Topic: Testez la sécurité de votre mdp (site éducatif) - page 3. (Read 847 times)

Dites, je viens d'avoir une idée. Bon c'est encore un truc bien tordu, comme souvent avec moi 

PS : Bon, après relecture, je pense qu'un truc du genre doit sûrement déjà exister...


Dans les solutions actuelles pour stocker des mots de passe, ce qui me gène (personnellement, j'insiste, tout le monde ne pense pas pareil et c'est nomal) c'est qu'il faut :

- soit confier tous ses MDP à un gestionnaire de mots de passe
   --> Il faut pouvoir faire confiance au logiciel, mais avec de l'open-source ça passe encore
   --> Si jamais t'as un problème quelconque avec le logiciel en question, bah tu l'as dans le [j'vous laissee trouver la  rime tout seuls (en plus c'était pas volontaire)]. Alors là aussi il y a des solutions, mais d'une manière générale j'ai l'impression de ne pas réellement avoir le contrôle sur mes MDP.

- soit tout stocker sur un carnet, en clair
   --> Il vaut mieux le stocker dans un endroit sûr, à l'abri des regards indiscrets. Mais du coup, si il faut s'embêter à aller le chercher à l'autre bout de la baraque à chaque fois que tu dois te connecter sur un site... c'est pas terrible.
   --> Problème mineur, mais si on change de MDP régulièrement (ce qui est recommandé), ça fait pas mal de ratures quand même... (ou alors faut faire ça au crayon gris, le truc qui tient pas bien, qui fait sale, perso j'aime pas).

- je ne parle même pas de la possibilité de stocker ça informatiquement : faut beaucoup de précautions à prendre (un peu comme pour les clés privées)


Bref, voici mon idée tordue (tortue aussi, parce que si on fait tout manuellement, ça peut être assez long) :

- créer un mot de passe v1 en fonction de divers paramètres faciles à retenir, par exemple : mot de passe commun + partie du nom du site + année de création du MDP
On peut prendre un MDP "commun" (j'entends par là, qui est commun à plusieurs sites) assez simple. Le truc en rapport avec le site n'est pas forcément son nom, mais un truc en rapport et dont on peut se rappeler facilement ; il permet d'avoir un mot de passe différent pour chaque site. Pour l'année on peut se contenter de "18" pour "2018".
On obtient un MDP v1 assez long, mais dont les termes peuvent être devinés, donc en terme de sécurité c'est très moyen.
On peut soit retenir ces différents paramètres, soit les noter quelque part, perso j'opterais quand même pour le bon vieux carnet, mais c'est pas obligatoire.

- ensuite on crée simplement un MDP v2 en hachant le MDP v1, avec l'algo de votre choix. Cela donne une suite de chiffres et de lettres plus ou moins difficile à prévoir. En fonction de l'algo, le MDP v2 est plus ou moins long. C'est ce MDP v2 que l'on utilise.
Par exemple, avec pour MDP v1 : bitcoinkraken18, on a :
MD5 : 80aa15ad2a0e0da79d3b4b8e0ad860ef
SHA256 : 3D0C2F180DB8E2A6BE91B71668395DB7054C35033C398FBE036B602AEFB52306
Bien entendu, il convient de ne pas utiliser de site hashant le MDP en ligne.
Si le site demande un caractère spécial, on peu le stocker en clair sur notre carnet et l'ajouter à la fin du hash (ou à un autre endroit).

Pour les plus paranos (ou pour les sites les plus sensibles), on peut même utiliser une signature Bitcoin ou quelque chose du même genre, par exemple avec le même MDP v1 et l'adresse 1HZwkjkeaoZfTSaJxDw6aKkxp45agDiEzN, on obtient la signature : GyJJVU37qJKvT4lvPkN5feFYUDkb/Scd/tzoN5crM1VN0kvf7FSSrOBPKlQRcGqca6TPSb3BSbX7yayS86MJMCY= (et au moins on n'est plus embêté pour les caractères spéciaux)


Voilà. On peut ensuite combiner ça à un gestionnaire de mots de passe, là au moins on ne risque normalement plus d'avoir des problèmes avec, car on a notre carnet pour dépanner (et on peut facilement changer de MDP, voir ci-dessous). Et ce carnet n'est plus un problème de sécurité : tant que personne ne connaît l'algo avec lequel vous hashez, tout va bien. Mieux encore : si vous signez avec votre adresse Bitcoin, quelqu'un en possession du fameux carnet ne pourra rien en faire s'il ne connaît pas votre clé privée.

Un autre avantage est qu'il est simple de changer ce mot de passe. Il suffit en effet de changer l'année dans le MDP v1 et le hash sera radicalement différent. Si le changement de mot de passe intervient plusieurs fois dans l'année, on peut évidemment rajouter le mois (utiliser "0618" par exemple).

Certes, mais tu as un tas de sites bidon dont tu te fous qu'on trouve ton mdp non ? pour ces sites tu en utilises 3-4 assez faible.

Edit : pour la confiance je ne parlais pas des sites qui veulent t'escroquer, mais plutôt de dépendre d'eux. Je me suis mal exprimé.

Pour le coup Keepass est un logiciel open source et très connu, donc normalement c'est plutôt fiable ^^
Sinon pour la mémoire je suis plutôt d'accord, mais qu'en t'en as vraiment trop c'est plus possible pour un garder un différent et très complexe pour chaque site.

En fait j'ai une technique qui en vaut une autre : à chaque nouveau mot de passe (je les prends souvent vraiment compliqué/prise de tête), je l'apprends durant un mois, en me le répétant plusieurs fois par jour, puis juste le soir et matin. Et il reste des années en mémoire.
Il y a aussi toutes les occasions ou ont peut tous se les répéter, quand on s'ennuie (file d’attente, transport, garde à vue, nana qui te raconte sa journée, etc..).

Cette technique n'est pas mal non plus :

Ahah, c'est vrai que de nos jours on a tendance à chercher des substitues à tout, même à notre mémoire.
Quand je pense que certains ne connaissent pas leur propre numéro de téléphone...
Tu m'a convaincu John, je vais essayer de les apprendre, et bien sur je les conserverais dans un carnet au cas ou 

Le coup des trillions de trilliard d'années à craquer un mot de passe, vous croyez vraiment que c'est pertinent / vrai ? J'ai du mal à y croire vraiment. Certes ça va prendre du temps à craquer, mais bon, prendre plus de temps que le temps lui-même c'est chelou non ?

Sinon tu adoptes un enfant à chaque fois que tu as besoin de creer un pass, et tu rajoute son prenom à un mot de passe que tu utilises régulièrement.

Sauf que le site n'a pas ton adresse mail, au mieux il le colle dans une base de données de mdp comme on en trouve tant, il suffit de changer quelques caractères.


Ou tatoué sur le bras.

Aucune confiance dans ces sites et surtout ce n'est pas l'idée du siècle de ne pas faire travailler sa mémoire.

oui, oui, c'était denisdenis je crois... il s'agissait d'un site qui se présente comme une bibliothèque universelle mais qui est en fait un aspirateur...
il m'avait piégé et il a pu ainsi gagner les milli bitcoins que j'avais offert à celui qui trouverait la solution d'un petit jeu que j'avais soumis au forum.

Comme pour les clés privées, faut pas donner ça à n'importe qui.
Je crois qu'il y a quelques temps quelqu'un (bon, en fait je ne sais plus qui, ni quand, ni où sur ce forum...) avait donné l'url d'un site qui vérifiait je sais plus quoi, il fallait ajouter la clé privée à la fin de l'url. Genre le truc qui pourrait faire pas mal de ravages...

Bonjour,
Merci pour l'outil et ce petit rappel toujours utile, car la première des règles de sécurité commence par l’interface entre la chaise et le clavier. Nous disposons de tellement de comptes que nous devons trouver des astuces pour générer et mémoriser tous ces mots de passe. J’ai effectué quelques tests et dans l’ensemble, même pour des mots de passe à consonance française, la variation des degrés de complexité restitués par l’outil me semble en adéquation avec mes saisies.
Comme le précise @Becassine, il ne faut surtout pas indiquer un vrai mot de passe car un tel outil pourrait aussi collecter les informations.

Oui, au final un bon vieux carnet à coté du PC c'est bien le plus efficace

Bah tu évites ça, grâce à un backup du gestionnaire ^^
(tu peux aussi les écrire sur papier et les stocker dans un endroit sécurisé)

En revanche :

ar1#g47$t
--> 9 caractères, 16h

aaaaaaaaa
--> 9 caractères aussi, 2 minutes

Comme quoi  

---

Bon sinon, perso j'ai un peu de mal avec les gestionnaires de mots de passe.
Si par malheur tu perds l'accès à ton gestionnaire, ça se passe comment ?

J'utilise my brain et ça fonctionne très bien.

Pour gérer les pass multiples pour chaque sites il y a pas le choix faut un gestionnaire, tu en as des gratos, des payants... Perso j'utilise Enpass mais il y a aussi Keepass, revelation etc...

14.9 de tête. : 13.75 : https://www.astronomes.com/lunivers/hubble-age-univers/

mais ça ne me donne pas mon 10 puissance 51 ;)

(20 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 d'années ; mais ça ne m'avance pas trop non plus).

pour avoir un ordre de grandeur, selon certaines sources, l'âge de l'univers est de l'ordre de 10 puissance 10 années.
selon d'autres sources, l'âge de l'univers est de 5 779 ans.
pour réconcilier les deux sources, http://www.leava.fr/cours-torah-judaisme/science/1138_le-monde-a-5774-ans-ou-15-milliards.php

https://fr.wikipedia.org/wiki/%C3%89chelles_longue_et_courte

sinon ça passe pas.

donc 10 puissance 51 années... je sais pas trop ce que ça donne. merci ;)