30 août 2018

Les mots de passe ....

Les mots de passe ....
Voilà tout un programme :) Mon boss est inquiet concernant des intrusions sur nos serveurs et la solidité de nos mots de passe. Plusieurs adresses IP externes ont été bloquées suite à des tentatives avec un grand nombre d'essais avec des autres mots de passe. Un genre d'attaque par la force brute mais sans résultat :)













Un de ses ami a reçu un courriel lui indiquant son émail et son mot de passe .... et ils ont essayé de lui faire débourser une belle somme d'argent en faisant du chantage avec soit-disant une saisie vidéo via sa webcam et une copie de son écran alors qu'il regardait un site porno sur le web!
Le mot de passe était obsolète, mais avait été actif il y a quelques années et il n'avait pas de webcam sur son pc :)

Mais quand même, il circule bien sur le NET des listes avec des logins et des mots de passe volés à des privés ou à des sociétés de commerce. Des listes de clients sont vendues par des commerçants du web peu scrupuleux ou piratées.
Alors on y trouve  peut-être les votre, ainsi que d'autres informations confidentielles sur vous .... C'est pour cela qu'il est important de changer régulièrement vos mots de passe et d'avoir plusieurs adresses émail.

On  revient souvent sur le sujet et il est bon de rappeler aux utilisateurs qu'il est très important d'avoir un ou des mots de passe solides et de les changer régulièrement, 6 mois à 1 année (ou plus) ! On évitera ainsi les mauvaises surprises sur le NET, usurpation d'identité, hameçonnage, phishing, ransomware ou autres filoutages.

Quelques règles de base
On ne donne jamais son mot de passe, ni aux parents, ni aux amis, ni aux collègues, vraiment à personne. Et encore moins aux sociétés,  commerces, banques, bref il est vraiment personnel et doit absolument rester secret. Une fuite est si vite arrivée!
Si vous devez le confier pour une noble raison, ne pas oublier de le changer après ...

Les bonnes pratiques
On ne note pas celui-ci sur un post-it, sur le  bureau, écran etc :)
Il ne doit être inscrit sur un papier dans vos portefeuilles et agendas !
Il ne doit pas être composé de vos noms, prénoms, pseudonyme, ou de ceux votre entourage.
Il ne doit pas y figurer des dates importantes de votre vie, naissance, mariage etc 
Il doit être doit être assez long, au minimum de 10 caractères, si possible plus  ...
Éviter la majuscule en début de mot, les chiffres et ou le caractère spécial en fin de phrase ...

Comment choisir 
Donc pour éviter les points vus ci-dessus, il est préférable d'utiliser des phrases qui elles sont plus facile à se rappeler, par exemple "Jechantedansmasalledebain".

Les pirates s'ils sont des proches, des collègues, le feront sur la connaissance d'éléments de votre vie et sur votre entourage. Pour les autres bandits, ils le feront sur la base d'éléments grappillés sur vous sur le NET, mais aussi avec des dictionnaires, des listes de mots de passe et des associations de mots et phrases courantes utilisées dans votre pays!

Il faut aussi penser à placer dans vos mots ou phrases des majuscules, minuscules, chiffres et caractères spéciaux :) Certains sites vous obligent à avoir cette approche!

Pour vous aider à vous rappeler plus facilement de votre mot de passe, une bonne idée est de prendre une phrase et de travailler dessus.

Par exemple
Je fais du vélo à trois roues! 
Ce qui peut donner :
Je_fais_du_vélo_à_3_Roues!  ou  Je_fdva3R! 

ou
Nous on surfe souvent à la montage!   (Pour la phrase de départ)
Nousonsurfesouventà1aMontagne!  
Nouonsursouà1amon!  (En prenant 3 lettres des mots de la phrase et le 1 pour le l)

 ou
J'ai cassé le do de ma clarinette!
J’èKc1eDo2maKlaRiNet!   par exemple

Encore mieux en essayant des mots qui n'ont rien avoir ensemble !!!
Chalet batterie corde plume
Chaletbatteriecordeplume

On peut aussi ouvrir un livre, une revue, une page web etc. et prendre les derniers mots des 4 ou 5 dernières lignes de la page courante pour constituer un groupe de mots !

La longueur fera aussi la différence ...  plus long, plus de temps pour décrypter.


Pour tester la solidité de vos mots de passe :  howsecureismypassword.net





Des solutions
Pour éviter de se prendre la tête, on peut utiliser des gestionnaires de mots de passe pour se simplifier la vie. En effet, il faut alors simplement avoir un bon mot de passe bien solide et facile à se rappeler, comme vu ci-dessus pour ouvrir le "coffre fort à mot de passes".


Ce coffre virtuel contiendra alors tous les mots de passe les plus fous pour vos connexions aux réseaux sociaux, banques, clubs et autres. Chacun pouvant être différents, de caractères très variés et hyper solide.
C'est ce logiciel qui les placera automatiquement pour vous dans les champs à renseigner pour faire vos login sur le NET.

Ces programmes vous proposent aussi de créer des mots de passes complexes,
par exemple :  1dS(mNp?4jN^a30@°q#zTy,n_gç]wS
Pas facile à le retenir, c'est alors le rôle de votre logiciel :)

Proposition de coffres fort à mots de passe
KeePass   Logiciel gratuit et sur votre machine
LastPass   Free en version simple ou d'essai, mais sur le cloud
DashLane  Free en version simple ou d'essai, mais sur le cloud...
liste non exhaustive ...
Sur le coup, alors facilité d'accès pour vos différentes machines, smartphones et tablettes. Mais peut être avec un risque de vol de vos informations.

Pour Keepass, le partage est possible sur Google Dive, myCloud.ch ou OneDrive par exemple, mais on y dépose alors seulement la base de données des clés déjà cryptée solidement et avec votre mot de passe fort :)
Alors c'est mieux pour le partage avec vos divers machines, amis ou collègues!
















Quelques liens sur le sujet:

Chez CCM, choisir un bon mot de passe
CERN, recommandations pour les mots de passe
Ministère de l'intérieur, Mots de passe
Chante ton mot de passe  
CNIL, conseils pour un bon mot de passe
Les meilleurs gestionnaires de mots de passe en 2018
Générateur de mots de passe
Pour vérifier si mon mot de passe est utilisé 
Pour vérifier si mon émail est compromis sur des listes ...

Crédit images:  Jean-Pierre Perroud (Blender)