Dites, je viens d'avoir une idée. Bon c'est encore un truc bien tordu, comme souvent avec moi
PS : Bon, après relecture, je pense qu'un truc du genre doit sûrement déjà exister...
Dans les solutions actuelles pour stocker des mots de passe, ce qui me gène (personnellement, j'insiste, tout le monde ne pense pas pareil et c'est nomal) c'est qu'il faut :
- soit confier tous ses MDP à un gestionnaire de mots de passe
--> Il faut pouvoir faire confiance au logiciel, mais avec de l'open-source ça passe encore
--> Si jamais t'as un problème quelconque avec le logiciel en question, bah tu l'as dans le [
j'vous laissee trouver la rime tout seuls (en plus c'était pas volontaire)]. Alors là aussi il y a des solutions, mais d'une manière générale j'ai l'impression de ne pas réellement avoir le contrôle sur mes MDP.
- soit tout stocker sur un carnet, en clair
--> Il vaut mieux le stocker dans un endroit sûr, à l'abri des regards indiscrets. Mais du coup, si il faut s'embêter à aller le chercher à l'autre bout de la baraque à chaque fois que tu dois te connecter sur un site... c'est pas terrible.
--> Problème mineur, mais si on change de MDP régulièrement (ce qui est recommandé), ça fait pas mal de ratures quand même... (ou alors faut faire ça au crayon gris, le truc qui tient pas bien, qui fait sale, perso j'aime pas).
- je ne parle même pas de la possibilité de stocker ça informatiquement : faut beaucoup de précautions à prendre (un peu comme pour les clés privées)
Bref, voici mon idée tordue (tortue aussi, parce que si on fait tout manuellement, ça peut être assez long) :
- créer un mot de passe v1 en fonction de divers paramètres faciles à retenir, par exemple : mot de passe commun + partie du nom du site + année de création du MDP
On peut prendre un MDP "commun" (j'entends par là, qui est commun à plusieurs sites) assez simple. Le truc en rapport avec le site n'est pas forcément son nom, mais un truc en rapport et dont on peut se rappeler facilement ; il permet d'avoir un mot de passe différent pour chaque site. Pour l'année on peut se contenter de "18" pour "2018".
On obtient un MDP v1 assez long, mais dont les termes peuvent être devinés, donc en terme de sécurité c'est très moyen.
On peut soit retenir ces différents paramètres, soit les noter quelque part, perso j'opterais quand même pour le bon vieux carnet, mais c'est pas obligatoire.
- ensuite on crée simplement un MDP v2 en hachant le MDP v1, avec l'algo de votre choix. Cela donne une suite de chiffres et de lettres plus ou moins difficile à prévoir. En fonction de l'algo, le MDP v2 est plus ou moins long. C'est ce MDP v2 que l'on utilise.
Par exemple, avec pour MDP v1 : bitcoinkraken18, on a :
MD5 : 80aa15ad2a0e0da79d3b4b8e0ad860ef
SHA256 : 3D0C2F180DB8E2A6BE91B71668395DB7054C35033C398FBE036B602AEFB52306
Bien entendu, il convient de ne pas utiliser de site hashant le MDP en ligne.
Si le site demande un caractère spécial, on peu le stocker en clair sur notre carnet et l'ajouter à la fin du hash (ou à un autre endroit).
Pour les plus paranos (ou pour les sites les plus sensibles), on peut même utiliser une signature Bitcoin ou quelque chose du même genre, par exemple avec le même MDP v1 et l'adresse 1HZwkjkeaoZfTSaJxDw6aKkxp45agDiEzN,
on obtient la signature : GyJJVU37qJKvT4lvPkN5feFYUDkb/Scd/tzoN5crM1VN0kvf7FSSrOBPKlQRcGqca6TPSb3BSbX7yayS86MJMCY= (et au moins on n'est plus embêté pour les caractères spéciaux)
Voilà. On peut ensuite combiner ça à un gestionnaire de mots de passe, là au moins on ne risque normalement plus d'avoir des problèmes avec, car on a notre carnet pour dépanner (et on peut facilement changer de MDP, voir ci-dessous). Et ce carnet n'est plus un problème de sécurité : tant que personne ne connaît l'algo avec lequel vous hashez, tout va bien. Mieux encore : si vous signez avec votre adresse Bitcoin, quelqu'un en possession du fameux carnet ne pourra rien en faire s'il ne connaît pas votre clé privée.
Un autre avantage est qu'il est simple de changer ce mot de passe. Il suffit en effet de changer l'année dans le MDP v1 et le hash sera radicalement différent. Si le changement de mot de passe intervient plusieurs fois dans l'année, on peut évidemment rajouter le mois (utiliser "0618" par exemple).
J'aime bien ta methode surtout le fait que le mdp change totalement avec une simple petite incrémentation (=impossible pour les hackers de s'en servir ailleurs, tout en restant simple), en revanche la taille des mdp obtenus les rend tres lourds à utiliser et impossibles à mémoriser pour une utilisation quotidienne. Donc est-ce qu'il ne serait pas plus pratique de n'utiliser qu'une partie de ces hashs, par exemple les 6 premiers ou derniers caractères(ou autre) ?
J'aime un peu moins ta methode avec la signature car si tu paumes la clef privée tu perds tous tes mdp
PS: connais-tu des services de hash sur le web (idealement utilisables hors connexion)? je sais bien que c'est pas le plus conseillé mais bon les hackeurs ne verront pas les sites oú je compte les utiliser ni mon login et mon f2a même si ils decouvrent qu'il s'agit de mdp, et de toutes façons je vais générer plusieurs hashs pour brouiller les pistes donc bon risque tres limité IMO
).
