez vous, le risque est plus faible, mais en entreprise, c'est une faute grave. Apprendre votre mot de passe par coeur est le meilleur moyen de ne pas avoir de problèmes de ce point de vue. Je reconnais que retenir Lj$5*C:é par coeur est plutôt complexe.. C'est pourquoi il est plus souvent utilisé un mot de passe auquel vous et vous seul comprenez la logique.
  3. Une bonne chose est d'en changer de temps en temps, tous les 2 mois par exemple. Changer régulièrement de pseudo permet de bloquer certaines attaques par brute force lentes. Le changement mensuel forcé de mot de passe est une mesure qui devrait être mise en place dans toutes les entreprises.
A éviter
  1. La règle d'or est d'éviter absolument les mots de passe courts.
  2. Les dates d'anniversaire. c'est la première chose qu'un attaquant tente. Exemples : “11081972”, “12novembre”, “26 juin 1949”, “04/03/87”
  3. Les noms et prénoms (voir surnoms) de gens que vous connaissez. Extrêmement courant, donc par conséquent extrêmement faible du point de vue sécurité. Exemples : “Rachelle”, “Dupont”, “cocotte”, “mon amour”
  4. Les mots en rapport avec le pseudo, s'il y en a un (par exemple sur internet). Votre pseudo est quasiment tout le temps visible, or, il ne doit pas être un indice sur votre mot de passe. Le pire est de reprendre des termes, ou une partie du pseudo. Exemples avec le pseudo “Pilote de chasse” : “pilote”, “mirage 2000”, “avion”
  5. Evitez aussi les mots de passe directement tirés de la disposition du clavier. Exemples : “azerty”, “azertyuiop”, “aqwzsx”
  6. Les mots de passe composés simplement de chiffres sont, à longueur équivalente, beaucoup moins forts. Evitez aussi les suites logiques de nombres. Exemples : “0123”, “123456789”, “789456123”, même “65679524” (8 caractères) qui est moins fort que “fü'7Kà” (6 caractères). Les numéros de téléphone sont donc par là prohibés, ils sont cassés en 16 minutes par une attaque de force brute (10 caractères), et en moins de 10 secondes si on connait l'indicatif.
  7. Pour les connaisseurs, les mots de passe utilisant des caractères issus de l'alphabet “leet” sont à mot identique plus performants, mais constituent aussi un danger, à cause de la présence de dictionnaires leet. Exemples : “l33t”, “s4lut”, “h3110”
  8. Enfin, et je sais à quel point c'est contraignant, il est préférable de ne pas prendre de mots du dictionnaire. En effet, cela rend votre mot de passe particulièrement vulnérable face à un type d'attaque en utilisant. Exemples : “bonbon” sera moins sûr que “vfdrt”, “anticonstitutionnellement” sera à coup sûr moins performant que “kanupter”!

La sécurité d'un mot de passe est très difficilement calculable, c'est là l'objet d'algorithmes parfois complexes, se basant parfois sur des analyses de probabilités poussées.

Pour résumer, la sécurité d'un mot de passe est globalement régulée par, en premier lieu, sa longueur, en second lieu, les types de caractères utilisés (dans l'ordre de sécurité : nombres, lettres, majuscules/minuscules, caractères spéciaux), et en dernier lieu la logique que suit l'enchainement des caractères. Pour résumer, les meilleurs mots de passe ont 8 caractères - au moins, et sont issus d'une suite aléatoire.

(Source: http://info.crypto.free.fr/wiki.php/3%29%20Mots%20de%20passe)

Voir aussi:

Choisissez avec soin votre mot de passe, dans la mesure ou votre login (typiquement si vous gardez “admin”) est craquable immédiatement; ex. de bon mot de passe: * H2Ok3.14 (okapi), * ou une phrase comme fJdvslmddg (Frère Jacques, dormez-vous, sonnez les matines, ding dang dong) facile à mémoriser mais incraquable (disons, difficilement craquable sans y mettre de gros moyens…) Exemple vécu: avec un logiciel comme John the Ripper, j'ai pu craquer le mot de passe “romarin” en moins de 10 secondes… J'ai conseillé à l'utilisatrice de ce mot de passe d'utiliser “rh2omarin”, et j'ai passé dessus John the Ripper pendant une journée sans qu'il parvienne à trouver!

La nouvelle tendance est à la phrase aléatoire:

riscaldato Katze fear vodka 

est p. ex. très puissant et aisément mémorisable… (chat échaudé craint l'eau… qui lui serait assez médiocre)

Laugh-Out-Loud Cats 736.jpg


Автор: Adam Koford - originally posted to Flickr as Laugh-Out-Loud Cats #736, CC BY 2.0, Ссылка

Me suis-je fait pawner?” fait maintenant partie du langage commun du geek du XXIe siècle - et devrait faire partie du vocabulaire de tout un chacun, car cela concerne beaucoup, beaucoup de monde…

En français - mais c'est aussi un terme de geek, la traduction habituelle serait “me suis-je fait exposer”. En deux mots, cela signifie qu'une information secrète - p. ex. un mot de passe - a été divulgué, p. ex. sur un réseau de *“)(/”/&(“&@!! hackers.

Et y'a un site pour savoir ça: https://haveibeenpwned.com/

Si, malgré ce que vous avez lu, vous persistez à utiliser des mots de passe comme “root” ou “admin” ou “médor”, allez voir le lien suivant: http://www.lockdown.co.uk/?pg=combi (time to crack password).

ce qui suit est plutôt destiné à des geeks, pour les nuls en info vous pouvez ignorer… et rapidement changer votre mot de passe s'il est faible!

Ne le faites surtout pas en ligne, au risque de vous faire pirater votre mot de passe tout frais!

Sur linux, un client simple en ligne de commande: cracklib-check

~$ echo "fü'7Kà" | cracklib-check 
fü'7Kà: OK
echo "123x56abc" | cracklib-check 
123x56abc: trop simple/systématique
echo "123" | cracklib-check 
123: BEAUCOUP trop court

#verifier tout un fichier
cat test | cracklib-check 
123: BEAUCOUP trop court
abcdef: trop simple/systématique
abcdefgh: trop simple/systématique
asdélkfésaké: OK

installation:

sudo apt-get install cracklib-check

ajout de dictionnaire p. ex. sous /usr/share/dict

create-cracklib-dict /usr/share/dict/*
#create the following files:
#/usr/lib/cracklib_dict.hwm
#/usr/lib/cracklib_dict.pwd
#/usr/lib/cracklib_dict.pwi

voir http://thegarywilson.com/blog/2006/using-cracklib-to-require-stronger-passwords/

time to crack password http://www.lockdown.co.uk/?pgcombi

un utilitaire linux bien pratique

sudo apt-get install pwgen

#light

pwgen -AB0
eezeidie boengoiy jaebuoja nevaetuw phaediej eipanook maikesae ungeigek
iedeikei rieghoox eoreexei moomiuke eeyeiche ohniacaf cuevajuh ajahchah
chishiob hushorei tohjeeva eiquahda oojuxoxi feesaequ kaicuime yochohhu
...

#25 strong password of 12 chars for admin usage
pwgen -Bsv 12 25
CxkqR7zgTzrp 3LqCgvKgWwsb fxLf9q4d9kWX Vwd99c3xwszf wkCJmP74jcFf 3CrqvwkvXvXF
jmcK7rtxqgdC drkcRfRdr3Mp ccmPHzjCMX47 k9vfdz4Mnbqg LFX3czq9x9Lj XrwMcbPz3tbH

#really strong
pwgen -ABcnvy
;zMv44<w P;&9F#j: Fg_74%_H qM+|$}4^ =%r4%<>X m~Pn]W9R 7Hw=[fhw Xt"4(pkK
,f'T-7R~ :,kCm7[| qh`<W374 4V7+r{NN +^3>L9tz :7P-~T': JXg%;+=3 n={_3K!t

pwgen (options détaillées)

Pass est un outil de gestion de vos mots de passe très bien pensé. Se voulant simple d'utilisation, il vous permettra d'organiser et de retrouver vos credtz grâce à une structure de dossiers et de fichiers cryptés, car comme son nom l'indique (traduction de l'anglais: le gestionnaire de mot de passe standard unix), sous Unix tout est fichier.

pass is a very simple password store that keeps passwords inside gpg2(1) encrypted files inside a simple directory tree residing at ~/.password-store. The pass utility provides a series of commands for manipulating the password store, allowing the user to add, remove, edit, synchronize, generate, and manipulate passwords.

http://www.passwordstore.org/

http://git.zx2c4.com/password-store/about/

sudo apt-get install pass

localhost:~ pass init “ZX2C4 Password Storage Key”

mkdir: création du répertoire «/home/radeff/.password-store»

pass git init

http://ifzenelse.net/fr/gerez-vos-mots-de-passe-en-ligne-de-commande-avec-pass

si on veut plus simple mais sans chiffrement, voir xclip

+++ un super gestionnaire de mot de passe keypassx, c'est la solution que je recommande (et que j'utilise)
  • mot_de_passe.1552734343.txt.gz
  • Dernière modification : 2019/03/16 12:05
  • de radeff