A propos de l'utilisation des mots de passe

[Morpheus]

Vous avez forcément déjà lu et/ou entendu ce conseil, qui consiste à avoir un mot de passe différent pour chaque service sur lequel vous avez besoin de créer un compte. Le souci, c'est que de nos jours, ces services se sont vu démultipliés, ce qui ne facilite pas la mémorisation, et peut donc être très ennuyeux, même si les navigateurs web proposent de les enregistrer. Vos Post-it aussi d'ailleurs :

Du coup la plupart du temps vous utilisez le même sur de nombreux sites, aussi bien à caractère personnel léger (genre MerdeBook), que plus sérieux (site de vente en ligne). Mentez pas, je le sais, et d'ailleurs moi-même ne procède qu'à de légères variations sur le même thème, notamment parce que les caractères spéciaux passent plus ou moins bien suivant les sites.

Sauf que lorsque je me suis fait cambrioler, j'ai du changer le mot de passe de mon compte Microsoft, ma xbox ayant fait partie du lot remporté par les salopards. Et ma boite Yahoo aussi. Et Mon compte LDLC, PC INpact, Clubic, Partoche.com... Bref, partout où l'adresse mail et/ou le pseudo était associé au même mot de passe (ou ses variations). Pourquoi ? Eh bien, un exemple valant toutes les explications, je vais vous résumer ce qui est arrivé récemment à l'équipe de SMF, le moteur de forum que nous utilisons ici.

Un des administrateurs a donc utilisé le même couple utilisateur/mot de passe sur plusieurs sites, dont l'administration du forum officiel de Simple Machines Forum. Un des sites qu'il utilisait s'est fait voler par un moyen qui sort du cadre de ce topic la base de données des membres, avec donc les utilisateurs/mots de passe. Et dans le tas se trouvait celui de notre administrateur. Une personne ayant eu accès aux données récupérées a donc pu s'identifier dans la partie administration du forum officiel, et à partir de là récupérer d'autres couples utilisateurs/mots de passe, la totalité des membres du forum. Génial pour un administrateur d'un forum qui se veut sécurisé. Aucune faille de sécurité utilisée sur le forum, et pourtant, ils se sont fait voler leur base de données (en fait elle a juste été copiée, mais frauduleusement--le vol impliquant normalement que le propriétaire n'en dispose plus, ce qui n'est pas le cas ici).

Bref, forcez vous à fortement varier vos mots de passe pour les sites qui vous demandent une identification, les outils permettant de ne pas forcément avoir besoin de tout retenir existent (gestionnaires de mots de passe dans les navigateurs web, trousseaux de clés sécurisés (tel que PyPass le propose).

Et rappelez-vous : le maillon le plus faible se situe toujours entre la chaise et le clavier.

Source : Undernews

[Ricard]

Je me suis toujours demander ce que valent ces "outils" qui enregistre les login/mot de passe...

[Morpheus]

Eh bien, dans l'ensemble, et à moins de tomber sur un /vrai faux outil de gestion de mots de passe, c'est plutôt fiable.

Ils reposent sur un chiffrage symétrique fort protégé par un mot de passe maitre. Il faut un accès physique à la machine pour espérer récupérer les mots de passe, mais surtout avoir pas mal de puissance ou de chance pour arriver à percer ce coffre-fort virtuel.

Le bureau KDE (principalement sous Linux) embarque un tel outil depuis... 1996. La plupart des éditeurs d'antivirus en proposent, mais c'est un logiciel à part, payant, toujours pas intégré dans le produit principal (tout juste on a droit à des claviers virtuels pour saisir les infos sensibles, qu'il faut donc retenir). PyPass est un exemple pour l'instant uniquement dispo sous Linux, mais Python aidant, il n'est à priori pas difficile de l'adapter pour Windows.

Il existe différents logiciels gratuits ou payants qui remplissent ces fonctions, Tom's Guide en a d'ailleurs dressé une liste l'année dernière(mais ça manque un peu d'analyse). A priori KeePass est une bonne référence qui se paie le luxe d'être gratuit ET multiplateforme.

[Ricard]

Il va falloir que je me penche la dessus de façon plus sérieuse. J'vais aller voir le lien que tu as donner sur Tom's guide (histoire de me faire une idée globale) et me renseigner sur Keepass.

Mais de toute façon, changer de façon régulière son mot de pass est une habitude à avoir