1,2 milliard de mots de passe volés ! Les techniques pour en choisir un nouveau

Le par  |  14 commentaire(s)
censure

Une tribune de Xavier Dreux, Responsable Marketing chez Prim'X, après l'annonce par Hold Security du vol de 1,2 milliard d'identifiants en ligne par un cybergang russe.

Le groupe de pirates Russe CyberVor aurait en sa possession 1,2 milliard d'identifiants et mots de passe. Si l'information est vraie, changer de mots de passe n'est peut-être pas une mauvaise idée. Cela implique d'en créer un ou plusieurs idéalement longs, compliqués et uniques pour chaque service ou application. Mais cette multiplication des secrets à retenir implique de trouver une solution pour se simplifier la vie tout en conservant une véritable sécurité.

PasswordCar en matière de création de mot de passe, il y a une grosse marge de progression qui peut-être réalisée pour optimiser la sécurité. Ainsi, selon une étude d'Ofcom, plus de la moitié des internautes utilise le même mot de passe pour leurs différents comptes. Et selon le cabinet d'expertise Deloitte, 91 % des mots de passe utilisés seraient facilement piratables. Cela signifie que même si l'on fait l'effort d'utiliser plusieurs mots de passe, ceux-ci se révèlent souvent facile à identifier en raison de leur simplicité et du manque de longueur. Le piratage de l'un des comptes peut donc remettre en question la sécurité de plusieurs autres ainsi que les données personnelles disponibles sur ces derniers.

Il existe pourtant plusieurs solutions qui permettent de créer et de sécuriser différents mots de passe.


Créer un mot de passe efficace

Pour être efficace, mieux vaut qu'un mot de passe n'ait aucune signification, utilise un grand nombre de caractères ( idéalement associant chiffres et lettres ) et évite les suites logiques et les éléments à caractères personnels. On évitera ainsi d'utiliser les prénoms de personnes de son entourage, les dates importantes, les références à des lieux d'habitation, ainsi que les suites de chiffres ou de lettres, etc. Et mieux vaut éviter d'en choisir un figurant parmi la liste des 25 mots de passe les plus courants utilisés sur Internet et donc les plus facilement piratables.

Parmi les différentes techniques pour élaborer un bon mot de passe, l'une des plus commode consiste à démarrer d'une phrase que l'on retiendra puis d'utiliser l'une des techniques suivantes:

  • Utiliser des acronymes : ne garder que la première lettre des différents mots qui compose une phrase. Exemple : « j'adore créer des mots de passe très compliqué » donnera « jcdmdptc ».
  • S'appuyer sur la phonétique et le langage SMS : il s'agit d'écrire les mots de votre phrase phonétiquement et de remplacer certains mots par des lettres majuscules ou des chiffres. Exemple : « j'aime les mots de passe » devient « jMlesmot2pas ».
  • Utiliser le Leet Speak : l'usage le plus courant consiste à remplacer certaines lettres par des chiffres visuellement proches ( on remplace les e par des 3, les o par des 0, les s par des 5 ). Exemple : « créer un mot de passe » se transformera en « cr33r un m0t d3 pa553 ».
  • Associer des lettres du service demandant le mot de passe : si l'on reprend le mot de passe acronyme pour un compte sur le site Facebook on peut y associer les deux premières lettres de la plateforme ( ou la première et la dernière ) au début ou à la fin. Exemple : pour Facebook « jcdmdptc » peut devenir « fajcdmdptc ou jcdmdptcfa » ou bien « fkjcdmdptc ou « jcdmdptcfk ».

Il est bien sûr conseiller d'utiliser des majuscules et caractères spéciaux dans vos mots de passe et bien sûr de ne jamais divulguer ces derniers à un tiers.


Comment sécuriser un mot de passe ?
La première protection concerne comme nous venons de le voir le choix d'un mot de passe de qualité, fort et donc difficilement attaquable. Mais un gros problème demeure et prend même de plus en plus d'ampleur : la mémorisation de tous ces mots de passe longs et compliqués.

Il existe des solutions. Wabiz ( ndlr : une application payante éditée par Prim'X ) qui fonctionne sur les Smartphones et vous accompagne partout est de celles-ci.

L'application propose un Carnet Secret de mots de passe qu'il suffit de consulter pour avoir accès aux précieux sésames de tous les sites que l'on consulte. Wabiz permet de stocker les mots de passe en toute sécurité. Il suffit alors de se souvenir d'un seul mot de passe bien choisi qui permet de lancer l'application et d'accéder au carnet secret où est protégé, tel un coffre fort électronique, sa bibliothèque personnelle de mots de passe.

Wabiz va non seulement stocker de façon sécurisée ( cryptage AES ) les mots de passe mais aussi vous permettre d'échanger des messages cryptés avec qui vous voulez par emails ou par SMS.

Complément d'information
  • UFC-Que Choisir : le
    Trop floue ? La notion de gestion "en bon père de famille" inscrite dans les conditions d'utilisation du service Free Mobile ne passe décidément pas pour l'UFC-Que Choisir qui menace de lancer une procédure pour obliger l'opérateur à ...

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1804632
Si seulement ma banque pouvait en prendre de la graine de cet article !
pour s'identifier et donc accéder à l'espace client soit disant "sécurisé" on est obliger de créer un MDP de son choix composé uniquement de 6 chiffres au maximum .....!!!
Du point de vue sécurité les banques sont un peu limite ....
Le #1804634
Il y a aussi le logiciel gratuit Keepass qui permet de générer des mots de passe costauds et de les stocker cryptés.
Il suffit de protéger le stockage avec un mot de passe costaud, cela n'en fait qu'un à retenir.
Vous mettez Keepass sur une clé USB et c'est à l’abri d'un piratage internet.
Le #1804635
DeepBlueOcean a écrit :

Si seulement ma banque pouvait en prendre de la graine de cet article !
pour s'identifier et donc accéder à l'espace client soit disant "sécurisé" on est obliger de créer un MDP de son choix composé uniquement de 6 chiffres au maximum .....!!!
Du point de vue sécurité les banques sont un peu limite ....


Il n'y a pas que les banques dans ce cas.
Le #1804636
DeepBlueOcean a écrit :

Si seulement ma banque pouvait en prendre de la graine de cet article !
pour s'identifier et donc accéder à l'espace client soit disant "sécurisé" on est obliger de créer un MDP de son choix composé uniquement de 6 chiffres au maximum .....!!!
Du point de vue sécurité les banques sont un peu limite ....


Chez la mienne, tu as un mot de passe composé de chiffres, mais pour le rentrer, il faut cliquer sur les chiffres qui sont affichés de façon aléatoire
Le #1804639
phebus a écrit :

Il y a aussi le logiciel gratuit Keepass qui permet de générer des mots de passe costauds et de les stocker cryptés.
Il suffit de protéger le stockage avec un mot de passe costaud, cela n'en fait qu'un à retenir.
Vous mettez Keepass sur une clé USB et c'est à l’abri d'un piratage internet.


Keepass? hahaha? le truc bourré de trou de sécurités documentés il y a encore deux ans?

http://threatpost.com/researcher-warns-security-hole-keepass-password-manager-062712/76738

Ou encore cette année?

https://www3.trustwave.com/spiderlabs/advisories/TWSL2014-011.txt

Faut être croyant a ce niveau...
Le #1804641
pour la majorité des comptes sans importance, par exemple ici, je tape n'importe quoi au clavier, par exemple :

vsgrXCcvn4c1sezTCVD

Donc ils sont sans cesse différents, je conserve ces MDP dans un fichier quelconque et je fonctionne pas copier/coller (c'est impossible de les taper sans erreur en aveugle)

Pour mes comptes bancaires, j'ai le même système que FRANCKYIV, mais quelle est sa fiabilité ? je ne sais pas ; c'est censé permettre d'éviter les keylogger.
Anonyme
Le #1804643
Extended Password Generator:

EPG
sourceforge.net/projects/epg/


très bien pour n'import quel type de mot de pass (compte site web, DB...etc)
Le #1804652
phebus a écrit :

Il y a aussi le logiciel gratuit Keepass qui permet de générer des mots de passe costauds et de les stocker cryptés.
Il suffit de protéger le stockage avec un mot de passe costaud, cela n'en fait qu'un à retenir.
Vous mettez Keepass sur une clé USB et c'est à l’abri d'un piratage internet.


+1, je ne comprends pas bien pourquoi Wabiz, solution payante, close source et que personne connaît, est autant mis en avant dans l'article. S'agit-il d'un infomercial ?
Le #1804654
Valu a écrit :

phebus a écrit :

Il y a aussi le logiciel gratuit Keepass qui permet de générer des mots de passe costauds et de les stocker cryptés.
Il suffit de protéger le stockage avec un mot de passe costaud, cela n'en fait qu'un à retenir.
Vous mettez Keepass sur une clé USB et c'est à l’abri d'un piratage internet.


Keepass? hahaha? le truc bourré de trou de sécurités documentés il y a encore deux ans?

http://threatpost.com/researcher-warns-security-hole-keepass-password-manager-062712/76738

Ou encore cette année?

https://www3.trustwave.com/spiderlabs/advisories/TWSL2014-011.txt

Faut être croyant a ce niveau...


Wow, quelles failles impressionnantes !
Du moment que la machine sur laquelle tourne le logiciel de gestion des mots de passe est compromise, de toute façon, il n'y a pas beaucoup d'espoir. Alors que les mitigations soient +/- imparfaites, ça ne va pas changer la face du monde...
Le #1804656
phebus a écrit :

Il y a aussi le logiciel gratuit Keepass qui permet de générer des mots de passe costauds et de les stocker cryptés.
Il suffit de protéger le stockage avec un mot de passe costaud, cela n'en fait qu'un à retenir.
Vous mettez Keepass sur une clé USB et c'est à l’abri d'un piratage internet.


Keepass Multiplateforme en plus .. Un vrai petit joujou qu'on se doit d'avoir et que j'utilise au quotidien Je vous le recommande, c'est gratuit fiable et très pratique
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]