Vos mots de passe sur internet sont-ils fiables ?


Mots de passe les plus utilisésLe classement des 25 mots de passe les plus utilisés dans le monde, publié le mois dernier par SplashData et présenté à droite de ce texte, fait froid dans le dos. Depuis de nombreuses années, le nombre d'internautes utilisant des mots de passe extrêmement courants et faciles à deviner est toujours aussi important. Qu'importe la sécurité mise en place par le site que vous visitez : si votre mot de passe est facile à deviner, alors la probabilité qu'une personne mal intentionnée arrive à accéder à des informations confidentielles vous concernant est élevée. Nous allons dans cet article vous proposer une solution simple pour sécuriser votre mot de passe.

Vous pensiez que personne n'aurait l'idée d'entrer le mot de passe "cheval" pour accéder à votre compte Facebook ? Raté ! Il est assez simple pour une personne disposant des bons logiciels de tester plusieurs milliers de combinaisons automatiquement et tomber rapidement sur le bon mot de passe. Lors d'une attaque par force brute, c'est à dire lorsque toutes les combinaisons possibles de mots de passe sont testées jusqu'à un résultat positif, plus un mot de passe est simple, plus il est trouvé rapidement, et des dictionnaires de mots, expressions et mots de passe courants sont très souvent utilisés pour accélérer la tâche.

Vous êtes plusieurs milliers sur Consomac à posséder un compte sur nos forums. Ce dernier vous permet de participer aux discussions du forum ainsi que de réagir aux différentes dépêches et bons plans du site, grâce à un identifiant et un mot de passe de votre choix. Nous utilisons différentes techniques cryptographiques pour sécuriser votre mot de passe, qui est par exemple salé et haché, et ce dernier n'est donc jamais stocké en clair sur nos serveurs. Nous avons également mis en place des sécurités empêchant toute attaque par force brute sur vos comptes. Cependant, malgré toute notre bonne volonté, aucun système informatique n'est infaillible, et il y a toujours un petit risque.

La planche de bande dessinée suivante, publiée par xkcd, vous est peut-être familière. Elle vous explique qu'un mot de passe composé de mots simples mais suffisamment long sera plus efficace qu'un mot de passe plus court mais bien plus compliqué à retenir. Le constat est vrai, mais se bute à plusieurs contraintes : de nombreux sites vous imposent l'utilisations de minuscules et de majuscules, de chiffres ou encore même parfois de caractères de ponctuation. Et surtout, si votre mot de passe dûment mémorisé est compromis lors d'une attaque d'un des sites sur lesquels vous possédez un compte (Adobe a par exemple été attaqué en octobre dernier), vous devez alors en changer sur tous les sites où ce dernier est utilisé. La solution idéale est bien sûr de créer un mot de passe différent pour chaque site que vous visitez, mais cela vous compliquera assurément la vie, même si vous notez les différents mots de passe dans un logiciel dédié à cet effet (ce qui n'est pas idéal pour la sécurité de ces derniers...).




Le Graal de la sécurité sur internet serait donc un mot de passe unique pour tous vos comptes, mais qui s'il est découvert ne compromette pas la sécurité de votre entière vie numérique. Impossible ? Non ! Il vous suffit de créer un mot de passe long, complexe et donc difficile à deviner, même pour un ordinateur, et de lui ajouter une partie variable. Une solution simple est d'utiliser le nom du site ou du service et d'en extraire une partie. Ainsi, voici deux petits exemples (à ne pas réutiliser tels quels bien sûr) de difficulté croissante pour une inscription sur Consomac :




En adoptant la technique utilisée sur un des mots de passe ci-dessus, vous vous assurez un excellent niveau de sécurité pour vos différents comptes sur internet. Si l'un de vos mots de passe est découvert, il ne pourra pas être réutilisé sur un autre service. Et pourtant, vous n'avez qu'un seul mot de passe à retenir ! Alors, quel est votre mot de passe sur Consomac ?


PARTAGER SUR :

Sur le même sujet

Vos réactions (16)

Flok

23 février 2014 à 17:27

C'est bon les gars, on a les mots de passe de Sylvain ! À nous les rênes de Consomac !!

pim

23 février 2014 à 17:40

Et pendant ce temps, toutes les connexions sécurisées de tous les Macs de la terre sont en carton, à cause d'une énorme faille qui va faire un dégât énorme dans les trois prochains jours !

Michel Bellemare

23 février 2014 à 18:29

Je ne comprends pas pourquoi les verrous biologiques (comme les empreintes digitales) n'ont pas remplacés depuis belle lurette, les archaïques «mot de passe». Les détecteurs d'empreintes digitales existaient avant le «Touch ID» de Apple, et ils auraient dû être aussi essentiels qu'une souris ou un port USB sur TOUS les ordinateurs.

JSL

23 février 2014 à 18:41

Pim, pourriez-vous en dire plus ?

Dudu-du62

23 février 2014 à 20:36

Pim: Apple vient de rendre disponible une mise à jour OTA iOS 7.0.6 pour corriger cette faille (que j'ai donc installer), ils n'ont pas tardé à réagir

iChe

23 février 2014 à 20:52

Je ne suis pas totalement d'accord avec ce que tu nous racontes là, si je peux me permettre.

Tu passes très vite sur l'utilisation d'un logiciel externe, et laissant même sous entendre que ce n'est pas une bonne idée, alors que c'est de loin la méthode la plus efficace et la plus sûre, car elle permet de changer à volonté de mot de passe (entre les site, et dans le temps), et se fiche des contraintes imposé par les sites.

De plus, la méthode que tu donnes est un peu en contradiction avec le fameux dessin de xkcd, et n'est en pratique pas si efficace que ça, car elle ne crée pas assez de mots de passe différents : seulement 2500, en gros, ce qui est ridicule (voir le premier paragraphe ou tu parles de la force brute) ! Il est clair que c'est mieux que les mots de passe listés au dessus, mais pas tant que ça, ce n'est pas du tout satisfaisant pour une utilisation quotidienne, et ne protège en rien si jamais un des mots de passe est deviné…

pim

23 février 2014 à 21:26

@ Dudu-du62 :

Justement, ils ont corrigé la faille dans iOS, donc l'ont rendu publique, mais sans la corriger dans OS X. C'est ça le problème. Mais visiblement ça va se régler très rapidement, Apple s'étant fendu d'un communiqué !

LolYangccool

23 février 2014 à 22:00

Bon, je vais me prendre 1password je crois... :/

pim

23 février 2014 à 22:20

1Password est génial, ne serais-ce parce que la synchronisation des éléments du trousseau entre OS X et iOS est totalement farfelues (on peut facilement perdre entre 90 et 100 % de ses mots de passe avec le trousseau dans iCloud !).

Faut juste arriver à se souvenir d'un mot de passe « maître » suffisamment fort. Cela n'a rien de simple, car 1Password est automatique donc on n'est pas à le taper en permanence comme dans iTunes ou dans OS X...

Sylvain

23 février 2014 à 22:30

@ iChe : il est clair que la différence entre les différents mots de passe générés est assez faible, mais c'est en supposant qu'une attaque en force brute se base sur une différence incrémentale avec un mot de passe de départ. Or ce n'est pas comme cela que ça fonctionne. Une fois un mot de passe récupéré dans une fuite telle que celle d'Adobe, ce dernier est utilisé avec son identifiant pour conduire des attaques sur d'autres types de comptes, tels que ceux d'iTunes par exemple où les comptes sont utilisés pour réaliser des achats. Là, soit l'opération est un succès, soit le couple identifiant/mot de passe est supprimé, n'étant pas valide. Les services tels qu'iTunes sont sécurisés contre une attaque en force brute. Tout simplement, des questions "mémorables" sont posées à l'utilisateur après X tentatives d'identifications ratées. Après X réponses fausses, le compte est bloqué.

LolYangccool

23 février 2014 à 22:39

J'ai pris Wallet

iChe

24 février 2014 à 00:04

@Sylvain : certes, mais les « théoriciens » de la sécurité que j’ai lus se basent toujours sur la possibilité de la fameuse attaque brute force, d’où ma remarque. La force d’un mot de passe est mesurée par le nombre de mots de passe différents que la méthode crée, et non par l’apparent « désordre » final.

Mais à part ça, je salue ton article haut et fort ! On serait surpris de savoir combien de gens dans notre entourage utilisent l’un des mots de passe de la liste, ou en tout cas des mots de passe bien trop faibles. Il faut lutter contre ce problème qui possède des solutions pourtant simples, et c’est très bien que tu fasses un long article dessus malgré l’absence de lien immédiat avec Apple.

Et comme tu dis, si déjà tout le monde pouvait seulement avoir un mot de passe par site, on dormirait plus tranquille.

pipoca

24 février 2014 à 08:43

@LolYang : Wallet ?

aexm

24 février 2014 à 11:49

je pense qu'il est nécessaire de relativiser ces pb et de donner un cadre …


par ex. statistiquement est ce qu'on risque plus en laissant un mdp faible ou par les failles de secu non comblées par les fournisseurs tiers (protocole, maintenance site, vol données faille sql etc …) ?

on peut aussi se faire voler son mot de passe (faille secu bdd), et puisque la logique générée est la meme … cela reduira d'autant la longueur du mot de passe …
bref c'est un sujet complexe … difficile à résumer en qques lignes …
et que je maitrise pas en plus …

c'est d'ailleurs un article qui est en préparation depuis septembre que je n'ai pas fini d'écrire …

TouchID (avec ces imperfections) est une réponse à ce type de problématique …
ne plus avoir a retenir des mdp trés long !

Sebastien

iTibo

24 février 2014 à 19:37

Mais comme il est montré sur le dessin dans l'article, un mot de passe très long ne veux pas dire un mot de passe compliqué à retenir.
J'utilise de nombreux mots de passe à plus de 20 caractères mais que j'ai retenu en 2 minutes. La méthode évoquée dans le dessin est là encore certainement là meilleur.

Réagir

Vous devez être connecté à notre forum pour pouvoir poster un commentaire.

Connexion
Inscription



À PROPOS

Qui sommes-nous ?
© 2004 - 2016 Consomac

CONTACT

Rédaction - Technique
Presse - Bons plans

SOCIAL

Consomac sur Twitter
Consomac sur Facebook

FLUX RSS

Les news
Les bons plans



Recherche

Contact

Voir version ordinateur

Sur Facebook - Sur Twitter

RSS News - RSS Bons Plans

À propos

© 2004 - 2016 Consomac