Ce billet fait suite aux deux billets Des mots de passe que l’on utilise au quotidien... où je parle de ma gestion des mots de passe et des problèmes que j’avais identifié et celui où je recommande l’émission Le ComptoirSecu et les mots de passe qui m’a permis d’avoir un état des lieux sur les techniques actuelles de craquage / vol de mot de passe.

J’ai donc repris un à un une nouvelle fois mes mots de passe de tous mes comptes et les ai remplacé par un mot de passe aléatoire généré dans Keepass. Pour tester la fiabilité du stockage des mots de passe dans la base de donnée sur les différents services que j’utilise, je n’ai pas entré de mot de passe, j’ai demandé à chaque fois une réinitialisation de celui-ci.

Je n’ai pas fait de statistiques (j’ai mis plus de 3 heures rien que pour faire le changement de chaque mot de passe) mais j’ai eu quelques mots de passes en clair envoyé par mail. Ce qui signifie que pour les comptes correspondants, le mot de passe est stocké sans aucune sécurité (sans sel, sans hash) dans la base de données.

Si cette base de données est piratée, le mot de passe est donc connu et disponible des pirates et associé à mon mail/compte. Les mots de passe en clair était tous des mots de passe bidon (que je n’ai pas défini moi-même donc généralement le mot de passe par défaut du compte à l’inscription ou un un code aléatoire que j’avais généré).

Je vous invite donc à faire de même pour vos comptes les plus importants. Cliquez sur "j’ai oublié mon mot de passe". Si le site renvoi le mot de passe, le site n’est pas sécurisé. Si le site envoie un lien pour réinitialisation, c’est déjà mieux. Si en plus il y un code/token temporaire à usage unique, c’est encore mieux.

Que faire dans le cas d’un site non sécurisé ? Fermer son compte si le site ne nous est pas utile. Changer régulièrement le mot de passe de ce site et surtout NE PAS utiliser ce mot de passe ailleurs (donc on utilisera un mot de passe aléatoire généré par Keepass).