Les forums d'Ecrans

Annonce

Pour participer aux forums d'Ecrans.fr, il faut d'abord s'inscrire. Pour vous inscrire, cliquez ici.
Si vous possédez déjà un compte, cliquez ici.

#1 02-09-2011 11:46:32

Ecrans.fr
Administrateur
Inscription : 25-06-2007
Messages : 1 000

«Çame-saoulecetaf», c?est mon mot de passe

«Çame-saoulecetaf», c?est mon mot de passe

Comment jongler avec tous ses passwords? A chacun ses techniques, plus ou moins tordues.

Lire l'article

Hors ligne

#2 02-09-2011 11:53:54

Utopix
Habitué
Inscription : 06-01-2010
Messages : 285
Site Web

Re : «Çame-saoulecetaf», c?est mon mot de passe

Sinon il y a toujours des gestionnaires de mots de passe, comme KeePass:

http://keepass.info/index.html

Hors ligne

#3 02-09-2011 11:54:07

lucasbfr
Habitué
Inscription : 23-07-2008
Messages : 340
Site Web

Re : «Çame-saoulecetaf», c?est mon mot de passe

Je suis obligé:

password_strength.png
http://xkcd.com/936/


_____________________________
Knowledge is power. Help keep it free!

Hors ligne

#4 02-09-2011 12:51:50

shadow
Habitué
Lieu : Paris
Inscription : 08-08-2008
Messages : 96
Site Web

Re : «Çame-saoulecetaf», c?est mon mot de passe

+1 Utopix. Il aurait été vraiment intéressant de parler des gestionnaires de mots de passe, Lastpass étant un autre exemple. Deux mots de passe (un pour sa boîte mail, un pour Lastpass), et basta. pour tout le reste, mot de passe d'autant de caractères que vous voudrez, totalement aléatoires, et disponibles partout.

Hors ligne

#5 02-09-2011 13:14:00

Egmorn
Habitué
Inscription : 04-07-2007
Messages : 2 946

Re : «Çame-saoulecetaf», c?est mon mot de passe

Deux mots de passe (un pour sa boîte mail, un pour Lastpass)

En l'occurence, un service de cloud comme dropbox tu a besoin d'un seul mot de passe: celui du gestionnaire de mot de passe. (et potentiellement d'une application pour smartphone pour accéder au gestionnaire depuis ton smartphone).
En effet avec la base de mot de passe sur internet tu peux y'accéder de partout. Certes tu perds un peux en sécurité puisque la base est accessible de partout, mais vu que ces bases sont encrypter avec des algorithmes assez robuste si le mot de passe principal est assez complexe, tu es tranquille. et tu peut te permettre un mot de passe très compliqué vu qu'il n'en reste plus qu'un seul à connaitre.

Les gestionnaire de mots de passe du navigateur (comme cité dans l'article) ne sont pas assez fiable. Celui de firefox est censé être protégé par mot de passe, mais il suffit d'installer Chrome pour que les mots de passe soit dupliquer dans Chrome sans protection.

Sinon en plus de ce mot de passe il y'a toujours un mot de passe inévitable, celui de l'OS. vu qu'il faut être connecté pour accéder au gestionnaire de mot de passe. Alors avec un smartphone on peut aussi mettre le mot de passe de l'OS dans le gestionnaire de mot de passe. Mais dans ce cas pas de copier coller possible donc le mot de passe doit être lisible (évitez les espaces ou les caractères spéciaux ou les lettre douteuses (genre évitez le mot de passe suivant: -"0  O' "oI|- suivant la police utilisé il peut devenir complètement illisible)

Hors ligne

#6 02-09-2011 13:26:46

devnewton
Nouveau membre
Inscription : 02-09-2011
Messages : 1

Re : «Çame-saoulecetaf», c?est mon mot de passe

Une solution sécurisée et simple comme un post it:

http://bci.dyndns-server.com/devnewton/passgrid/

Hors ligne

#7 02-09-2011 13:55:06

shadow
Habitué
Lieu : Paris
Inscription : 08-08-2008
Messages : 96
Site Web

Re : «Çame-saoulecetaf», c?est mon mot de passe

"En l'occurence, un service de cloud comme dropbox tu a besoin d'un seul mot de passe: celui du gestionnaire de mot de passe"
On peut aussi le faire sur Lastpass, je préfère simplement avoir un compte mail principal dont le mot de passe ne soit connu que de moi.

Hors ligne

#8 02-09-2011 14:06:23

Il Palazzo-sama
Habitué
Lieu : Strasbourg
Inscription : 16-02-2009
Messages : 414
Site Web

Re : «Çame-saoulecetaf», c?est mon mot de passe

Je rejoins le camp des geeks à un mot de passe à retenir et un gestionnaire/générateur pour les autres. (Passwordmaker dans mon camp, extension pour Firefox, standalone multi-plateforme et avec une interface web)

Hors ligne

#9 02-09-2011 14:43:26

lucasbfr
Habitué
Inscription : 23-07-2008
Messages : 340
Site Web

Re : «Çame-saoulecetaf», c?est mon mot de passe

Egmorn a écrit :

Les gestionnaire de mots de passe du navigateur (comme cité dans l'article) ne sont pas assez fiable. Celui de firefox est censé être protégé par mot de passe, mais il suffit d'installer Chrome pour que les mots de passe soit dupliquer dans Chrome sans protection.

Celui de Firefox n'est ABSOLUMENT pas protégé par mot de passe. C'est par design, c'est pas leur taf.

Perso, j'utilise LastPass (j'ai plutôt confiance suite à leur (gros) problème de sécurité qu'ils ont bien géré).

Il faut juste se rappeler que le Cloud, c'est pas forcément la panacée côté confidentialité. Si y a une faille ou si la justice US demande à récupérer le contenu... Pas de bol pour vous.


_____________________________
Knowledge is power. Help keep it free!

Hors ligne

#10 02-09-2011 14:43:30

Egmorn
Habitué
Inscription : 04-07-2007
Messages : 2 946

Re : «Çame-saoulecetaf», c?est mon mot de passe

On peut aussi le faire sur Lastpass, je préfère simplement avoir un compte mail principal dont le mot de passe ne soit connu que de moi.

Ah oui, je ne connaissais pas, lastpass mélange gestionnaire de mot de passe et cloud.

Le concept me plait bien. Mais il pose deux problème:
- Le site dit que tout est crypté sur mon PC avec mon mot de passe. Quel preuve ai-je que cette assertion est vrai? KeePass est OpenSource, n'importe qui peu vérifier le code et s'assurer que les données sont effectivement crypté comme annoncé. Là si le site est une arnaque, ils peuvent récupérer tout tes mots de passe
- La société est américaine. Donc si la justice leurs impose ils doivent mettre toutes leurs données à disposition du gouvernement. Et tu peut être sur que le cryptage par ton pauvre petit mot de passe ne résistera pas à la puissance des super calculateurs du gouvernement. (mais bon là dropbox c'est le même problème)

Ces deux raison me pousserais plutôt à rester sur un gestionnaire de mot passe indépendant de la solution d'hébergement. La personne qui gère mon coffre fort ne gère pas aussi ma clef.

Dernière modification par Egmorn (02-09-2011 14:44:08)

Hors ligne

#11 02-09-2011 14:48:17

lucasbfr
Habitué
Inscription : 23-07-2008
Messages : 340
Site Web

Re : «Çame-saoulecetaf», c?est mon mot de passe

Egmorn a écrit :

KeePass est OpenSource, n'importe qui peu vérifier le code et s'assurer que les données sont effectivement crypté comme annoncé.

De là à dire que quelqu'un le fait... :whistle:

On pourrait écouter les traces et vérifier, mais on a la flemme aussi


_____________________________
Knowledge is power. Help keep it free!

Hors ligne

#12 02-09-2011 16:04:48

Egmorn
Habitué
Inscription : 04-07-2007
Messages : 2 946

Re : «Çame-saoulecetaf», c?est mon mot de passe

On pourrait écouter les traces et vérifier, mais on a la flemme aussi

Sauf que l'outil étant un minimum sécurisé, les communications sont toutes sécurisé et crypté donc tu ne pourras pas vérifier simplement le contenu transféré (dans le cas contraire tu peut commencer à t'inquiéter car écouter les traces c'est un peu l'étape 0 d'un piratage).

Hors ligne

#13 02-09-2011 16:43:24

shadow
Habitué
Lieu : Paris
Inscription : 08-08-2008
Messages : 96
Site Web

Re : «Çame-saoulecetaf», c?est mon mot de passe

Si, ça remplit les champs. Ca génère aussi à ta place des mots de passe si tu en as envie, ça peut analyser la liste de tes mots de passe (pour te taper sur les doigts s'ils sont trop simples, ou pour te forcer à les changer à intervalles réguliers, si tu le souhaites).

Et l'avantage, c'est que ça répond aux soucis vus récemment sur plusieurs grands sites, à savoir des bases de mots de passe mal encodés (parfois en clair) qui ont été piratées.

Sans compter que beaucoup sont portables, ou dans le cloud : pas de souci pour se connecter chez Tata germaine ou au fin fond du Québec, loin de ton firefox installé chez toi.

Avec les gestionnaires, tu peux augmenter la sécurité en suivant la règle un site = un mot de passe aléatoire et complexe. Si un hacker déniche ton mot de passe sur Ecrans, ton forum favori sur les chatons ou Facebook, il n'a... que ton mot de passe pour le site en question, et rien d'autre.

Tandis que si tu utilise un mot de passe unique partout, ou avec un pattern (du style motdepassefb pour facebook, motdepasseecr pour Ecrans), il peut avoir accès à toutes tes infos personnelles, voire à des données financières (Paypal, etc).

Hors ligne

#14 02-09-2011 16:45:03

nervusdm
Habitué
Inscription : 25-07-2008
Messages : 967

Re : «Çame-saoulecetaf», c?est mon mot de passe

Il y a une bonne idée, elle est simple à prendre en compte :

Prenez deux mots et mixez les

Un truc du genre soleil et vacance

écrivez le premier mot, ça donne soleil
revenez tout au début avec les flèches, puis, écrivez vacance avec entre chaque lettre une pression sur la flèche vers la droite ça donne :


vsaoclaenicle


Un mot illislble et correct niveau protection. Même vous ne le connaissez pas ^^ Après bien sur y mettre quelques chiffres tongue

Tandis que si tu utilise un mot de passe unique partout, ou avec un pattern (du style motdepassefb pour facebook, motdepasseecr pour Ecrans), il peut avoir accès à toutes tes infos personnelles, voire à des données financières (Paypal, etc).

Ouais enfin je pense que tout le monde procède plus ou moins ainsi :
les mots de passe osef, pour les forums
les mots de passe un peu plus sérieux, pour certains sites voir certaines adresses
les mots de passe rambo pour sa messagerie principale et paypal par exemple

Dernière modification par nervusdm (02-09-2011 16:47:47)


Tutoriel ainsi qu'un  Moteur de recherche de fond d'écran
.:. What We do in life echoes in Eternity .:.

Hors ligne

#15 02-09-2011 19:45:18

Eklecktik
Nouveau membre
Inscription : 02-09-2011
Messages : 2

Re : «Çame-saoulecetaf», c?est mon mot de passe

pour ma part, des phrases au pif genre "keltempsdemerdojourdui", un KeePass sur le PC et le fichier de sauvegarde crypté des PW sur ma clé USB. fo juste pas oublier sa clé (...) Mais pour info, sauf installs bloquées par l'admin, un wireshark installé sur le PC de votre ennemi juré assis a coté et hop, tous vos PW apparaissent en clair dans le log pcap ... --> HTTPS Everywhere conseillé (mais ca marche pas pour les comptes POP)

Hors ligne

#16 04-09-2011 01:47:14

Adirelle
Nouveau membre
Inscription : 07-12-2010
Messages : 8

Re : «Çame-saoulecetaf», c?est mon mot de passe

Perso pour le web, j'utilise l'extension PwdHash de Firefox, ainsi que Secure Login. La première elle génère un mot de passe "unique" pour chaque site à partir de l'adresse du site et d'un mot de passe que vous donnez, on peut donc taper le même mot de passe partout, ça fournira quand même un mot de passe différent à chaque site. Et comme ce n'est pas centralisé, vous pouvez l'utiliser partout facilement. Quant à Secure Login, elle permet surtout d'éviter de remplir automatiquement les champs de mot de passe, car certains sites (ou pubs) malveillants peuvent en abuser pour récupérer subrepticement votre mot de passe.

Hors ligne

#17 07-09-2011 15:29:28

swedish chief
Habitué
Inscription : 29-10-2007
Messages : 546

Re : «Çame-saoulecetaf», c?est mon mot de passe

Mais à part du fishing ou regarder sur mon épaule, comment il fait le hacker pour trouver mon mot de passe?

Parce que sur la plupart des sites sérieux, au bout de trois plantage... allez hop! Compte bloqué.

Alors comment fait il?

Hors ligne

#18 07-09-2011 15:43:20

Egmorn
Habitué
Inscription : 04-07-2007
Messages : 2 946

Re : «Çame-saoulecetaf», c?est mon mot de passe

Alors comment fait il?

- Keylogger (la version informatique de regarder par dessus ton épaule)
- surveilance des paquets échanger (certains site son suffisament bête pour transmettre le login/pass en clair, pour les autres faut juste casser le cryptage ce qui en l'occurence n'est pas limité en nombre d'essai)

Parce que sur la plupart des sites sérieux, au bout de trois plantage... allez hop! Compte bloqué.

Le problème c'est la notion de site sérieux. Souvent ils attrapent les mots de passes par phishing, mais aussi par les autres sites non sécurisés ou par des sites attrape couillons (genre tester la résistance de votre mot de passe). Et comme la plus part des gens utilise un seul mot de passe partout.

La force brute (multiple essai) est effectivement inefficace sur la majorité des sites internet qui lock les comptes. reste quelques cas ou les sites ne peuvent pas être bloquer (pas d'adresse de contact (ex: site de gestion d'e-mail, ils ne peuvent pas t'envoyer un e-mail si ils bloquent ton compte d'e-mail))

Hors ligne

#19 26-09-2011 14:52:54

lucasbfr
Habitué
Inscription : 23-07-2008
Messages : 340
Site Web

Re : «Çame-saoulecetaf», c?est mon mot de passe

swedish chief a écrit :

Mais à part du fishing ou regarder sur mon épaule, comment il fait le hacker pour trouver mon mot de passe?

Parce que sur la plupart des sites sérieux, au bout de trois plantage... allez hop! Compte bloqué.

Alors comment fait il?

il récupère la base données et décrypte les mots de passes des sites en local, pas besoin de faire 3 échecs smile


_____________________________
Knowledge is power. Help keep it free!

Hors ligne

Pied de page des forums