Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Des mots de passe que l’on utilise au quotidien...

Des mots de passe que l’on utilise au quotidien...

D 5 mars 2014     H 09:00     A Genma     C 4 messages   Logo Tipee

TAGS : Proxy Keepass Password, Passphrase

Régulièrement (environ tous les 3 mois), sur mon PC professionnel, je suis amené à changer de mot de passe, car tel est la politique de sécurité qui a été défini. Le mot de passe doit être de 8 caractères minimum, avec des majuscules et minuscules, et des chiffres. Comme c’est un mot de passe que je dois taper tous les jours, plusieurs fois par jour (l’écran de veille verrouille la session quand je quitte mon poste), je mets un mot de passe que je qualifierai de simple. Comprendre par là un mot de passe qui est facile à taper, que je retiens et dont j’ai l’habitude...

Le problème est là : l’habitude. J’utilise un mot de passe qui n’est pas unique, que j’utilise à d’autres endroits, en particuliers sur des sites webs.

Je sais que ce n’est pas bien. Peu à peu, je change tous les mots de passes des comptes que j’utilise au quotidien (réseaux sociaux, mails), en adoptant un mot de passe unique pour chacun. Mais tous sont construits selon la même logique. J’ai trouvé une méthode pour m’en rappeler mais même si le mot de passe en lui-même est complexe, la méthode est simple et si on la trouve, on peut deviner une bonne partie de mes mots de passe. Pour illustrer ça imaginons que la racine des mots de passe est toto. On peut faire FacebookToto1234%, LinkedinToto1234%, TwitterToto1234%. Cela constitue des mots de passe solides. Mais si quelqu’un trouve le motif et la logique derrière la construction du mot de passe, il a tous les mots de passe... Dans la réalité, c’est plus complexe, mais l’idée est là.

Pour en revenir au PC professionnel, si je ressaisis un mot de passe déjà utilisé précédemment, j’ai un message qui me demande d’en choisir un autre. Il y a donc un enregistrement de ces mots de passe et je n’ai aucune idée ni aucune confiance sur la façon dont stockés ces mots de passes (en clair ? ou chiffré/hashé avec un peu de sel par dessus ?).

Ajouter à ça le fait que, passant par un proxy, si le proxy de l’entreprise fait du man in the middle/homme du milieu en remplaçant les certificats SSL, il peut très bien voir les mots de passe des connexions https et les enregistrer. Ce n’est pas le cas, j’ai vérifié les certificats, mais dans le principe, c’est un risque en plus...

Autre problème avec les mots de passe, il y a le fait que pour qu’elle soit facile à retenir (mais néanmoins complexe), ma clef Wifi est composée/est la concaténation de différents mots de passe que j’utilise de façon habituelle. Dans un certain ordre. Donc à chaque fois que je saisis la clef Wifi sur appareil mobile et que je l’autorise à se connecter, je répands un peu plus des mots de passe dans la nature...

De même, Mme Genma connait mes mots de passe "par défaut" (Pour le cas où, pour une raison ou une autre, elle a besoin d’avoir accès à un compte, dans le cas de la gestion de mon testament numérique par exemple) et les utilise elle-même pour ces comptes. Avec le même mot de passe pour différents comptes. Nous partageons le même réseau et la même IP, donc cela présente un risque supplémentaire.

Je dois sérieusement me pencher sur toute cette problématique, revoir tous mes mots de passe et faire en sorte qu’il y ait un mot de passe différent par compte, que ce soit pour les comptes Internets, pour les comptes utilisateurs de mes différents PC, pour mes clefs de chiffrements, mes conteneurs TrueCrypt.

Une solution que j’envisage ? Keepass pour stocker tout ça. Avec une passphrase assez longue pour sécuriser le tout. Rien n’est parfait, la problématique est complexe et j’ai pas mal de travail. Ce projet de gestion des mots de passe en est donc un à part entière...

4 Messages

  • Salut,

    Keepass est une excellente solution, c’est celle que j’ai choisi. J’y stocke tous mes mots de passe : TrueCrypt, boîtes mails, sites où je suis inscrit, mots de passe WiFi etc.

    Il y a un moment où il faut obligatoirement que les mots de passe soient stockés à un endroit unique pour les retrouver facilement. Keepass fait cela simplement et correctement. Je précise que mon Keepass est dans un conteneur TrueCrypt.

    Si je puis me permettre, j’ai longtemps réfléchi à comment gérer mes données, mes passwords, mes logiciels sur les différents postes sur lesquels je me connecte (boulot, maison, clients, amis). Voici le résultat de mes réflexions :
    - Deux conteneurs TrueCrypt un Perso et un Pro de 10 Go chacun (mot de passe différent pour chaque conteneur)
    - Maximiser l’utilisation des logiciels multiplates-formes et portables/web
    - Le conteneur TrueCrypt Perso contient mon Keepass, mon profil Firefox Perso, mes docs persos (scans des pièces d’identité, assurances, fiches de paye etc.), mon profil Thunderbird pour mes mails perso
    - Le conteneur TrueCrypt Pro contient mon profil Firefox Pro, la sauvegarde de mes documents (Bureau, Mes documents) en cas de plantage de mon poste au boulot, mon Dropbox, mon archive Outlook et mes logiciels pros portables avec leurs configurations que j’utilise tous les jours (WinSCP, Putty, Executor etc.)
    - La gestion des mots de passe en 2014 si on souhaite faire sécurisé mais également pratique et rapide, ça n’existe pas. J’ai choisi de rester sur le pratique et rapide avec moins de sécurité (car confié à un tiers) en utilisant LastPass. Ca marche très très bien, ça remplit automatiquement les formulaires des sites pour se loguer, c’est secure, gratuit etc. Comme d’habitude, il faut se faire une idée par soi-même et tester
    - On peut aisément placer les deux conteneurs sur une clé USB de 32 Go ou les laisser sur le poste en local suivant l’utilisation (au bureau par exemple)
    - J’ai à me souvenir de 4 mots de passe : les deux conteneurs TrueCrypt, le mot de passe de ma session utilisateur au boulot et à la maison (je mets le même), le mot de passe pour ouvrir Keepass

    Concernant les mots de passe des sites et comptes mails, ils sont tous différents et générés aléatoirement à partir de Keepass (je les modifie toujours un peu ensuite) avec des longueurs de minimum 14 caractères. Ils sont impossible à retenir, LastPass est là pour ça.

    Pour rappel, on peut avoir Firefox installé sur le poste et son profil Firefox sur une clé USB ou sur un autre disque dur, voici un exemple de fichier profiles.ini (situé dans C :\Users\nomdelutilisateur\AppData\Roaming\Mozilla\Firefox sur un poste Windows Seven) de Firefox :

    [General]
    StartWithLastProfile=1

    [Profile0]
    Name=default
    IsRelative=0
    Path=X :\Perso\Profiles\Firefox\Profiles\advrl3lb.default
    Default=1

    [Profile1]
    Name=secure
    IsRelative=0
    Path=N :\Pro\Profiles\Firefox\Profiles\qsdw5iwc.secure

    X :\ et N :\ sont des partitions TrueCrypt montées sur le poste. On appelle ensuite le profil Firefox que l’on souhaite en faisant firefox.exe -P secure.

    Tcho !


  • Hello,

    je me suis posé la question après avoir fait deux constats :
    1- il arrive que je doive donner mon mot de passe de session de travail à mon boss quand je suis absent pour gérer une urgence. Et ce mot de passe sert aussi d’accès à mon webmail pro. Donc risque.
    2- j’ai fait partie du lot des comptes utilisateurs volés sur ubuntuforums, Adobe et OVH, et j’ai constaté quelques semaines plus tard une intrusion sur un de mes comptes mails. Je ne sais pas quelle base a permis l’intrusion, mais le point commun est que j’utilisais partout le même mot de passe.

    Après pas mal de recherches et de réflexions, j’ai fini par adopter deux stratégies :
    1- Je modifie mon mot de passe de session dès que je l’ai transmis. J’en génère un avec Keepass et je le mémorise (et si j’oublie, un coup de fil au service info et ils le réinitialisent).
    2- Pour tout le reste, j’ai désactivé toutes les mémorisations de mots de passe et j’utilise Keepass (pc persos et boulot, et téléphone) connectés à la même base sur un serveur (je garde à jour une copie de la base sur clé au cas où). J’utilise Keepass aussi pour générer des mots de passe uniques à chaque compte/site.

    Du coup, je n’ai que très peu de mots de passe à retenir.

    Concernant le wifi, j’utilise un mot de passe généré très long pas du tout mémorisable et des adresses ip réservées sur le routeur. Si quelqu’un veut se connecter sur mon réseau en wifi, je transforme mon téléphone en point d’accès temporaire avec un code beaucoup moins long qu’il suffit de recopier à la main.

    En ce qui concerne le conteneur Truecrypt commun à madame (décidé après s’être aperçu du nombre colossal de documents d’identités numérisés présents sur le pc et permettant d’usurper nos identités en cas de vol), nous avons élaboré le mot de passe sur la base des comptines pour enfants, avec des allitérations et des rimes, ce qui permet de le retenir de manière ludique en récitant la comptine, indépendamment de nos capacités de mémorisation respectives.

    Guillaume


  • J’hésite vraiment à utiliser KeePass, car c’est juste pour moi une façon de déplacer le problème plutôt que le résoudre, la solution KeePass n’est pas sans failles non plus.
    Ceci dit ça me donne une idée de sujet pour le cours de sécurité que je suis :) ...


  • Tu as raison, KeePass n’est pas sans faille, comme l’informatique en générale, haha. Cependant, parmi tous les gestionnaires de mots de passe, il me semble que c’est la meilleure car les gestionnaires en ligne (Dashlane, LastPass...) font passer la base de données via une connexion, qui comme le dit Genma peut être écouté bien qu’elle soit sécurisée, donc une possibilité que quelqu’un la récupère et la force.

    Ce risque d’attaque par brute force est le même pour KeePass sauf que la base de données n’a pas traversée un réseau, c’est un risque de moins pris, pour un peu moins de confort certes car l’application ne remplis aucun champs vraiment comme LastPass quoiqu’après cela peut aussi se customiser.

    C’est la réflexion que j’ai eu et si quelqu’un a quelque chose à corriger qu’il n’hésite pas.

    - Cherchons la Vérité, non la Victoire.


Un message, un commentaire ?
modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.