Et vous, c'est quoi votre couple login-mot de passe ?

Cet article a été originellement posté sur mon blog http://allevents.avonture.be en avril 2013.   Le site web d'aeSecure est désormais plus adapté aujourd'hui à ce type de billet.

Suite à un article d'Avril 2013 que Stéphane Bourderiou a partagé sur Facebook concernant le piratage et la technique du brute force, il m'a semblé intéressant de rédiger ce billet pour vous présenter ma manière de gérer mes mots de passe sur le web.

Je vais vous poser une petite question dont la réponse semble évidente : connaissez-vous vos mots de passe sur le web ? Si vous répondez oui, vous avez tout faux.

En effet, si vous connaissez votre mot de passe, c'est que ce dernier est logique et s'il est logique, c'est qu'un programme informatique peut le deviner. C'est ce qu'on appelle le "brute force" : utiliser un dictionnaire qui n'est rien d'autre qu'un fichier qui contient des milliers de mots quelconques et le programme essaie les mots un par un jusqu'au moment où il trouve le bon. Cette liste de mots reprend bien évidemment les célèbres "admin", "password", "secret", ... qui sont encore utilisés comme mot de passe par des, oui, on peut les appeler comme cela, des inconscients.

Imaginez le gars qui a comme login "admin" et comme mot de passe "admin" : avec une attaque brute force, au mieux, son accès est compromis en moins de cinq secondes.

Alors, quelle est ma proposition ?

Depuis plusieurs années maintenant, c'est simple : je ne connais pas mes mots de passe. Ils sont tous générés de manière presque aléatoires et font tous vingt caractères de long. Mes mots de passes sont tous du type "zE0szS9A;VSb#9lkG?0B" et tous uniques. Est-ce que vous pourriez vous en souvenir ?

SuperGenPass est un bookmarklet qui vous permet de calculer un mot de passe unique selon le site web visitéMes mots de passes sont uniques : ils sont générés selon l'url visitée et d'après une clef que j'ai introduite et qui, en fait, est le seul mot de passe que je connais. J'utilise pour cela le bookmarklet SuperGenPass. Il s'agit d'un code javascript que l'on "drag&drop" sur sa barre de favoris au même titre qu'une url. Une fois en place, il suffit de se rendre sur un site et de cliquer sur le favori SuperGenPass. Une petite fenêtre va s'afficher et va vous demander d'introduire une clef. Par exemple "JAimeJoomla!". SuperGenPassva générer un mot de passe en prenant en compte l'url et votre clef. Ce mot de passe peut-être configuré pour faire 20 caractères. Pour une même url, le mot de passe est toujours le même.

Rien qu'avec SuperGenPass, vous avez donc déjà une gestion de la sécurité excellente.

Évitez d'utiliser un login tel que "admin" car si le pirate trouve votre login, il a déjà parcouru la moitié du chemin.

Login : Joom!Master
Password : zE0szS9A;VSb#9lkG?0B

Avouez que c'est du lourd ! Bien malin celui qui réussira à hacker votre compte.

L'intérêt d'un bookmarklet réside aussi dans le fait que si vous n'êtes pas sur votre ordinateur, pas de soucis : installer le temps de votre session le bookmarklet puis supprimez-le votre travail achevé.  Il n'y a rien à installer sur le pc.

LastPass est un coffre-fort dont le but est de conserver vos logins/mot de passe en un lieu unique et crypté.A côté de SuperGenPass, j'utilise également LastPass qui est un coffre-fort dans lequel je stocke tous mes accès. Toutes les données y sont cryptées. L'intérêt ici est de retrouver en un seul lieu l'ensemble de mes comptes, que ce soit des comptes web ou mes accès mails, ftp, bases de données, ...

LastPass propose des plugins pour tous les navigateurs du marché et vous permet, une fois l'url affichée, d'introduire votre login et votre mot de passe pour vous. LastPass propose également un plugin pour Android (payant).

Tant SuperGenPass que LastPass sont gratuits et fonctionnent admirablement bien.

FileZilla, client FTP gratuit et puissantJe vous invite à (re)lire l'article "FileZilla stocke les données login / mot de passe non cryptés : solution" que j'ai écris en avril 2012 et qui propose une solution à ce problème c'est-à-dire à crypter le fichier qui contient les mots de passes de vos connexions FTP et à ne "monter" le disque qui contient ce fichier uniquement lorsque vous en avez besoin.   Cryptage + innacessibilité du fichier le rende invulnérable ou presque.

Back to top