Les 10 principales règles à adopter pour bien gérer ses mots de passe

Messageries, réseaux sociaux, banques, administrations et commerces en ligne, réseaux et applications d’entreprise… la sécurité de l’accès à tous ces services du quotidien repose aujourd’hui essentiellement sur les mots de passe.

Face à la profusion des mots de passe, la tentation est forte d’en avoir une gestion trop simple. Mais une telle pratique serait dangereuse, car elle augmenterait considérablement les risques de compromettre la sécurité de vos accès.

Pour aider les internautes, le site cybermalveillance.gouv.fr édité par l’Etat vient de publier un fiche pratique présente les 10 principales règles à adopter pour bien gérer ses mots de passe. Elle présente de manière illustrée les bonnes pratiques à adopter pour assurer au mieux la sécurité de ses mots de passe. 


téléchargez la fiche complète

 

Publié le par
Partager sur Google + Partager sur Twitter Partager sur Facebook Alertes mail Partager
COMMENTAIRES DES LECTEURS (18)
Posté le 09 juillet 2018 à 19h10

Personnellement, j'utilise Dashlane. J'ai donc juste le mot de passe maître à retenir couplé à une Yubikey 4 ;)

Posté le 09 juillet 2018 à 20h16

Bonjour

J'ai du mal à comprendre la différence entre

a) un mot de passe unique pour tous les sites.

b) un mot de passe différent pour chaque site ET utiliser un gestionnaire de mot de passe, protégé par UN mot de passe.

Dans les deux cas, le crackage d'un seul mot de passe (unique tous sites ou celui du gestionnaire de mot de passe) et le loup est dans la bergerie.

Dominique

Posté le 09 juillet 2018 à 20h51
dominique95880 a écrit
Bonjour J'ai du mal à comprendre la différence entre a) un mot de passe unique pour tous les sites. b) un mot de passe différent pour chaque site ET utiliser un gestionnaire de mot de passe, protégé par UN mot de passe. Dans les deux cas, le crackage d'un seul mot de passe (unique tous sites ou celui du gestionnaire de mot de passe) et le loup est dans la bergerie. Dominique

Ce n'est pas si simple déjà il faut absolument utiliser un mot de passe complexe et long pour Dashlane, mais surtout activé la double authentification pour avoir un contrôle avec une appli sur smartphone ou un token USB personnel.

Auquel cas le craquage ne peut pas donner l'accès à tout les mots de passe sauf a ce que le pirate contourne la seconde authentification. C'est le but du gestionnaire de mot de passe d'être suffisament sécurisé pour justement que cela ne soit pas aussi simple. 

Posté le 09 juillet 2018 à 20h53
dominique95880 a écrit
Bonjour J'ai du mal à comprendre la différence entre a) un mot de passe unique pour tous les sites. b) un mot de passe différent pour chaque site ET utiliser un gestionnaire de mot de passe, protégé par UN mot de passe. Dans les deux cas, le crackage d'un seul mot de passe (unique tous sites ou celui du gestionnaire de mot de passe) et le loup est dans la bergerie. Dominique

Bonjour , tout a fait d accord !!

Premium

taduarial
Envoyer message
 
10597 points
Posté le 09 juillet 2018 à 20h59

règle 1: le poster sur son compte Facebook tongue-out

Posté le 09 juillet 2018 à 21h01
dominique95880 a écrit
Bonjour J'ai du mal à comprendre la différence entre a) un mot de passe unique pour tous les sites. b) un mot de passe différent pour chaque site ET utiliser un gestionnaire de mot de passe, protégé par UN mot de passe. Dans les deux cas, le crackage d'un seul mot de passe (unique tous sites ou celui du gestionnaire de mot de passe) et le loup est dans la bergerie. Dominique
Juste une babiole...
Si vous utilisez le même mot de passe pour tous les sites et si ce mot de passe n'est pas assez fort il suffit qu'un hacker "pompe" la base de données des mots de passe d'un site...
En suite, il a tout le temps de craquer les mots de passe, éventuellement en utilisant éventuellement quelques dizaines de milliers de bots pour ce faire!
Dans ce cas, vous avez gagné! Il a alors accès à tous vos sites où bien sûr, vous avez utilisé le même couple identifiant - mot de  passe! Pour amorcer un vol d'identité, on ne fait pas mieux!
L'utilisation d'un gestionnaire de mot de passe, qui vous permet de dédier un mot de passe par site, ce gestionnaire de mots de passe peut être protégé par un mot de passe "fort" (de 12 à 32 caractères comprenant maj/min, chiffres et caractères spéciaux) présente entre autres l'avantage non négligeable de générer des mots de passe plus ou moins "forts", permettant entre autres de vous adapter à la gestion de la sécurité du site! Car là, c'est encore la foire d'empoigne, certains digérant tous type de caractères, d'autres non, certains enfin ne tolérant pas plus de 12 caractères!
En passant, la transmission du mot de passe vers le site distant de gestion de mot de passe (Cas de Dashlane) est faite de manière sécurisée en SSL (autant que faire se peut...). Si le mot de passe du gestionnaire de mot de passe est local (keypass2), il faut être sur votre poste pour tenter de craquer le mot de passe maître... Là, le risque se situe entre la chaise et le clavier!

Posté le 09 juillet 2018 à 21h05

mon compte ios lié à ma carte bleu d email:terrieuralain@free.fr n as jammais eu de problème avec le mot de passe: AZERTY.amain2012

et vous?

Posté le 09 juillet 2018 à 21h05
dominique95880 a écrit
Bonjour J'ai du mal à comprendre la différence entre a) un mot de passe unique pour tous les sites. b) un mot de passe différent pour chaque site ET utiliser un gestionnaire de mot de passe, protégé par UN mot de passe. Dans les deux cas, le crackage d'un seul mot de passe (unique tous sites ou celui du gestionnaire de mot de passe) et le loup est dans la bergerie. Dominique

C'est trés trés trés différent !

Si ton mot de passe est stocké en clair par un site (si si on en voit encore) et que ce site est compromis, alors le pirate optient ton mot de passe qui ouvre aussi ta banque ton facebook etc...

Si tu utilise un gestionnaire de mots de passe tu donne ton mot de passe unique au gestionnaire et le gestionnaire envoi le bon mot de passe au site qui est un mot de passe unique...

Si ce mot de passe est compromis, le pirate ne pourra se connecter qu'a ce site mais pas a ta banque ;)

ça marche aussi pour le phishing ou un mot de passe unique il recupere un mot de passe utilisable partout alors qu'avec un gestionnaire de mot de passe 1) il refusera de transmettre le mot de passe, et si le pirate a été trés bon avec detournement dns et tout le mot de passe transmis ne marchera que sur un seul site...

Bref c'est beaucoup beaucoup beaucoup mieux ;)

Et pour blinder ton gestionnaire de mots de passe un bon mot de passe, et une double authentification comme dit plus haut...

Pour ceux qui ne veulent pas payer un tel service regardez du coté du bitwarden (ou si un peu plus bricoleur keepass)

Posté le 09 juillet 2018 à 21h43

Bonjour pour ma part j’ai utilisé pendant des années Dashlane ayant été un utilisateur des premières heures. Mais après avec le passage payant mensuel ou annuel pour les nouveaux membres, j’ai du changer afin de pouvoir protéger les autres membres de ma famille. 

Maintenant j’utilise depuis bientôt 1 an : Safeincloud et je le trouve vraiment très très bien. Déjà la version ordinateur est gratuite, et le prix de l’application iOS ou androïd est très faible moins de 3€ pour un paiement unique à vie. Surtout que l’application est en solde 2 a 3 fois par an sur les stores ... et pour ceux qui ont peur, la base de données est stockée sur notre propre cloud au choix drive, onedrive ... et non dans le serveur de l’éditeur ...

donc je je le recommande et dommage que ce petit logiciel et développeur ne soit pas plus connu je trouve à côté des très gros comme dashlane, keepass .... qui ont des coûts assez important. 

Posté le 09 juillet 2018 à 21h47
batmat86 a écrit
Bonjour pour ma part j’ai utilisé pendant des années Dashlane ayant été un utilisateur des premières heures. Mais après avec le passage payant mensuel ou annuel pour les nouveaux membres, j’ai du changer afin de pouvoir protéger les autres membres de ma famille.  Maintenant j’utilise depuis bientôt 1 an : Safeincloud et je le trouve vraiment très très bien. Déjà la version ordinateur est gratuite, et le prix de l’application iOS ou androïd est très faible moins de 3€ pour un paiement unique à vie. Surtout que l’application est en solde 2 a 3 fois par an sur les stores ... et pour ceux qui ont peur, la base de données est stockée sur notre propre cloud au choix drive, onedrive ... et non dans le serveur de l’éditeur ... donc je je le recommande et dommage que ce petit logiciel et développeur ne soit pas plus connu je trouve à côté des très gros comme dashlane, keepass .... qui ont des coûts assez important. 

keepass est gratuit ;)

Posté le 09 juillet 2018 à 21h51
fansat70 a écrit
Si vous utilisez le même mot de passe pour tous les sites et si ce mot de passe n'est pas assez fort il suffit qu'un hacker "pompe" la base de données des mots de passe d'un site...En suite, il a tout le temps de craquer les mots de passe, éventuellement en utilisant éventuellement quelques dizaines de milliers de bots pour ce faire!Dans ce cas, vous avez gagné!


Effectivement c'est le principe mais c'est malheureusement lié à la trop grande simplicité de bien des systèmes de mots de passe, qui se contente d'un simple encodage.

Dans la pratique un site bien fait avec une clef de "salage" aléatoire de bonne qualité, et un algorithme qui l'ajoute au mot de passe (pas une simple concaténation), avoir uniquement la base de données ne permet pas d'obtenir le mot de passe, car il manquera un élément externe à la base de données.

Malheureusement bien de sites ne sont que peu protégé et je suis quand même autrement pus inquiet de voir la faible qualité des mots de passe de certains sites bancaires (6 chiffres) ce qui est plutôt affolant même si ca n'utilise pas un identifiant personnel comme l'email.

Posté le 09 juillet 2018 à 22h47
dominique95880 a écrit
Bonjour J'ai du mal à comprendre la différence entre a) un mot de passe unique pour tous les sites. b) un mot de passe différent pour chaque site ET utiliser un gestionnaire de mot de passe, protégé par UN mot de passe. Dans les deux cas, le crackage d'un seul mot de passe (unique tous sites ou celui du gestionnaire de mot de passe) et le loup est dans la bergerie. Dominique

Il y a une différence fondamentale : le mot de passe de ton gestionnaire de mot de passe sert à protéger ou générer une clé de chiffrement, qui chiffre la base de mots de passe. À moins d'une faille dans l'algorithme de chiffrement ou de dérivation de clé utilisé, seule une attaque par force brute peut permettre de trouver ce mot de passe. Et cette attaque nécessite en outre d'avoir accès à ta base chiffrée.

Les mots de passe que tu utilises sur les sites, tu n'as par contre absolument aucune idée du niveau de sécurité avec lequel ils sont stockés. Beaucoup de sites les stockent encore avec un simple hash SHA-256 non salé ou pire, MD5. Des solutions de hash qui sont aujourd'hui très vulnérables. Pire, il y a même encore aujourd'hui des sites qui stockent des mots de passe en clair ou avec un chiffrement réversible (ce qui revient à la même chose qu'un stockage en clair dès lors que le serveur est compromis).

En outre, le mot de passe d'un site transite sur le réseau à chaque fois que tu te connectes (et même si la transmission est chiffrée, le mot de passe est rarement hashé localement avant l'envoi, donc un attaquant peut le récupérer s'il a compromis le serveur ou s'il a réussi à monter une attaque "man in the middle"), alors que le mot de passe d'un gestionnaire de mots de passe reste généralement en local.

Du coup, les mots de passe des sites sont beaucoup plus exposés que le mot de passe de ton gestionnaire de mot de passe.

Un bon test à faire quand tu t'inscris sur un nouveau site, c'est d'utiliser la fonction "mot de passe oublié". Si plutôt que de t'envoyer un nouveau mot de passe ou un lien de réinitialisation il te renvoie ton mot de passe original, c'est que le niveau de sécurité du site est digne des années 90... (attention, l'inverse n'est pas vrai, le fait qu'il te donne un nouveau mot de passe ou un lien de réinitialisation n'est pas la garantie d'un niveau élevé de sécurité)

Posté le 09 juillet 2018 à 22h48

Un site qui stock les mots de passe... j’hallucine

Aucun site ne devrait faire ça, toutes les bases sans exception peuvent être compromises...

donc un site ne stock que des clés de hachage (SHA-256, SHA-512...) comme ça personne, pas même le webmaster ne les connait.

Posté le 09 juillet 2018 à 23h01

Keepass EST LA REFERENCE MONDIALE en matière de gestion de mot de passe.

Il est utlisé par les administrateurs dans le monde entier, et a été approuvé par les autorités allemandes et frnaçaises notamment. Il a été audité de multiples fois.

Comme il est opensource, le risque de présence d'une porte dérobée est faible.

Je vous incite à lire attentivement la notice d'utilisation car la condition sine qua non est qu'il doit être bien

paramétré

Mes conseils :

- Choisir une chiffrement par double clés : une clé amovible sous forme de petit fichier qui sera déposé sur une clé USB, et un mot de passe léger de type PIN CODE

La protection est donc assurée à titre principal par la clé amovible.

- définir un délai automatique de fermeture de la base par exemple 240 s

Lorsque l'on travaille on connecte la clé USB contenant la clé amovible

Pour ouvrir la base on tape le PIN Code

On peut donc se servir de Keepass pour se connecter à sa messagerie. puis automatiquement la base va se refermer au bout du délai indiqué. 5 minutes après on a besoin à nouveau de Keepass pour se connecter à un site Web, et dans ce cas le mot de passe PIN Code me sert à ouvrir facilement et rapidement la base (sans la clé amovible, l'opération de réouverture serait pénible vu qu'il faut un mot de passe maitre assez complexe, ici le principe ets que le mot de passe maitre c'ets la clé amovible, le PIN CODE ets juste un petit mot de passe additionnelle pour ouvrir la base rapidement à la volée)

Si je m'éloigne du PC, ou lorsque je sais ne plus avoir besoin de Keepass, je déconnecte la clé USB qui contient la clé, dans ce cas il sera impossible d'ouvrir la base. Bine évidement, une règle de base :

NE JAMAIS STOCKER LA BASE KEEPASS ET LA CLE DE CHIFFREMENT AMOVIBLE AU MËME ENDROIT.

BASE EST CLE AMOVIBLE DOIVE ETRE SUR DES SUPPORTS DIFFERENTS

Vous pouvez donc laissez votre base Keepass sur votre PC, la clé amovible elle sera sur une clé USB externe.

Si votre PC est volé, la base Keepass sera indéchiffrable sans la clé amovible

Vous pouvez aussi déposer votre base Keepass en cloud via OneDrive, Google Drive, Dropbox...

C'est ce que je fais, ainsi je peux utliser une base Keepass unifiée sur tous mes appareils.

Le logiciel Keepass possède des algorithmes qui facilitent la synchronisation. Vous êtes alerté par exemple si la base est ouverte simultanément par un autre utlisateur et le logiciel vous demandera si voous choisssez d'écraser les modifications ou de fusionner

DONC DASHLANE et autres systèmes payants est inutile.

D'autre part Keepass est l'un des rares gestionnaires basé sur l'AES 256, Norton, Kasperksy... c'est l'AES128 qui est considéré comme "cassable" par les agences gouvernementales.

Keepass possède un système de plugin pour :

- ajouter des algorithmes de chiffrement

- faciliter l'autosaisie dans les navigateurs

Pour les mots de passe non critiques comme les identifiants de forum... j'utilise le gestionnaire d emot de apsse intégré aux navigateurs, de ce fait je n'ai aps à connecter ma clé USB dès lors que je fais des choses non critiques.

Bien entendu j'alimente la base des exclusions pour interdire au navigateur de retenir le mot de passe pour les sites critiques et je surveille régulièrement la abse de mot de apsse interne au navigateur pour vérifier que je n'ai pas enreghistré un mot de passe critique accidentellement.

Posté le 10 juillet 2018 à 00h05

A Kenny33 : keepass est gratuit ;)

oui je suis d’accord mais sauf erreur de ma part, il n’y a aucune application mobile officielle que cela soit android ou iOS, que des applications tierces. Donc déjà cela réduit la facilité d’accès à monsieur tout le monde. Ok sur le site officiel, il y a des liens vers les stores vers les applications tierces recommandé mais tellement aussi d’applications illicites voulant juste profiter du nom .... je ne pense pas que monsieur tout le monde prenne le soin de vérifier sur le site officiel avant de pendre une application mobile tierce. 

Et apres peut être que moi, mais depuis des années, je regarde keepass de loin, et je ne sais pas l’interface ne m’attire pas même si cela semble s’être bien amélioré depuis que j’avais regardé la dernière fois. 

Quand j’aurai du temps, je verrai a tester Keepass, mais n’hésite pas aussi à regarder Safeincloud, gratuit aussi sur PC et Mac ;)

Posté le 10 juillet 2018 à 08h56

Utiliser un gestionnaire de mot de passe .. Lol donc on a nous dit d'un côté un mot de passe différent de chaque site, et de l'autre un seul et unique logiciel qui aurait tous les mots de passe... 

Vive la France et l'administration qui dit n'importe quoi ! 

Posté le 10 juillet 2018 à 10h59
frederic76 a écrit
Utiliser un gestionnaire de mot de passe .. Lol donc on a nous dit d'un côté un mot de passe différent de chaque site, et de l'autre un seul et unique logiciel qui aurait tous les mots de passe...  Vive la France et l'administration qui dit n'importe quoi ! 
J'ai déjà vu des types qui ne "voulaient" pas capter, mais là, tu fais très fort!
Si tu te donnes la peine de lire (et d'essayer de comprendre) les diverses contributions (qui entre autres ne sont pas des "administrations"), tu pourrais admettre que la fameuse "administration" ne raconte pas n'importe quoi!
Mettre un deuxième neurone en route de temps à autre ne peut pas faire de mal, à moins que le 2ème neurone ne soit "manchot", incapable d'étendre un quelconque synapse, là, clairement, on s'expose à un surrégime...Dans ce cas, faut consulter, gars (ou apprendre à lire)!

Posté le 10 juillet 2018 à 11h33
taduarial a écrit
règle 1: le poster sur son compte Facebook

Excellent ! laughing

Ach!lle

RUBRIQUE COMMENTAIRE
Bonjour, avant de poster, veuillez vous assurer d'avoir pris connaissance des règles.

X

Quatre consignes avant de réagir :

  • Rester dans le cadre de l'article. Pour des discussions plus générales, vous pouvez utiliser nos forums.
  • Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
  • Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
  • Pour toute remarque concernant une faute dans l'article, merci de nous contacter exclusivement par le formulaire "signaler une erreur" lors de la sélection du texte de l'article (les commentaires portants sur ce sujet seront systématiquement supprimés).