Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Chiffrement » Sur la sécurité des mots de passe

Sur la sécurité des mots de passe

D 27 juin 2014     H 09:37     A Genma     C 3 messages   Logo Tipee

TAGS : Keepass Traduction Password, Passphrase

Ce texte est une traduction - libre adaptation du texte (donc non littérale) Account Password Security : Basic Edition publié sur le blog greplinux.

Pourquoi cette traduction

Suite à mes articles
- Keepass, TrueCrypt
- Les phrases de passe
- Des mots de passe que l’on utilise au quotidien...
- Free et les mots de passe
Je trouvais que cet article viendrait parfaitement compléter les informations et conseils évoqués dans mes écrits. J’ai donc pris le temps de traduire Account Password Security : Basic Edition en français pour rendre le texte accessible aux non-anglophones. Si vous lisez l’anglais, le site greplinux contient d’autres textes qui viennent compléter la présente traduction.

La version courte

Avoir les mêmes informations d’identifications (nom d’utilisateur et mots de passe) entre de nombreux comptes en ligne est une habitude dangereuse qu’il est difficile de briser. Je propose donc les étapes suivantes comme un moyen acceptable permettant de résoudre le problème :
- Utiliser un logiciel de gestion de mot de passe comme KeePassX ;
Lister tous les comptes en ligne dont vous avez connaissance, vous êtes au courant et explorer votre boîte mail pour retrouver des comptes que vous auriez oublier.
- Si vous n’avez plus utilité de ce compte, supprimez le, si possible.
- Si l’authentification à deux facteurs est disponible, activez-la.
- Supprimer toutes informations personnelles non-critique/obligatoire/nécessaire, et plus particulièrement pour les comptes déjà existants.
- Générer un nom d’utilisateur unique aléatoire (si vous pouvez le changer) et mot de passe (de la longueur maximale et utilisant le plus de caractères possibles) et conservez le dans le logiciel de gestions de mots de passe (KeePassX).
- Si une question de type "sécurité" est nécessaire, créer une entrée dans le logiciel de gestions de mots de passe avec une réponse aléatoire et prenez en note l’emplacement et la question comme entrée de base de données de KeepPassX.
- Verrouillez le logiciel de gestion de mots de passe. Utiliser un mot de passe unique, mémorisable et fort.
- Profitez de la possibilité de cliquer sur des boutons pour vous connecter à vos comptes !

Motivation et récentes fuites de mots de passe

Pour la plupart des gens, les mots de passe sont plus gênant qu’autre chose. Généralement, c’est ainsi que les gens agissent :
- ils ont quelques mots de passe courts faciles à mémoriser, de base, qu’ils utilisent autant possible
- ils ne modifient les mots de passe que quand un site les y oblige
- les mêmes questions de sécurité / réponses sont utilisées aussi souvent que possible, parfois sans même savoir que ces informations sont faciles à trouver et publiques.

Du point de vue de la sécurité, c’est une catastrophe mais vous pouvez difficilement blâmer ces personnes ; les mots de passe sont vétustes et en plus inefficaces étant donné le nombre de comptes que la plupart des gens ont. En effet, Google est parmi ceux qui tentent de remplacer la sécurité par mot de passe avec une 2ème facteur universel, ou une clé physique U2F parmi d’autres approches.

Nous sommes actuellement dans une situation potentiellement dangereuse où la sécurité de n’importe quel site qui serait compromis pourrait conduire à la compromission de plusieurs autres comptes d’un utilisateur du fait de la réutilisation des titres de compétences. Nous vivons dans cette triste réalité où les sociétés et d’autres entités ont des pratiques de sécurité sous-optimaux voir carrément pauvres qui permettent la violation de nos données, aboutissant à de combinaisons de nom d’utilisateur / mot de passe et des informations personnelles, qui se retrouvent dans les mains de criminels.

LinkedIn est un telle société avec de mauvaises pratiques de sécurité, ce qui a abouti à ce que pas moins de 3,5 millions de mots de passe en clair soit diffusé dans la nature, et les assaillants/attaquant auraient récupérés les adresses mails associés aux mots de passe. Ok, vous êtes un geek tech et vous avez entendu parler ce cette histoire et avait changé votre mot de passe LinkedIn ? Eh bien, c’est un début, mais si vous avez des comptes qui utilisent ce même mot de passe,ils sont aussi à risque. ainsi ; Facebook, en étant conscient de cela, a répondu à l’existence d’une récente faille de sécurité d’Adobe en avertissant ses utilisateurs et de changer les questions de sécurité et d’utiliser un nouveau mot de passe .

Une lumière au bout du tunnel

Même si votre gestion de la sécurité du mot de passe n’est pas aussi mauvaise pire que dans les cas décrits ci-dessus, je vous invite à demander à quel point votre situation est optimale :
- Chaque compte a-t-il un nom d’utilisateur unique aléatoire (si possible), avec un mot de passe unique et le plus grand possible
- Chaque question de sécurité a-t-elle une réponse générée de façon aléatoire ?
- Quand c’est possible, avez-vous activer l’authentification à deux facteurs ?
- Un minimum de renseignements personnels sont-ils bien conservés pour chaque compte ?

Cela semble... faisable, non ? Ok peut-être que cela semble absurde et déraisonnable, mais de nos jours il est tout à fait possible de réaliser cela de manière hautement sécurisée, tout en faisant en sorte que ce soit facile à utiliser (au moins plus facile que de se rappeler lequel des vingt variantes d’un mot de passe faible va avec quel site).

Les logiciel de gestion de mot de passe

Le plus gros morceau du puzzle est le logiciel qui gère les mots de passe pour vous. Je vais souligner deux solutions populaires, dont l’une est uniquement en ligne et dont la source fermée et l’autre source en ligne uniquement et ouvert :

- KeePassX (multi-plateforme)
- KeePassDroid (Android)
- MiniKeePass (iOS)
- LastPass (multi-plateforme)

Notez que quel que soit votre choix, vous devez utilisez un mot de passe pour accéder à la base de données du logiciel (qui contient tous les mots de passe) ! Cela va être l’un des derniers mots de passe que vous aurez besoin mémoriser et sera également l’un des goulots d’étranglement en matière de sécurité.

KeePassX Même si vous n’êtes pas familier avec ce genre de logiciel - il est assez simple, mais il y a quelques détails à connaître pour tirer le meilleur parti de la sécurité qu’il offre.

Pour les smartphones Pour accéder à votre base de données de mot de passe sur votre appareil mobile, vous aurez besoin d’une application appropriée ; pour Androids, je préfère KeePassDroid.

LastPass LastPass est une version équivalente en ligne à KeePassX ; il suit le même concept, sauf le logiciel de gestions de mots de passe chiffré est stocké sur leurs serveurs. À mon avis, c’est une bonne raison pour utiliser une solution stocké localement comme KeePassX sur LastPass. Tandis que KeePassX est open source (ce qui signifie que vous avez la possibilité de vérifier le code source vous-même) et local (ce qui signifie votre sécurité est toujours entièrement entre vos mains) LastPass vous oblige à faire confiance à la sécurité du code source fermé de LastPass, ce qui exige également de faire confiance dans la sécurité de la version web. Et rappelez-vous qu’une partie de la motivation pour utiliser des mots de passe uniques pour nos comptes en ligne est lié au fait qu’on ne peut faire confiance aux services en ligne quand à leurs sécurité. Cela étant dit, il n’y a pas eu d’attaques contre LastPass à ce jour qui ait conduit à de vérifiable fuite d’information des informations des comptes, et comme leur base d’utilisateurs serait probablement très fortement diminuer si une tel incident arrivait, ils ont un intérêt financier à faire en sorte que leur sécurité soit optimale.

Au moment de l’écriture de ce texte, je n’ai pas utilisé LastPass moi-même, mais il a assez bonne réputation et suit les mêmes principes que KeePassX. Noter qu’il semble que leur application mobile soit payante.

L’authentification à deux facteurs

Il s’agit d’une méthode de renforcement de la sécurité de l’authentification par mot de passe ; des services comme battle.net, Google, GitHub, Twitter, Facebook, etc l’offrent tous sous une certaine forme. L’idée est que vous recevez, soit via un dispositif physique spécifique, soit via une application mobile que vous avez installé, ou encore via un message SMS, le "second facteur" d’authentification à fournir, généralement un code à usage unique. En d’autres termes, non seulement vous devez connaître le mot de passe, mais vous devez également être en possession d’un dispositif physique afin de vous connecter à un compte. Ce n’est pas la sécurité absolue, des logiciels malveillants ciblées peuvent encore faire des choses comme effectuer des attaques man-in -the-middle pour voler les informations d’identification de l’utilisateur. Pourtant, cela va vous prémunir contre la vulnérabilité des comptes partageant les mêmes mots de passe.

Presque tous les systèmes d’authentification à deux facteurs que j’ai rencontré était compatible avec Google Authenticator (Android et iOS) , et sa mise en place peut être fait simplement en scannant un QR code avec votre smartphone. Une fois mis en place, il vous suffit de tirer vers le haut l’application lors de la connexion et après avoir fourni votre nom d’utilisateur et mot de passe, vous aurez également fournir le code à usage unique que vous recevez.

Trouver les comptes

Une fois que vous serez familiariser avec votre logiciel de gestion de mot de passe, la voie vers la réalisation des objectifs ci-dessus est visible. Malheureusement vient maintenant la partie la plus fastidieuse ; en fonction du nombre de compte en ligne que vous avez accumulé cela pourra prendre une bonne partie de la journée. Vous devez traquer autant de comptes que possible ; et cela pourrait prendre beaucoup de temps. Pensez-y : le maillon faible pourrait venir d’un forum sur lequel vous vous êtes inscrit au hasard de votre jeunesse, quand vous n’aviez pas de notion de sécurité ; forum qui est toujours en place, actif, et si vous avez utilisé des informations d’identification (login/mot de passe) communes avec d’autres sites, le problème est évident.

Vous pouvez vous rappeler de la plupart des sites sur lesquels vous vous êtes récemment connectés, mais bon courage pour traquer tous les comptes que vous avez oublié. Fouillez dans votre email pour y chercher des termes comme « nom d’utilisateur », « vérifier », « vérification », « noreply », « compte », « bienvenue » et ainsi de suite et y retrouver les comptes que vous avez créer. Si vous aviez plusieurs comptes de messagerie, il faut le faire pour les différents comptes.

Sécurisation des comptes

Quand vous avez retrouvez les comptes :
- Cherchez à vous connectez dessus ; utiliser les options de récupération de mot de passe si nécessaire
- Si vous n’avez pas besoin de ce compte, le supprimer.
- Générer des mots de passe sécurisés (long et aléatoires) et stocker les dans votre logiciel de gestion des mots de passe.
- Supprimer les informations personnelles inutiles, en particulier sur les sites dont vous n’avez plus l’utilité.
- Si une question de sécurité est nécessaire, créer une entrée dans le logiciel de gestions de mots de passe avec une réponse au hasard ; ajouter une note sur la question du site et la réponse.
- Si le site offre une authentification à deux facteurs, mettez là en place.

Conclusion

Il s’agit là de l’essentiel de ce qui doit être fait. Une fois fini, vous aurez une base de données chiffrée qui contient des enregistrements pour l’ensemble de votre présence en ligne. Bien que cela signifie qu’il ya un point de défaillance unique, il est beaucoup plus facile de sécuriser ce maillon faible (surtout si vous avez choisi une base de données de mot de passe local comme KeePassX ) plutôt que d’avoir potentiellement des centaines de points de défaillance.

A noter qu’il est possible de synchroniser les bases de données de ce logiciels sur les différents appareils sur lesquels ils sont connectés.

3 Messages

  • Bonjour !

    Simple remarque, sur deux points

    - micro fautes d’orthographe en deux lignes successives, sinon je n’aurais pas relevé,
    « Si vous n’avez plus utilité de ce compte, supprimer le, si possible.
    - Si l’authentification à deux facteurs est disponible, activez-là. »
    — > supprimez-le, activez-la

    - Une suggestion que j’estime de bon sens, pour ne pas décourager les utilisateurs qui n’ont pas que ça à fiche, de leur point de vue , distinguer comptes importants de comptes dont on se moque éperdument. Les comptes pas importants peuvent bien partager tous le même mot de passe et nom d’utilisateur, peu importe, ils n’ont accès à aucune donnée importante et sont sur une base de pseudonymat : OSEF si le mot de passe est piqué.
    Cela réduirait déjà beaucoup le besoin d’utiliser une solution à la KeePass, et la rendrait par là même tolérable :)


  • Lastpass pour moi fait partie des top 10 des applications qui doit nous accompagner quotidiennement. C’est un gestionnaire de mot de passe qui rend la navigation web plus facile et plus sûre, authentification forte garantie.


  • LastPass c’est récemment fait plusieurs fois attaqué entrainant une fois la fuite de trousseaux ( qu’il faut encore bruteforcer tu me diras ... ) et la seconde fois, plus moche, des accès à leur infra. C’est plutôt moche pour une société dont le coeur de métier est la protection des données & des mots de passes.

    J’ai récemment migré vers 1password. Solution fermée ( :( ) mais disponible sur Android, iOS, OSX ( et windows ? je crois qu’il y a une ß en cours ) qui est très bien & intègre un service nommé "watchtower" qui t’avertit en cas de soucis avec un mot de passe partagé avec un site qui a subit une attaque récemment, ou directement si tu as un compte sur un tel site. Il a part exemple mis en lumière tout les sites qui étaient sensibles à la faille dans openSSL. ça m’as pris des jours à tout changer. Dernier truc à dire, les applis mobiles comme desktop sont super bien faites, et soucieuses de la sécurité et de la confidentialité des données allant jusqu’a refuser de prendre en charge des navigateurs dont la signature du code ne correspond pas à celle qui devrait être, ou à effacer le mot de passe que tu as placé dans ton presse-papier depuis x minutes.


Un message, un commentaire ?
modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.