Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Mot de passe oublié

Mot de passe oublié

D 1er juin 2016     H 09:00     A Genma     C 7 messages   Logo Tipee

TAGS : Keepass Password, Passphrase

Ce billet fait suite aux deux billets Des mots de passe que l’on utilise au quotidien... où je parle de ma gestion des mots de passe et des problèmes que j’avais identifié et celui où je recommande l’émission Le ComptoirSecu et les mots de passe qui m’a permis d’avoir un état des lieux sur les techniques actuelles de craquage / vol de mot de passe.

J’ai donc repris un à un une nouvelle fois mes mots de passe de tous mes comptes et les ai remplacé par un mot de passe aléatoire généré dans Keepass. Pour tester la fiabilité du stockage des mots de passe dans la base de donnée sur les différents services que j’utilise, je n’ai pas entré de mot de passe, j’ai demandé à chaque fois une réinitialisation de celui-ci.

Je n’ai pas fait de statistiques (j’ai mis plus de 3 heures rien que pour faire le changement de chaque mot de passe) mais j’ai eu quelques mots de passes en clair envoyé par mail. Ce qui signifie que pour les comptes correspondants, le mot de passe est stocké sans aucune sécurité (sans sel, sans hash) dans la base de données.

Si cette base de données est piratée, le mot de passe est donc connu et disponible des pirates et associé à mon mail/compte. Les mots de passe en clair était tous des mots de passe bidon (que je n’ai pas défini moi-même donc généralement le mot de passe par défaut du compte à l’inscription ou un un code aléatoire que j’avais généré).

Je vous invite donc à faire de même pour vos comptes les plus importants. Cliquez sur "j’ai oublié mon mot de passe". Si le site renvoi le mot de passe, le site n’est pas sécurisé. Si le site envoie un lien pour réinitialisation, c’est déjà mieux. Si en plus il y un code/token temporaire à usage unique, c’est encore mieux.

Que faire dans le cas d’un site non sécurisé ? Fermer son compte si le site ne nous est pas utile. Changer régulièrement le mot de passe de ce site et surtout NE PAS utiliser ce mot de passe ailleurs (donc on utilisera un mot de passe aléatoire généré par Keepass).

7 Messages

  • Salut Genma,

    Merci pour ton article écrit dans des mots de tous les jours et qui pourra être compris et servir à beaucoup de monde !
    Juste pour mon information, tu utilises quelle version de Keepass ? La v1 ou v2 ?


  • Cliquez sur "j’ai ioulé mon mot de passe"

    Je n’ai pas trouvé mieux que Keepass associé à Keefox.


  • Ce n’est pas parce que le site renvoi un mot de passe que le site est mal sécurisé. Cela pourrait être un mot de passe temporaire, et qu’il faudrait changer par la suite ! J’ai souvent vu ce genre de procédé. Certes, ce n’est pas l’idéal (de nombreuses personnes "oublieront" sans doute à changer ce mot de passe temporaire), mais on ne peut pas conclure directement en disant que le site est mal sécurisé.

    Le plus important reste de sécuriser son accès à sa messagerie car si celle-ci est corrompue, l’attaquant pourra obtenir facilement n’importe quel mot de passe.


  • "Ce n’est pas parce que le site renvoi un mot de passe que le site est mal sécurisé."

    Comme dit dans l’article et j’insiste donc de nouveau, si on te renvoi le mot de passe par mail, le mot de passe est stocké sans aucune sécurité (sans sel, sans hash) dans la base de données. Il est en clair et donc lisible par quiconque a accès à la base de données. Un mot de passe stocké non chiffré, c’est une faute de sécurisation.


  • Ok, on ne s’est peut-être pas bien compris.

    Je parlais de mot de passe temporaire. Un mot de passe renouvellé suite à une perte de mot de passe. Si c’est effectivement le mot de passe précédemment utilisé, oui, il faut fuir ce site web !

    Tu as des listes de sites qui font (encore) ça ?


  • >Tu as des listes de sites qui font (encore) ça ?

    Non je n’ai pas pris le temps de noter. J’ai déjà passé 3h à tout changer, ca m’a déjà bien occupé. Quelques forums ou wiki, un site marchand. J’ai supprimé les comptes.