S'abonner au blog
Choisir un mot de passe solide
Dans la rubrique Logiciel le 06/11/2011 à 18:19 | commentaires (2) | lectures (177)
Hello world !Pour les utilisateurs la sécurité informatique rime souvent avec contraintes et cela se matérialise dès le choix du mot de passe. Ce choix est souvent négligé pour plusieurs raisons, principalement parce que les utilisateurs
I - H4ck3r WTF???
Afin de déterminer ce qu'est un bon mot de passe il faut tout d'abord comprendre les méthodes que les pirates utilisent pour vous attaquer.
1 - Regroupement d'informations:
Vous seriez étonné de savoir le nombre d'imbéciles (si vous faites cela c'est que vous êtes en effet idiot, mais bon vous n'êtes pas seul ...) qui choisissent en mot de passe des informations relatives à leur personne: date de naissance, prénom de leur enfant ou du chien, initiales, surnom etc. Un attaquant un peu renseigné sur votre personne ne mettra que quelques minutes pour casser ce genre de mot de passe: pour les entreprises cela peut être une attaque ciblé d'un conçurent, pour les particulier un ami(e) ou un membre de la famille qui souhaite tout simplement pourrir votre profil sur un réseau social. Ne choisissez jamais un mot de passe ayant un lien avec vous.
2 - Attaque par dictionnaire et brute force:
Une fois qu'un pirate aura essayé en vain de faire sauter votre compte par regroupement d'information il se tournera vers des logiciels spécifiques exploitant ce que l'on appelle des "dictionnaires". Se sont des listes de mots prédéfinis comme par exemple une liste des mots de passe les plus courants voir même être le contenu d'un dictionnaire complet. Avouez combien d'entre vous avez déjà choisi "azerty", "1234", ou mot de la langue française comme "internet" "maison" et autres chaines de caractères stupides comme mot de passe? A lire les conclusions d'une étude à propos de 10 000 mots de passe hotmail. Ne choisissez jamais un mot de passe générique.
Si l'attaque par dictionnaire échoue alors la méthode utilisée est le brute force, c'est à dire que le logiciel teste toutes les combinaisons possibles. Pour vous donner un ordre de grandeur imaginez qu'un ordinateur tout à fait abordable par le commun des mortels doté de 2 cartes graphiques puissantes peut de nos jours tester environ 28 millions de combinaisons par seconde sur un fichier zip. Sachez également que le temps nécessaire à outrepasser un mot de passe est proportionnel à sa longueur et la complexité des caractères qui le compose. En utilisant un mot de passe long (> 8 caractères) et avec des caractères spéciaux vous forcez l'attaquant à tester un grand nombre de possibilités. A lire: cet excellent dossier Peut-on casser un mot de passe avec une carte graphique ?. Faire tomber un mot de passe est donc une question de temps, quelques minutes seront nécessaires pour un mot de passe court, plusieurs années pour un mot de passe long. Ne choisissez jamais un mot de passe court.
3 - Snif, phishing, malware:
Le choix d'un bon mot de passe influera peu pour les attaques suivantes mais comment continuer ce dossier sans aborder le phising, la collecte d'information sur le réseau et les malwares. Lorsqu'on vous demande de saisir des informations sensible la vigilance de l'utilisateur doit être à son maximum:
1 - S'assurer d'être connecté sur un site sécurisé et certifié par une autorité indépendante (pas d'alertes à propos d'un certificat).
2 - S'assurer que le site sur lequel vous vous connectez n'est pas une copie malveillante.
3 - S'assurer que la machine que vous utilisez n'est pas compromise par des logiciels espions.
4 - Limitez l'accès physique à votre machine (il est très facile de compromettre une machine lorsqu'on y a accès physiquement).
5 - Utilisez un mot de passe différent pour chacun de vos comptes.
Et autres précautions d'usage banales ...
4 - La tragédie du post-it:
ARRÊTEZ D’ÉCRIRE VOS MOTS DE PASSE SUR DES POST-IT COLLE A VOTRE ÉCRAN !!!
II - Comment choisir correctement un mot de passe.
Nous avons vu les 3 critères permettant d'obtenir un mot de pase solide, récapitulationnage (on invente des mots aujourd’hui!):
1 - Le mot de passe ne doit pas être lié à vous
2 - Le mot de passe ne doit pas être générique
3 - Le mot de passe doit être le plus long possible
Il existe une astuce toute simple qui vous permettra d'obtenir un mot de passe répondant à ces critères et facile à retenir (si si je vous assure!). Concaténez 3 mots courant de la langue française (allons, un peu d'imagination !) par exemple:
- citationjeuxconjugaison
- internautebilinguesiteweb
- televisionautoroutecamping
Bien entendu évitez les mots comme "maison" "marteau" "rouge" auxquels tout le monde pense inconsciemment en premier lieu. Ainsi vous n'avez que 3 mots à retenir et vous obtenez un mot de passe de guerre. Si vous voulez aller plus loin:
- Ajoutez des caractères spéciaux pour augmenter considérablement le temps de calcul en brute force.
- Changer votre mot de passe périodiquement pour qu'un pirate doive, à chaque modification, recommencer l'intégralité des calculs.
J'ai traité le sujet assez rapidement de manières partielle si vous avez des questions parce que je n'ai pas été assez clair ou que vous avez besoin d'un complément d'information je me ferai un plaisir d'y répondre dans les commentaires et mettre à jour le billet en conséquence. J'espère malgré tout que ce billet vous aura démontré que choisir un bon mot de passe n'est pas un calvaire et vous aura sensibilisé à quelques principes tout à fait banaux de la sécurité.
Image: keys par scientifiction.
Commentaires
1. Le 06/11/2011 à 19:21 par John
Guillaume
"c'est ta façon de prendre à cœur ce problème." Tout simplement parce que j'y suis sensibilisé et que je peux mesurer l’embarras dans lequel les clients / amis peuvent se retrouver lorsque leur identité ou données sont compromises. Tout ça n'est qu'une question d'éducation et n'importe quelle personne qui comprend les enjeux de cette problématique prendra les mesures simple, banales, sus-cités.
Il y aura toujours des cons et on ne refera pas le monde pourtant je suis convaincu que si, nous administrateurs, prenons le temps d'adapter notre discours et d’expliquer au gens ils réagissent en conséquence. En attendant comme tu le dis quand une problème survient c'est toujours bibi qui trinque et je préfère prévenir que guérir. |
Partager: 
A lire également :- VLC 2.0 power "Twoflower" - LibreOffice 3.5.0 disponible - Firefox 8 dans les startings b ... - Firefox 6 est arrivé !!! - Mozilla s'attaque aux problèm ... - Thunderbird 5 est disponible e ... - Firefox 4, dernière ligne dro ... - Skype, des revenus nets en hau ... - Creer sa signature mail? Un je ... - Ca bouge !! opera, firefox, in ... |
Ton article est bien sympa.
Moi-même, lorsque je peux, je préconise aux gens autour de moi de faire ce genre de choses.
Mais une chose me chiffonne, c'est ta façon de prendre à cœur ce problème. Les gens s'en foutent et quand ils viennent pleurer qu'ils se sont fait hacker, c'est toi le sauveur.
Après, cette opinion est très personnelle mais je pense sincèrement que la plupart des gens qui sont un minimum sensible à l'informatique (je parle d'une approche intelligente) font ce que tu conseilles.
Je pense aussi que ces gens-là ne rigolent pas avec le minimum syndical de l'authentification et que les autres, au fond, s'en branlent tout simplement.
Article sympa en tout cas