Last pass est génial, mais tout le monde n’a pas forcément envie de l’installer, et parfois on a juste pas l’occasion de l’utiliser (machine d’entreprise sur intranet mais pas sur internet par exemple).
Seb a une proposition assez sympas pour créer des mots de passe pour chaque service en ligne qui soient robustes et faciles à retenir. Mais je n’arrive pas à m’y faire: c’est un système qui me demande de trop réfléchir. De plus ça ne fonctionne pas aussi bien quand on a pas de site Web sur lequel appliquer le principe.
XKCD propose une autre approche. Ca marche niquel, mais choisir 4 mots au hasard ne me parle pas.
Voici deux autres approches que j’utilise, l’important étant d’en offrir une variété pour rendre le piratage plus délicat.
Les pages roses du dictionnaire
Si vous ouvrez le Larousse, vous verrez qu’en son centre il y a des pages roses qui correspondent à une liste de proverbes et de locutions latines ou étrangères. En les parcourant vous vous apercevrez qu’il y en a plein que vous connaissez par cœur, car elles sont ancrées dans notre culture.
Il suffit tout simplement d’utiliser une de ces phrases comme mot de passe, en incluant la ponctuation.
Par exemple:
Qui vole un oeuf, vole un boeuf.
Ce mot de passe est très facile à retenir, mais il contient 29 caractères, parmi lesquels 5 espaces, 2 caractères spéciaux et une majuscule. C’est naturellement difficile à cracker, mais facile à retenir, et assez rapide à taper une fois qu’on l’a rentré une dizaine de de fois.
Bien sûr un attaquant pourrait bruteforcer le mot de passe en utilisant toutes les locutions les plus connues, mais qui va savoir que vous utilisez une locution ?
Quand bien même, on peut très facilement pimenter le mot de passe:
Qui vole un oeuf, vole un boeuf, bordel de merde !
Et voilà un mot de passe solide comme un roc, et léger comme une plume pour votre cerveau. Cela marche aussi avec une citation célèbre (Life is hard and then you die.), un extrait de chanson (Petit frère veut grandir trop vite…), ou la réplique d’un personnage dans un film (Cours Forrest, cours !).
Mot de passe ex nihilo
Si vous n’êtes pas du genre culturé, ou que vous avez comme moi un humour bizarre, il existe une autre technique.
- Choisir une personne
- Choisir un animal
- Choisir un smiley
- Mélanger le tout dans un ordre aléatoire
Ex: José Bové vache \o/
21 caractères dont 2 majuscules, 2 caractères non ASCII, 3 espaces et 2 caractères spéciaux. Et en plus vous allez vous poiler à chaque saisie. Le plus beau, c’est qu’il suffit de saisir le mot de passe une seule fois pour s’en souvenir tellement c’est débile.
Sachant que le personnage et l’animal peuvent être imaginaires, je vous laisse imaginer les combinaisons possibles.
- Gaston Lagaffe ornithorynque O_o
- Brontosaure :-* Charly Chaplin
- ;-) Licorne Sam et Max !
Autre technique que j’aime beaucoup, les extraits de chanson dont on prends une lettre. Exemple avec un extrait de Manau:
Toute la tribu s’est réunie autour de grands menhirs, pour invoquer les dieux afin qu’ils puissent nous bénir.
En prenant par exemple la 1ère lettre, nous obtenons donc:
tltseradgmpildaqipnb
Evidemment, pour éviter les problèmes de brute-force, on choisit de préférence une chanson non-anglophone d’un groupe pas trop connu, et pas une partie du refrain.
On peut évidemment le l33ter etc, mais la version de base est déjà bien costaude et a l’avantage d’être facile à taper sur un smartphone/clavier bizarre.
Je sais pas pourquoi mais vous êtes passé en spam O_o Soit askimet délire, soit Oko nous a caché qu’il était un bot russe.
Effectivement, ce n’est pas une mauvaise idée (même si j’ai tendance à préférer la version de Seb — mais c’est purement personnel).
Cependant, la première version utilisant des locution du dictionnaire, n’y a-t-il pas un risque élevé d’attaque par… dictionnaire, justement ?
Hop, petite coquille:
“mais qui va savoir que vous utilise*Z* une locution”
Et parce que je suis un grammar nazi:
“solide comme un roc”, pas de “k”
(supprimez mon commentaire qui n’apporte rien après correction :) )
@Amaury: Notre système de comment ne permet pas encore de mettre automatiquement un gros tampon “RELIS L’ARTICLE”, mais l’ajout se fait de plus en plus pressant.
@Guillaume: merci ! Je ne supprime pas le commentaire car j’apprécie beaucoup que vous preniez le temps de nous donner un coup de main.
Grammar NAzi Powa !!!
Suce o races inferieur ki fon des fotes d’ortograf !
mais si, mais si :)
Dans le proverbe cité (qui vole un oeuf, vole un boeuf), il y a une erreur à l’emploi du verbe voler, puisque les “e” finaux ont été omis.
Que cette omission soit volontaire ou non, il s’agit d’une protection supplémentaire. Dans les écoles d’informatique on enseigne d’ailleurs à commettre volontairement ce genre de fautes dans le code source ou les commentaires du code source pour permettre une détection de gens qui auraient utilisé illicitement une copie de notre boulot, sans respecter la licence.
De très bons conseils, merci !
Toutefois, on dit qu’elles sont ancrées dans notre culture, et non “encrées” ;)
@Max ahhhh putain génial, depuis le temps que j’attendais cette feature ! Merci de l’avoir rajouté max, j’avais tellement la flemme de m’y coller.
Faudra faire un tampon ‘gros troll’, un autre ‘boulet’, ‘winner !’ :-p
@Nechouik et @kevin: merci pour ces détails, c’est corrigé. L’astuce sur les fautes volontaire est pas conne du tout.
D’accord pour créer un mot de passe.
Mais que proposez-vous pour avoir un mot de passe différent par site et les garder facile à mémoriser et à retrouver pour chaque site ?
Car avoir un un mot de passe, aussi compliqué soit-il à craquer, unique pour tous les sites d’un utilisateur représente une très mauvaise pratique..
Personnellement je retiens facilement un 10zaines de mots de passe avec ces techniques. Après pour le reste, la centaines d’autres, j’utilise last pass.
Si on est vraiment parano, on utilise last pass pour tous ses comptes, sauf sa banque et ses comptes mail. Ca suffit largement.
Si on est sysadmin et qu’on a des milliers de serveurs avec des mots de passe, il vaut mieux tous les centraliser dans un endroit, mais utiliser une authentification a quadruple facteur pour accéder à cet endroit (mot de pass + biométrie + clé privée sur drive + limité à une adresse IP). Par contre il faut avoir une bonne politique de backup car si on merde, on perd tout.
Le +sam dans l’adresse c’est une fonction antispam qui permet de donner un mail différent à chaque site ? C’est vraiment pas mal, je savais pas que gmail faisait ça. C’est con, je trouve pas la fonction dans opera mail, car c’est bien utile pour mettre à l’amende les connards qui vendent les listing.
Retenir une dizaine de mot de passe et savoir quel mot de passe correspond à quel site ? oO
Je crois qu’au dessus de 3 ou 4 je n’y arrivais plus…
Au final j’ai défini une convention. J’ai un mot de passe standard que je décline en fonction d’éléments du site web qui vont toujours être les mêmes, exemple : les 3 derniers caractères du nom du site.
MotDePasse123max
MotDePasse123ook
MotDePasse123gle
Si c’est 10 mots de passe complètement différents, je vois pas comment s’en sortir..
Oui en plus j’ai des mot de passe vraiment tordu des fois ^^
C’est ce que fait sebsauvage aussi.
Ca marche très bien contre les attaques automatiques, mais pas contre les attaques manuelles si un compte est compromis.
Cela dit il faut peser le ration contrainte/besoin. Combien de personnes ont besoin d’un haut niveau de sécurité ? Pour la plupart, 3 mot de passés difficiles à cracker et réutilisés un peu partout sera largement suffisant.
Vraiment super le tampon “Relis l’Article”, et l’idée des tampons “Gros Troll”, “winner”…
Ça devient indispensable pour améliorer la lisibilité et gagner du temps en éliminant les comms redondants.
D’ailleurs ça m’étonne que ce ne soit pas plus répandu.
tu m’en veux pas je teste mes nouveaux tampons ^^
ça me démange…
La technique des répliques de film ou de jeux ou de plein d’autre truc est vraiment bien, seul problème c’est que certain site impose un mots de passe de minimum 4 caractères et maximum 6 voir 10 caractères, et le plus souvent des sites importants.
ps : sympa les tampons
@kita59: il y en a même qui limitent le type de caractères que l’on peut utiliser. Mais dans ce cas on peut être sur que la sécurité de leur site est toute pourrie. Ne rien confier d’important à ce genre de sites. La force du mot de passe est du coup le dernier des soucis.
J’adore, j’veux voir les autres tampons :D
Perso pour les mdp, je me suis fait mon petit log qui triture l’adresse du site+mon mot de passe tout con pour m’en tirer un mdp de mini 21 caractères aléatoires :)
J’aimerais en faire une extension firefox si un jour j’arrive à comprendre comment on fait
Il va falloir faire très attention à ce que l’on écrit… ou alors désactiver css :)
@muchos: ouai mais y a que toi qui le verra pas. Tous les autres verront qu’on t’as mis à l’amende. C’est le but: la modération par la pression sociale ! :-)
Personnellement, je reste un inconditionel des théorèmes de physique ou de math (formation oblige…)
a^b=1=>a*u+b*v=1 (Bezout, incassable !)
dsigma/dt=somme(mOM^F) (Moments d’inerties, je pense…)
C’est bien mémorisable si on y touche un peu, et c’est très solide !
+1. Très bonne idée pour les matheux.
On ne le dira jamais assez:
– multipliez les méthodes, ce sera d’autant plus dur à casser.
– utiliser des méthodes obscures qui ne parlent qu’à vous. Le vocabulaire de votre métier ou de votre passion est un atout.
Un truc pas mal aussi, c’est la chimie, prendre un nom de molécule bien chiant, genre “théobromine” et l’arranger sauce leet : TObr0m!n3 :p
C’est mieux quand on en invente une qui n’existe pas évidemment ;)
C’est vraiment pas mal le coup de la chimie:
(2,2-Dimethyl-1,3-dithiolan-4-yl)methan-1-ol
Incassable.
Par contre ça parlera qu’aux chimistes. Mais au moins eux sont certains de ne pas oublier.
A Sam,
Vous avez omis de parler “du ratio de survie” je pense !
Amicales et respectueuses salutations.
J’m’incruste, mais les tampons “Boulet”, “Troll”, et “Relis l’article” m’ont juste tué… :D
ça tampone sec ^^