Avez-vous des choses à cacher ? Seriez-vous vraiment à l’aise de laisser n’importe qui fouiller dans votre ordinateur ? Y avez-vous camouflé certaines pièces avouables, p.ex. numéros de carte, NAS, multiples ID, mots de passe, bref tout ce qui vous permet de rouler et consommer ? Ou y conservez-vous, enfoui bien creux, des documents inavouables, p. ex. les détails de votre compte de banque aux Bahamas ou de vos revenus au noir, à moins que vous soyez collectionneur de photos cochonnes ?
Si c’est votre cas, vous devez sûrement avoir un mot de passe inviolable pour vous prémunir contre les fouineux, ce qui inclut, je le suppose, votre conjoint(e). Même que vous en avez probablement plusieurs : un pour le POS du démarrage, directement dans le BIOS, un autre pour Windows et d’autres pour certains répertoires sensément « précieux ». Donc, j’en conclus que vous n’hésiteriez pas à demander à un hacker (au sens noble et non galvaudé du terme) de s’installer devant votre ordi pour s’amuser à déjouer vos défenses.
Non ? Vous auriez peur qu’il craque vos mots de passe ? Vous avez bien raison. De nos jours, il y a tellement d’outils spécialisés en circulation que de s’amuser à ce petit casse-tête est quasiment devenu un jeu d’enfant.
D’où l’intérêt de se rendre sur le site Passfault, une vraie bénédiction pour les gens qui estiment avoir besoin d’une solide protection et pour les entreprises qui n’ont pas de politique en ce qui a trait aux mots de passe. Il s’agit d’un mini service Web où on vous teste votre mot de passe en utilisant douze critères de vérification :
- Insertion de caractères : p. ex. nel$son
- Substitution de caractères : p. ex. nel$on
- Faute voulue : p. ex. nelsin
- Substitution décimale : p. ex. 243590
- À l’envers : p. ex. noslen
- Noms propres, dicos multilingues : p. ex. saguenay
- Caractères latins et cyrilliques au hasard : p. ex. lpa£#d
- Clavier multilingue : p. ex. dkfngi
- Séquence horizontale : p. ex. asdjkl
- Séquence diagonale : p.ex. wsxtfc
- Répétitions d’une séquence : p. ex. nelnelsonson
- Répétition d’une touche : p. ex. qqq111
La prise d’écran ci-haut vous présente le verdict quant au mot de passe que j’utilise présentement dans Windows et celle qui suit, le verdict quant à celui qui me sert sur le iCloud d’Apple.
Ce que vous voyez ci-après, c’est le verdict après avoir tapé mon code postal actuel suivi de mon ancien, ce qui donne douze caractères minuscules, à moitié chiffres, à moitié lettres.
Vais-je l’adopter ? Non, Il est bête. Pas besoin d’un hacker pour le craquer. Un simple flic avec un peu de discernement et des notes acceptables en Psycho 101 peut arriver à le déduire. Vais-je plutôt en imaginer un vraiment sérieux, du genre “suite de douze caractères pris au hasard” ? Comment vais-je faire pour le mémoriser ? Vais-je devoir l’écrire sur un Post-it ?
Dans mon cas, c’est là passer à côté de la question principale. Ai-je vraiment besoin, moi qui dispose d’un excellent mûr pare-feu, d’un mot de passe inviolable dans mon PC ? Je ne vous parle pas de l’obligation d’en avoir un pour les transactions en ligne, pour accéder aux réseaux sociaux, pour lire son courriel, etc. ?
Ici, c’est ma blonde qui s’occupe des finances. Son ordi est plein d’infos de ce type et la protection y est plus qu’adéquate. Or, il n’y a rien ayant cette valeur dans mes ordis à moi. Les criminels pourraient s’amuser à passer tous mes disques durs à la loupe, les seuls trésors soi-disant commercialisables qu’ils trouveraient n’auraient de valeur que pour moi. Voilà pourquoi, je viens de décider de conserver mes vieux mots de passe ringards. Je n’ai rien à cacher dans le sens que je ne possède absolument rien qui fasse saliver les cybermalfaiteurs.
Reste une question à laquelle je n’ai pas encore de réponse : si je vois ainsi cet aspect de ma sécurité informatique, pourquoi ai-je un mot de passe pour mes sessions Windows, Ubuntu et OS X ? Bonne question ! Je vais y réfléchir.
Voué à un avenir brillant dès sa naissance, Nelson s’est néanmoins pris les pieds dans un ordinateur répandu partout dans un motel désaffecté et ne s’en est pas vraiment remis. C’était à Rimouski en 1981 et le monstre de 64 Ko, une sorte de tombeau en mélamine blanche, cahotait en CP/M, souffrait en anglais et tombait régulièrement mort. Avec l’acharnement d’un anthropologue fou, Nelson recherche depuis lors un ordinateur qui fonctionnera sans défaillance, sans souffrir ni faire souffrir, et cela dans une langue intelligible. Si jamais il trouve, il vous en fera part. C’est juré !
Pour une présentation de ce webzine 
Twitter
Facebook
9 h 21 min
Pour répondre à ta question, il faut dire que la sécurité est une affaire d’habitudes comme bien d’autres choses.
Même sans avoir un besoin immédiat de sécurité, il est bon d’avoir un comportement sécuritaire.
Relâcher notre vigilance peut nous conduire à faire une erreur et ouvrir une faille à un moment critique.
C’est comme les pompiers qui s’entraînent quand il n’y a pas de feux juste pour garder la forme et les bons réflexes.
Je ne connais personne qui s’est plaint d’avoir été trop prudent.
Bonne journée!
Cotez ce commentaire:
19 
0
9 h 22 min
Dire qu’il y a tants d’entreprises où les utilisateurs non pas de mots de passe!!!
Cotez ce commentaire:
5 
1
9 h 42 min
Souvent une phrase de quelques mots (par exemple: “Ceci est mon mot de passe!”) est beaucoup plus sécuritaire qu’une suite de caractères aléatoires et surtout beaucoup plus facile à retenir. Dans le cas où les espaces ne sont pas permis, on peut toujours les omettre. Pour ma part, j’utilise une phrase d’une chanson que j’aime bien.
Cotez ce commentaire:
10 
3
9 h 58 min
Le meilleur truc est de prendre une phrase et d’utiliser les premières lettres de chaque mot. Par exemple : “Ah! Comme la neige a neigé! Ma vitre est un jardin de givre” devient A!clnan!Mve1j2g. C’est un mot de passe extrêmement difficile à pirater (majuscule, caractères, majuscules, chiffres) et pourtant, très facile à retenir!
Cotez ce commentaire:
9 
2
11 h 06 min
Si on choisit un poème dont la première lettre de chaque ver forme un mot, c’est encore plus facile à retenir.
J’ai choisi mon premier mot de passe sur un système multi-usagers APL au CEGEP. Complètement paranoïaque, j’avais choisi une suite aléatoire de chiffres et de lettres, que j’ai promptement oublié.
J’ai du, la bite sous le bras, aller quêter un nouveau compte a mon professeur, qui m’as regardé comme si j’étais très très épais.
Depuis ce temps, j’ai développé une attitude assez pragmatique face aux mots de passe. Une part mnémonique, une part aléatoire et pas de prénoms de mes enfants.
De toute façon, pour combien de sites avez-vous des mots de passe et puis-je voir le calepin ou vous les avez notés?
Je n’ai pas d’information vraiment confidentielle sur mon portable comme NAS, carte de crédit, etc.
Je refuse systématiquement que Firefox note mes mots de passe.
Ce qui m’énerve le plus, ce sont les sites importants pour mes finances, que me force a changer mon mot de passe chaque 3 mois et que je ne visite qu’une fois tous les 2 mois. L’enfer.
Et chaque fois que je vois un film ou un hacker interprété par un nerd boutonneux ou une très jolie jeune femme dévisse un mot de passe en 27 secondes et bien ça me fait doucement rigoler.
Quelqu’un a vu l’épisode de Criminal Mind ou les profilers, tous psychologues, devinent le mot de passe d’un psychopathe génial et expert en informatique.
Cotez ce commentaire:
8 
0
11 h 03 min
1Password! est un utilitaire tellement génial pour ça!
Cotez ce commentaire:
4 
2
11 h 06 min
Bonjour Nelson une façon simple de ne pas oublier un mot de passe complexe. Tu peux utilisé la première lettre des mots d’une phrase faisant partie du refrein d’une de tes chansons préférées en lui ajoutant quelque caractere speciaux et ou chiffre au debut ou a la fin.
Voici mon resultat :
2 centuries, 1 decade
Total Passwords in Pattern:
6 Quadrillion
Cotez ce commentaire:
2 
5
12 h 26 min
Sauf que pour afficher ce résultat, tu viens d’entrer ton mot de passe sur un site web plus ou moins fiable. Ce site doit probablement sauvegarder tous les mots de passe qui y sont entrés et en générer des listes. Ces listes de mots de passe sont ensuite probablement vendus aux plus offrants (hackers, crackers, pirates, etc…).
Cela fait longtemps que les hackers n’utilisent plus de générateurs aléatoires de mots de passes mais se base plutôt sur des listes de mots de passe réellement utilisés.
A méditer…
Cotez ce commentaire:
23 
0
15 h 06 min
A ce petit détail près que le truc en question est open source… Si vous avez un doute, rien ne vous empêche d’aller jeter un coup d’oeil au script (en JAVA) et vérifier si il conserve les mots de passe…
Cotez ce commentaire:
4 
2
15 h 59 min
Pas besoin de code spécifique pour sauvegarder les mots de passes. Ceux-ci pourrait être récupérer à partir de l’historique des requêtes du serveur web.
Cotez ce commentaire:
1 
0
11 h 58 min
Reste une question à laquelle je n’ai pas encore de réponse : si je vois ainsi cet aspect de ma sécurité informatique, pourquoi ai-je un mot de passe pour mes sessions Windows, Ubuntu et OS X ?
Pour vous prémunir contre les dégâts que le petit-fils pourrait bientôt causer…
Cotez ce commentaire:
10 
0
12 h 09 min
Accès à mes OS: moins d’un jour pour les raisons que Nelson donne plus haut.
Mon compte iCloud?: quatorze siècles. Bof!
Accès à mon Wi-Fi: 9.7 x 10 à la 63 siècles. Pas mal. Surtout si l’on considère qu’il est insuffisant pour entrer sur mon réseau puisque j’ai désactivé les serveurs DHCP. Il faut donc en plus que l’on me donne l’adresse MAC de l’appareil qui veut un accès afin que je lui attribue manuellement une adresse IP.
Cotez ce commentaire:
8 
0
12 h 15 min
En tout cas, si je voulais recueillir des mots de passe, je ferais un site comme Passfault!
Cotez ce commentaire:
14 
0
14 h 23 min
Le plus important est la longueur beaucoup plus que la complexité. Par exemple, une suite de 6 caractères totalement aléatoire prendra au plus quelques semaines par force brute.
Une phrase longue, facile à retenir, mais n’ayant aucun sens sera infiniment plus difficile à cracké. Par exemple, “Le ciel est poilu” demande 636000 siècles…
Bref, le point est que les politiques de mot de passe souvent en vigueur amènent les gens à avoir une fausse impression de sécurité en utilisant des mots courts mais complexes (en plus d’être difficile à retenir) alors que des phrases simples mais longues sont beaucoup plus efficaces.
Cotez ce commentaire:
8 
0
16 h 21 min
@CarlJF
« une fausse impression de sécurité »
Parlant d’impression de sécurité, cela me rappelle l’histoire d’une fille que j’ai connue dans ma jeunesse et qui me disait qu’il n’y avait pas de danger qu’elle tombe enceinte parce qu’elle gardait ses bas-culottes quand elle faisait l’amour avec son « chum ».
Je lui ai expliqué la différence entre un condom et des bas-culottes, elle a refusé de me croire parce que, disait-elle, son « chum » n’était pas un ignorant ni un menteur.
Vous pouvez deviner la suite, elle est tombée enceinte et le « chum » a déguerpi.
Pour la phrase longue, c’est un peu la même chose.
La phrase n’a pas à être longue, il faut juste lui insérer quelques chiffres placés à différentes places dedans. Par exemple : Mon toupet frise + 492, fera le mot de passe Mon4toupet9frise2, facile à retenir et difficile à craquer.
Bonne soirée!
Cotez ce commentaire:
4 
0
16 h 59 min
Même si personne ne semble ici tomber dans la paranoia, il ne faut quand même pas oublier que Passfault fait la supposition que le cracker peut tester autant de mot qu’il le veux, avec un délai nul entre chaque test. Si qui peut être le cas, par exemple, d’un quelqu’un tentant de déchiffrer un fichier encrypté auquel il a accès. Sous ces conditions, il est possible de tester des millions de de combinaisons par seconde. D’où l’importance d’utiliser un mot de passe très fort.
Par contre, si l’on parle de mot de passe pour des comptes ou service en ligne, la situation est bien différente. Le délai entre le moment où la requête est envoyé et celui ou le site retourne la réponse limite grandement la vitesse à laquelle les combinaisons peuvent être testés. Peut-être quelques dizaines d’essai par seconde. Un mot de passe en apparence faible devient alors tout de même difficile à cracker simplement parce qu’il est impossible de tester rapidement un grand nombre de combinaisons. Un 6 à 8 caractères au hasard est donc amplement suffisant pour des sites internets, surtout si l’on parle de sites avec des informations relativement sans importance comme des forums de discussion. L’important est alors de ne pas utiliser le même mot de passe pour tous les sites. Ou, à tout le moins, avoir des mots de passe uniques pour les sites sensibles, comme votre compte de banque.
Cotez ce commentaire:
6 
0
17 h 01 min
Désolé pour les coquilles dans le texte plus haut, j’ai involontairement cliqué sur envoyer. Maudit touchpad!
Cotez ce commentaire:
2 
0
23 h 09 min
4toupet ça prend un s. Et pis en rajoutant un s, c’est plus difficile à craquer.
Cotez ce commentaire:
4 
0
15 h 27 min
Personnellement, j’utilise KeePassX du fait qu’il est disponible pour OS X, Linux et aussi pour les utilisateur des SE de l’Empire.
Image 1: Logo KeePassX
POUR LES UTILISATEURS DE OS X
Combien de fois, sous OS X, vous demande-t-on d’entrer un mot de passe mais qu’il n’est pas possible d’utiliser la commande «Édition / Coller» ?
Se désagrément est facilement contourné à l’aide du langage de programmation AppleScript en utilisant l’outils Automator afin de créer un service pour prendre le contenu du presse papier et simuler une entré manuelle au clavier. C’est le principe sur lequel reposent les programmes Visualiseur de caractères ainsi que Visualiseur de clavier.
Image 2: Menu langue et texte
Voici une démonstration lorsque je monte une image disque de faible densité cryptée avec AES-256.
Je débute avec l’utilitaire KeePassX afin d’y prendre le mot de passe, que je ne suis pas en mesure de retenir, et de copier celui-ci dans le presse papier.
Image 3: KeePassX
Je positionne le curseur dans le champ de saisie du mot de passe
Image 4: Saisie du mot de passe
Il me suffit d’invoquer le service SuperPaste (le nom choisie ne fait que refléter la nature du service, vous pouvez le nommer selon votre préférence) à partir de la serction Services du menu Applicatif de la barre de menu.
Image 5: Service SuperPaste
Le contenu du presse-papier apparaît donc dans le champ où nous est demandé le mot de passe. Il ne suffit que de presser le bouton OK,
Image 6: Saisie du mot de passe
Et voilà! Comme nous pouvons le voir dans le Finder, l’image disque est montée.
Image 7: Image disque montée
Voici le code source du Service SuperPaste dans l’outil Automator
Image 8: Code source
Afin d’activer ce service, il ne suffit que de copier le fichier dans le répertoire «/Users/{nom d’utilisateur}/Library/Services» pour qu’il soit disponible dans le menu Services
Les prise d’écran on été réalisée avec l’utilitaire Snagit pour Mac de TechSmith..
Image 9: Snagit
Vous trouverez l’article complet en suivant ce lien.
Cotez ce commentaire:
0 
0
15 h 49 min
https://lastpass.com/
Cotez ce commentaire:
1 
0
16 h 41 min
Également un utilitaire portable est gratuit.
http://www.softweerd.com/softweerd/passweerd.html
Une idée que j’utilise depuis longtemps le deux premières lettre de mon père ensuite ma mère etc en plus leur jour de naissance le compte y est.
Cotez ce commentaire:
1 
0
17 h 47 min
Merci pour cet article très pertinent. Je ne compte plus mes amis et clients qui se sont fait pirater leur compte Hotmail depuis un an ou deux, et pour la grande majorité d’entre eux ils avaient pour mot de passe un simple mot du dictionnaire comme «aspirateur».
J’ai aussi eu ce genre de mot de passe dans les début du Web, mais c’est beaucoup trop risqué maintenant.
Ici un graphique où il est bien expliqué comment «réussir son mot de passe» : sensiblement http://xkcd.com/936/
Cotez ce commentaire:
1 
0
20 h 32 min
Pour le piratage de comptes Hotmail et autres Gmail, un truc que j’ai remarqué est que, assez souvent, les gens à qui cela arrive utilisent le même mot de passe pour s’inscrire sur différents sites ou forums.
Et la sécurité de ces sites est souvent aléatoire. Il est assez fréquent de voir un forum se faire hacker d’une manière ou d’une autre. Une fois que le pirate a obtenu la liste des membres, leurs emails et mots de passe, c’est assez facile de faire le tri pour tester lesquels utilisent le même mot de passe pour le forum et pour la messagerie…
Cotez ce commentaire:
5 
0
21 h 27 min
Pour Google, la solution: Authenticator
http://goo.gl/w9kT4
Cotez ce commentaire:
0 
0
17 h 49 min
(notez que je ne comprends pas moi non plus ce que le mot «sensiblement» vient faire là) :-O
Cotez ce commentaire:
1 
0
17 h 52 min
Encore ue question naîve, parce que je suis trop paresseux pour aller chercher:
1) Lors de la création de mon mot de passe, un site web bien intentionné va envoyer a mon fureteur l’algorithme de hashing, salting et les clés afférentes. Mon fureteur va envoyer au site web le mot de passe encrypté par hashing.
2) Par la suite, mon fureteur utlisera le même hashing code pour coder ce que j’entre comme mot de passe.
Conclusion, mon mot de passe reste inconnu du site web?
Mais qu’est-ce qui me garantie qu’un site mal concu n’enverra pas mon mot de passe en clair?
Cotez ce commentaire:
2 
0
18 h 28 min
@ Cowboy
« Mais qu’est-ce qui me garantie qu’un site mal concu n’enverra pas mon mot de passe en clair? »
Facile! C’est le petit cadenas dans le coin du navigateur.
Pas de cadenas = texte en clair
Bonne soirée!
Cotez ce commentaire:
5 
0
1 h 40 min
Le cadenas me garantit que la communication entre moi et le site web est encodée et qu’une tierce partie ne peut le lire. Ça me garanti aussi que la chaine de certificat remonte a une organisation crédible.
Mais est-ce que le site web, lui, peut voir mon mot de passe en clair une fois qu’il l’a décodé. Dans un système informatique sécure, les mots de passe sont toujours stockés hashé donc non-décodable même par un admin.
Cotez ce commentaire:
1 
0
7 h 51 min
@ Cowboy
« Dans un système informatique sécure, les mots de passe sont toujours stockés hashé donc non-décodable même par un admin. »
C’est la norme chez certaines compagnies respectueuses des standards de sécurité, comme les multinationales et les banques.
Mais c’est une autre affaire avec d’autres qui considèrent qu’elles ont un droit de regard sur tout ce qui transite sur leurs serveurs. J’ai assisté à de violents débats entre tenants du respect de mesures de sécurité irréprochables et ceux qui pensent que ce n’est pas important.
Il est très difficile de savoir ce qui se passe à l’intérieur des organisations et donc rien n’est garanti. La lecture des politiques peut confirmer le respect des normes ou donner des indices du non-respect.
Bonne journée!
Cotez ce commentaire:
0 
0
10 h 20 min
Petite question. Est-ce que la navigation inprivate marche pour protéger les mots de passe?
Merci!
Cotez ce commentaire:
0 
0
18 h 29 min
Sujet de méditation du Dalaï : “Un douchebag qui utilise un touchpad… ça en fait un douchepad?”
* ça renmieute pas, docteur… *
Cotez ce commentaire:
5 
1
18 h 44 min
Personnellement, j’utilise KeePassX du fait qu’il est disponible pour OS X, Linux et aussi pour les utilisateur des SE de l’Empire.
POUR LES UTILISATEURS DE OS X
Voir ma réponse sur Posterous
(j’ai essayé de la mettre en ligne ici mais ça ne semble pas fonctionner)
Cotez ce commentaire:
0 
0
20 h 29 min
Une mini BD (en anglais) qui illustre bien le sujet:
http://xkcd.com/936/
Cotez ce commentaire:
0 
0
21 h 48 min
Un seul mot de passe horriblement complexe pour tout, absolument tout.
Sauf mes “finances” qui ne sont pas sur le net, livret Desjardins, guichets automatiques et accès-D téléphonique. Point.
Cotez ce commentaire:
0 
0
22 h 50 min
C’est le JEDI YODA qui doit en générer des bons, des mots de passe…
“Lui pour facile car JEDI mêlé être indécodable lui même en clair… Ah pis, de la marde tous en mangez donc en passe de mot avec… m’énarve ça!”
Cotez ce commentaire:
3 
2
1 h 50 min
Comprendre Yoda je puis mais mêlé je vais te lisant.
Cotez ce commentaire:
0 
0
23 h 02 min
”Si on choisit un poème dont la première lettre de chaque ver forme un mot, c’est encore plus facile à retenir.”
Tu fais référence au poème Voyelles?
Je ne crois pas que ce soit une très bonnebonne idée ;op
Cotez ce commentaire:
0 
0
1 h 48 min
Ces trucs-la portent un nom, ce sont des acrostiches, parait-il.
Merci Google, je me couche moins niaiseux que je me suis levé.
Cotez ce commentaire:
1 
0
11 h 57 min
Tu es pas mal négatif envers toi-même. Tu devrais plutôt dire, je me couche plus intelligent que quand je me suis levé.
Cotez ce commentaire:
0 
0
13 h 09 min
Cowboy.
Si tu veux te coucher plus intelligent et émoustillé en plus, lis les poèmes que George Sand et Alfred de Musset échangèrent. Il faut prendre le premier mot de chaque vers…
Quand je mets à vos pieds un éternel hommage
Voulez-vous qu’un instant je change de visage ?
Vous avez capturé les sentiments d’un cœur
Que pour vous adorer forma le Créateur.
Je vous chéris, amour, et ma plume en délire
Couche sur le papier ce que je n’ose dire.
Avec soin, de mes vers lisez les premiers mots
Vous saurez quel remède apporter à mes maux.
La réponse :
Cette insigne faveur que votre cœur réclame
Nuit à ma renommée et répugne à mon âme.
Comme tout le monde le sait, George était le nom de plume de Amantine, nom prédestiné pour une libertine
Alex
Cotez ce commentaire:
0 
0
9 h 08 min
J’ai testé, pour le plaisir, mon mot de passe de routeur: 302618 siècles pour le déchiffrer et 916 Quintillions de possibilités. Je me sens en sécurité pour un p’tit bout encore!!!
Cotez ce commentaire:
0 
0
19 h 18 min
J’ai un mot de passe de plus de … 22 caractères avec :
1. une année importante et les initiales majuscules de ma blonde de l’époque
2. une autre année importante avec les initiales minuscules de ma blonde de l’époque
3. une autre année encore et idem encore avec majuscules
4. un mot au centre de tout ça qui peut être changé à l’occasion avec un chifre intercalaire qui peut être changé également
5. ce tout soupoudré de signes diacritiques à divers intervalles
6. le tout n’a aucuns sens pour personnes … à part moi !
Voîlà !
pb
Cotez ce commentaire:
0 
0