Vous n'êtes pas identifié(e).
«Çame-saoulecetaf», c?est mon mot de passe
Comment jongler avec tous ses passwords? A chacun ses techniques, plus ou moins tordues.
Hors ligne
Sinon il y a toujours des gestionnaires de mots de passe, comme KeePass:
Hors ligne
Je suis obligé:
_____________________________
Knowledge is power. Help keep it free!
Hors ligne
+1 Utopix. Il aurait été vraiment intéressant de parler des gestionnaires de mots de passe, Lastpass étant un autre exemple. Deux mots de passe (un pour sa boîte mail, un pour Lastpass), et basta. pour tout le reste, mot de passe d'autant de caractères que vous voudrez, totalement aléatoires, et disponibles partout.
Hors ligne
Deux mots de passe (un pour sa boîte mail, un pour Lastpass)
En l'occurence, un service de cloud comme dropbox tu a besoin d'un seul mot de passe: celui du gestionnaire de mot de passe. (et potentiellement d'une application pour smartphone pour accéder au gestionnaire depuis ton smartphone).
En effet avec la base de mot de passe sur internet tu peux y'accéder de partout. Certes tu perds un peux en sécurité puisque la base est accessible de partout, mais vu que ces bases sont encrypter avec des algorithmes assez robuste si le mot de passe principal est assez complexe, tu es tranquille. et tu peut te permettre un mot de passe très compliqué vu qu'il n'en reste plus qu'un seul à connaitre.
Les gestionnaire de mots de passe du navigateur (comme cité dans l'article) ne sont pas assez fiable. Celui de firefox est censé être protégé par mot de passe, mais il suffit d'installer Chrome pour que les mots de passe soit dupliquer dans Chrome sans protection.
Sinon en plus de ce mot de passe il y'a toujours un mot de passe inévitable, celui de l'OS. vu qu'il faut être connecté pour accéder au gestionnaire de mot de passe. Alors avec un smartphone on peut aussi mettre le mot de passe de l'OS dans le gestionnaire de mot de passe. Mais dans ce cas pas de copier coller possible donc le mot de passe doit être lisible (évitez les espaces ou les caractères spéciaux ou les lettre douteuses (genre évitez le mot de passe suivant: -"0 O' "oI|- suivant la police utilisé il peut devenir complètement illisible)
Hors ligne
Une solution sécurisée et simple comme un post it:
Hors ligne
"En l'occurence, un service de cloud comme dropbox tu a besoin d'un seul mot de passe: celui du gestionnaire de mot de passe"
On peut aussi le faire sur Lastpass, je préfère simplement avoir un compte mail principal dont le mot de passe ne soit connu que de moi.
Hors ligne
Je rejoins le camp des geeks à un mot de passe à retenir et un gestionnaire/générateur pour les autres. (Passwordmaker dans mon camp, extension pour Firefox, standalone multi-plateforme et avec une interface web)
Hors ligne
Les gestionnaire de mots de passe du navigateur (comme cité dans l'article) ne sont pas assez fiable. Celui de firefox est censé être protégé par mot de passe, mais il suffit d'installer Chrome pour que les mots de passe soit dupliquer dans Chrome sans protection.
Celui de Firefox n'est ABSOLUMENT pas protégé par mot de passe. C'est par design, c'est pas leur taf.
Perso, j'utilise LastPass (j'ai plutôt confiance suite à leur (gros) problème de sécurité qu'ils ont bien géré).
Il faut juste se rappeler que le Cloud, c'est pas forcément la panacée côté confidentialité. Si y a une faille ou si la justice US demande à récupérer le contenu... Pas de bol pour vous.
_____________________________
Knowledge is power. Help keep it free!
Hors ligne
On peut aussi le faire sur Lastpass, je préfère simplement avoir un compte mail principal dont le mot de passe ne soit connu que de moi.
Ah oui, je ne connaissais pas, lastpass mélange gestionnaire de mot de passe et cloud.
Le concept me plait bien. Mais il pose deux problème:
- Le site dit que tout est crypté sur mon PC avec mon mot de passe. Quel preuve ai-je que cette assertion est vrai? KeePass est OpenSource, n'importe qui peu vérifier le code et s'assurer que les données sont effectivement crypté comme annoncé. Là si le site est une arnaque, ils peuvent récupérer tout tes mots de passe
- La société est américaine. Donc si la justice leurs impose ils doivent mettre toutes leurs données à disposition du gouvernement. Et tu peut être sur que le cryptage par ton pauvre petit mot de passe ne résistera pas à la puissance des super calculateurs du gouvernement. (mais bon là dropbox c'est le même problème)
Ces deux raison me pousserais plutôt à rester sur un gestionnaire de mot passe indépendant de la solution d'hébergement. La personne qui gère mon coffre fort ne gère pas aussi ma clef.
Dernière modification par Egmorn (02-09-2011 14:44:08)
Hors ligne
KeePass est OpenSource, n'importe qui peu vérifier le code et s'assurer que les données sont effectivement crypté comme annoncé.
De là à dire que quelqu'un le fait... :whistle:
On pourrait écouter les traces et vérifier, mais on a la flemme aussi
_____________________________
Knowledge is power. Help keep it free!
Hors ligne
On pourrait écouter les traces et vérifier, mais on a la flemme aussi
Sauf que l'outil étant un minimum sécurisé, les communications sont toutes sécurisé et crypté donc tu ne pourras pas vérifier simplement le contenu transféré (dans le cas contraire tu peut commencer à t'inquiéter car écouter les traces c'est un peu l'étape 0 d'un piratage).
Hors ligne
Si, ça remplit les champs. Ca génère aussi à ta place des mots de passe si tu en as envie, ça peut analyser la liste de tes mots de passe (pour te taper sur les doigts s'ils sont trop simples, ou pour te forcer à les changer à intervalles réguliers, si tu le souhaites).
Et l'avantage, c'est que ça répond aux soucis vus récemment sur plusieurs grands sites, à savoir des bases de mots de passe mal encodés (parfois en clair) qui ont été piratées.
Sans compter que beaucoup sont portables, ou dans le cloud : pas de souci pour se connecter chez Tata germaine ou au fin fond du Québec, loin de ton firefox installé chez toi.
Avec les gestionnaires, tu peux augmenter la sécurité en suivant la règle un site = un mot de passe aléatoire et complexe. Si un hacker déniche ton mot de passe sur Ecrans, ton forum favori sur les chatons ou Facebook, il n'a... que ton mot de passe pour le site en question, et rien d'autre.
Tandis que si tu utilise un mot de passe unique partout, ou avec un pattern (du style motdepassefb pour facebook, motdepasseecr pour Ecrans), il peut avoir accès à toutes tes infos personnelles, voire à des données financières (Paypal, etc).
Hors ligne
Il y a une bonne idée, elle est simple à prendre en compte :
Prenez deux mots et mixez les
Un truc du genre soleil et vacance
écrivez le premier mot, ça donne soleil
revenez tout au début avec les flèches, puis, écrivez vacance avec entre chaque lettre une pression sur la flèche vers la droite ça donne :
vsaoclaenicle
Un mot illislble et correct niveau protection. Même vous ne le connaissez pas ^^ Après bien sur y mettre quelques chiffres
Tandis que si tu utilise un mot de passe unique partout, ou avec un pattern (du style motdepassefb pour facebook, motdepasseecr pour Ecrans), il peut avoir accès à toutes tes infos personnelles, voire à des données financières (Paypal, etc).
Ouais enfin je pense que tout le monde procède plus ou moins ainsi :
les mots de passe osef, pour les forums
les mots de passe un peu plus sérieux, pour certains sites voir certaines adresses
les mots de passe rambo pour sa messagerie principale et paypal par exemple
Dernière modification par nervusdm (02-09-2011 16:47:47)
Tutoriel ainsi qu'un Moteur de recherche de fond d'écran
.:. What We do in life echoes in Eternity .:.
Hors ligne
pour ma part, des phrases au pif genre "keltempsdemerdojourdui", un KeePass sur le PC et le fichier de sauvegarde crypté des PW sur ma clé USB. fo juste pas oublier sa clé (...) Mais pour info, sauf installs bloquées par l'admin, un wireshark installé sur le PC de votre ennemi juré assis a coté et hop, tous vos PW apparaissent en clair dans le log pcap ... --> HTTPS Everywhere conseillé (mais ca marche pas pour les comptes POP)
Hors ligne
Perso pour le web, j'utilise l'extension PwdHash de Firefox, ainsi que Secure Login. La première elle génère un mot de passe "unique" pour chaque site à partir de l'adresse du site et d'un mot de passe que vous donnez, on peut donc taper le même mot de passe partout, ça fournira quand même un mot de passe différent à chaque site. Et comme ce n'est pas centralisé, vous pouvez l'utiliser partout facilement. Quant à Secure Login, elle permet surtout d'éviter de remplir automatiquement les champs de mot de passe, car certains sites (ou pubs) malveillants peuvent en abuser pour récupérer subrepticement votre mot de passe.
Hors ligne
Mais à part du fishing ou regarder sur mon épaule, comment il fait le hacker pour trouver mon mot de passe?
Parce que sur la plupart des sites sérieux, au bout de trois plantage... allez hop! Compte bloqué.
Alors comment fait il?
Hors ligne
Alors comment fait il?
- Keylogger (la version informatique de regarder par dessus ton épaule)
- surveilance des paquets échanger (certains site son suffisament bête pour transmettre le login/pass en clair, pour les autres faut juste casser le cryptage ce qui en l'occurence n'est pas limité en nombre d'essai)
Parce que sur la plupart des sites sérieux, au bout de trois plantage... allez hop! Compte bloqué.
Le problème c'est la notion de site sérieux. Souvent ils attrapent les mots de passes par phishing, mais aussi par les autres sites non sécurisés ou par des sites attrape couillons (genre tester la résistance de votre mot de passe). Et comme la plus part des gens utilise un seul mot de passe partout.
La force brute (multiple essai) est effectivement inefficace sur la majorité des sites internet qui lock les comptes. reste quelques cas ou les sites ne peuvent pas être bloquer (pas d'adresse de contact (ex: site de gestion d'e-mail, ils ne peuvent pas t'envoyer un e-mail si ils bloquent ton compte d'e-mail))
Hors ligne
Mais à part du fishing ou regarder sur mon épaule, comment il fait le hacker pour trouver mon mot de passe?
Parce que sur la plupart des sites sérieux, au bout de trois plantage... allez hop! Compte bloqué.
Alors comment fait il?
il récupère la base données et décrypte les mots de passes des sites en local, pas besoin de faire 3 échecs
_____________________________
Knowledge is power. Help keep it free!
Hors ligne