Sécuriser un mot de passe, bon je sais c'est un peu curieux comme titre,
mais je m'explique.
Que cela soit pour s'identifier à Windows, pour sa messagerie, pour se
connecter à Internet et pour accéder aux différents services que vous avez
souscrits en ligne, vous avez besoin d'utiliser un mot de passe, unique et
complexe de surcroît.
Comment faire alors pour conserver tous ses mots de passe sans compromettre
la sécurité de ses informations ? Puisque on ne possède pas une mémoire
d'éléphant et qu'il n'est pas très sécurisé de noter ses mots de passe.Il me
semble qu'il serait plus sécurisant d' utiliser un seul mot de passe donnant
acces aux autres que de se (les) dispersser.
Il existe plusieurs "freeware" pour ce faire ( exemple
http://www.pcastuces.com/logitheque/keepass.htm ,
http://www.pcastuces.com/logitheque/keepass.htm ) mais bon il est pour le
moins important que le soft utilisé soit de bonne qualité, alors j'attends
vos avis.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Erwann ABALEA
Hodie III Kal. Mai. MMVI est, Jean Francois DONNAY scripsit:
Sécuriser un mot de passe, bon je sais c'est un peu curieux comme titre, mais je m'explique.
Ca n'est pas curieux, au contraire, c'est courant. Schneier en a parlé justement dans son blog, très récemment.
Comment faire alors pour conserver tous ses mots de passe sans compromettre la sécurité de ses informations ? Puisque on ne possède pas une mémoire d'éléphant et qu'il n'est pas très sécurisé de noter ses mots de passe.
Noter sur papier ses mots de passe n'est certes pas le mieux, mais c'est tout de même bien mieux que d'utiliser soit un mot de passe unique pour tous les services, soit des mots de passe simples.
Il me semble qu'il serait plus sécurisant d' utiliser un seul mot de passe donnant acces aux autres que de se (les) dispersser.
Toutafé.
Il existe plusieurs "freeware" pour ce faire ( exemple http://www.pcastuces.com/logitheque/keepass.htm , http://www.pcastuces.com/logitheque/keepass.htm ) mais bon il est pour le moins important que le soft utilisé soit de bonne qualité, alors j'attends vos avis.
J'utilise personnellement GNU Keyring sur mon vieux Palm, et MyPasswordSafe sous Linux (je sais, c'est un clickodrome, mais j'ai aussi pwsafe sur la même machine). MyPasswordSafe/pwsafe a l'avantage de pouvoir utiliser le même fichier que le PasswordSafe de Schneier. GNU Keyring dispose d'un plugin pour jpilot, donc ça se sauvegarde, et ça se consulte même sans le Palm.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5
Hodie III Kal. Mai. MMVI est, Jean Francois DONNAY scripsit:
Sécuriser un mot de passe, bon je sais c'est un peu curieux comme titre,
mais je m'explique.
Ca n'est pas curieux, au contraire, c'est courant. Schneier en a parlé
justement dans son blog, très récemment.
Comment faire alors pour conserver tous ses mots de passe sans compromettre
la sécurité de ses informations ? Puisque on ne possède pas une mémoire
d'éléphant et qu'il n'est pas très sécurisé de noter ses mots de passe.
Noter sur papier ses mots de passe n'est certes pas le mieux, mais
c'est tout de même bien mieux que d'utiliser soit un mot de passe
unique pour tous les services, soit des mots de passe simples.
Il me
semble qu'il serait plus sécurisant d' utiliser un seul mot de passe donnant
acces aux autres que de se (les) dispersser.
Toutafé.
Il existe plusieurs "freeware" pour ce faire ( exemple
http://www.pcastuces.com/logitheque/keepass.htm ,
http://www.pcastuces.com/logitheque/keepass.htm ) mais bon il est pour le
moins important que le soft utilisé soit de bonne qualité, alors j'attends
vos avis.
J'utilise personnellement GNU Keyring sur mon vieux Palm, et
MyPasswordSafe sous Linux (je sais, c'est un clickodrome, mais j'ai
aussi pwsafe sur la même machine). MyPasswordSafe/pwsafe a l'avantage
de pouvoir utiliser le même fichier que le PasswordSafe de Schneier.
GNU Keyring dispose d'un plugin pour jpilot, donc ça se sauvegarde, et
ça se consulte même sans le Palm.
Hodie III Kal. Mai. MMVI est, Jean Francois DONNAY scripsit:
Sécuriser un mot de passe, bon je sais c'est un peu curieux comme titre, mais je m'explique.
Ca n'est pas curieux, au contraire, c'est courant. Schneier en a parlé justement dans son blog, très récemment.
Comment faire alors pour conserver tous ses mots de passe sans compromettre la sécurité de ses informations ? Puisque on ne possède pas une mémoire d'éléphant et qu'il n'est pas très sécurisé de noter ses mots de passe.
Noter sur papier ses mots de passe n'est certes pas le mieux, mais c'est tout de même bien mieux que d'utiliser soit un mot de passe unique pour tous les services, soit des mots de passe simples.
Il me semble qu'il serait plus sécurisant d' utiliser un seul mot de passe donnant acces aux autres que de se (les) dispersser.
Toutafé.
Il existe plusieurs "freeware" pour ce faire ( exemple http://www.pcastuces.com/logitheque/keepass.htm , http://www.pcastuces.com/logitheque/keepass.htm ) mais bon il est pour le moins important que le soft utilisé soit de bonne qualité, alors j'attends vos avis.
J'utilise personnellement GNU Keyring sur mon vieux Palm, et MyPasswordSafe sous Linux (je sais, c'est un clickodrome, mais j'ai aussi pwsafe sur la même machine). MyPasswordSafe/pwsafe a l'avantage de pouvoir utiliser le même fichier que le PasswordSafe de Schneier. GNU Keyring dispose d'un plugin pour jpilot, donc ça se sauvegarde, et ça se consulte même sans le Palm.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5
Patrick 'Zener' Brunet
Bonjour.
Je réponds à Jean Francois DONNAY
Sécuriser un mot de passe, bon je sais c'est un peu curieux comme titre, mais je m'explique.
Que cela soit pour s'identifier à Windows, pour sa messagerie, pour se connecter à Internet et pour accéder aux différents services que vous avez souscrits en ligne, vous avez besoin d'utiliser un mot de passe, unique et complexe de surcroît.
Comment faire alors pour conserver tous ses mots de passe sans compromettre la sécurité de ses informations ? Puisque on ne possède pas une mémoire d'éléphant et qu'il n'est pas très sécurisé de noter ses mots de passe.Il me semble qu'il serait plus sécurisant d' utiliser un seul mot de passe donnant acces aux autres que de se (les) dispersser.
Il n'est pas prudent d'utiliser le même mot de passe sur des "sites" (au-delà du Web) divers: en cas de compromission sur un site vous devez tous les changer en catastrophe.
Ensuite il faut faire la différence entre les mots de passe imposés par certains sites et qui sont un défi à la sécurité, et les mots de passe que vous êtes libre de choisir avec seulement certaines contraintes.
Pour la seconde catégorie alors:
L'astuce consiste à mémoriser non pas le mot de passe lui-même, mais la stratégie personnelle permettant de le (re)constituer à la demande à partir de certains informations.
Cette stratégie peut être aussi ésotérique que vous le souhaitez, puisqu'elle a vocation à résider dans votre crâne exclusivement. Par contre elle doit être fiable pour vous et obscure pour les autres.
Elle permet alors de reconstituer machinalement au moment de le saisir votre mot de passe à partir d'une information intuitivement liée au "site" dans votre tête et d'une autre du même genre qui pour sa part évolue dans le temps.
Actuellement je gère ainsi environ une trentaine de mots de passe assez longs, qui ressemblent à du bruit ASCII et qui changent périodiquement, sans mélange ni erreur, sans aucun outil et sans rien noter.
Evidemment ma stratégie restera secrète, mais elle ne réclame aucun effort. Trouvez-vous la vôtre...
Cordialement,
-- /*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Bonjour.
Je réponds à Jean Francois DONNAY <donnay.jf@laposte.net>
Sécuriser un mot de passe, bon je sais c'est un peu curieux comme
titre, mais je m'explique.
Que cela soit pour s'identifier à Windows, pour sa messagerie, pour se
connecter à Internet et pour accéder aux différents services que vous
avez souscrits en ligne, vous avez besoin d'utiliser un mot de passe,
unique et complexe de surcroît.
Comment faire alors pour conserver tous ses mots de passe sans
compromettre la sécurité de ses informations ? Puisque on ne possède
pas une mémoire d'éléphant et qu'il n'est pas très sécurisé de noter
ses mots de passe.Il me semble qu'il serait plus sécurisant d'
utiliser un seul mot de passe donnant acces aux autres que de se
(les) dispersser.
Il n'est pas prudent d'utiliser le même mot de passe sur des "sites"
(au-delà du Web) divers: en cas de compromission sur un site vous devez tous
les changer en catastrophe.
Ensuite il faut faire la différence entre les mots de passe imposés par
certains sites et qui sont un défi à la sécurité, et les mots de passe que
vous êtes libre de choisir avec seulement certaines contraintes.
Pour la seconde catégorie alors:
L'astuce consiste à mémoriser non pas le mot de passe lui-même, mais la
stratégie personnelle permettant de le (re)constituer à la demande à partir
de certains informations.
Cette stratégie peut être aussi ésotérique que vous le souhaitez,
puisqu'elle a vocation à résider dans votre crâne exclusivement. Par contre
elle doit être fiable pour vous et obscure pour les autres.
Elle permet alors de reconstituer machinalement au moment de le saisir votre
mot de passe à partir d'une information intuitivement liée au "site" dans
votre tête et d'une autre du même genre qui pour sa part évolue dans le
temps.
Actuellement je gère ainsi environ une trentaine de mots de passe assez
longs, qui ressemblent à du bruit ASCII et qui changent périodiquement, sans
mélange ni erreur, sans aucun outil et sans rien noter.
Evidemment ma stratégie restera secrète, mais elle ne réclame aucun effort.
Trouvez-vous la vôtre...
Cordialement,
--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/
Sécuriser un mot de passe, bon je sais c'est un peu curieux comme titre, mais je m'explique.
Que cela soit pour s'identifier à Windows, pour sa messagerie, pour se connecter à Internet et pour accéder aux différents services que vous avez souscrits en ligne, vous avez besoin d'utiliser un mot de passe, unique et complexe de surcroît.
Comment faire alors pour conserver tous ses mots de passe sans compromettre la sécurité de ses informations ? Puisque on ne possède pas une mémoire d'éléphant et qu'il n'est pas très sécurisé de noter ses mots de passe.Il me semble qu'il serait plus sécurisant d' utiliser un seul mot de passe donnant acces aux autres que de se (les) dispersser.
Il n'est pas prudent d'utiliser le même mot de passe sur des "sites" (au-delà du Web) divers: en cas de compromission sur un site vous devez tous les changer en catastrophe.
Ensuite il faut faire la différence entre les mots de passe imposés par certains sites et qui sont un défi à la sécurité, et les mots de passe que vous êtes libre de choisir avec seulement certaines contraintes.
Pour la seconde catégorie alors:
L'astuce consiste à mémoriser non pas le mot de passe lui-même, mais la stratégie personnelle permettant de le (re)constituer à la demande à partir de certains informations.
Cette stratégie peut être aussi ésotérique que vous le souhaitez, puisqu'elle a vocation à résider dans votre crâne exclusivement. Par contre elle doit être fiable pour vous et obscure pour les autres.
Elle permet alors de reconstituer machinalement au moment de le saisir votre mot de passe à partir d'une information intuitivement liée au "site" dans votre tête et d'une autre du même genre qui pour sa part évolue dans le temps.
Actuellement je gère ainsi environ une trentaine de mots de passe assez longs, qui ressemblent à du bruit ASCII et qui changent périodiquement, sans mélange ni erreur, sans aucun outil et sans rien noter.
Evidemment ma stratégie restera secrète, mais elle ne réclame aucun effort. Trouvez-vous la vôtre...
Cordialement,
-- /*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
juvenal
Evidemment ma stratégie restera secrète, mais elle ne réclame aucun effort. Trouvez-vous la vôtre...
" Nom de dieu, Gump, t'es sûrement un putain de génie ! "
Juve
Evidemment ma stratégie restera secrète, mais elle ne réclame aucun
effort.
Trouvez-vous la vôtre...
" Nom de dieu, Gump, t'es sûrement un putain de génie ! "
Evidemment ma stratégie restera secrète, mais elle ne réclame aucun effort. Trouvez-vous la vôtre...
" Nom de dieu, Gump, t'es sûrement un putain de génie ! "
Juve
Steph
Elle permet alors de reconstituer machinalement au moment de le saisir votre mot de passe à partir d'une information intuitivement liée au "site" dans votre tête et d'une autre du même genre qui pour sa part évolue dans le temps.
Je me suis toujours posé la questions de l'interet des strategies de changement de Password exigé tous les x temps. Si un Password est robuste ne doit-il pas résister au temps ?
J'ai pas mal de Password à mémoriser au boulot, et la plupart des Password faibles sont ceux pour lequel on m'oblige à changé souvent ! car dans ce cas j'introduit un evenement temporel, ou un compteur, ...
Dans ton cas avec ta strategie, le facteur temps n'amene-t-il pas une information supplementaire ?
Elle permet alors de reconstituer machinalement au moment de le saisir votre
mot de passe à partir d'une information intuitivement liée au "site" dans
votre tête et d'une autre du même genre qui pour sa part évolue dans le
temps.
Je me suis toujours posé la questions de l'interet des strategies de
changement de Password exigé tous les x temps.
Si un Password est robuste ne doit-il pas résister au temps ?
J'ai pas mal de Password à mémoriser au boulot, et la plupart des
Password faibles sont ceux pour lequel on m'oblige à changé souvent !
car dans ce cas j'introduit un evenement temporel, ou un compteur, ...
Dans ton cas avec ta strategie, le facteur temps n'amene-t-il pas une
information supplementaire ?
Elle permet alors de reconstituer machinalement au moment de le saisir votre mot de passe à partir d'une information intuitivement liée au "site" dans votre tête et d'une autre du même genre qui pour sa part évolue dans le temps.
Je me suis toujours posé la questions de l'interet des strategies de changement de Password exigé tous les x temps. Si un Password est robuste ne doit-il pas résister au temps ?
J'ai pas mal de Password à mémoriser au boulot, et la plupart des Password faibles sont ceux pour lequel on m'oblige à changé souvent ! car dans ce cas j'introduit un evenement temporel, ou un compteur, ...
Dans ton cas avec ta strategie, le facteur temps n'amene-t-il pas une information supplementaire ?
Patrick 'Zener' Brunet
Bonjour.
Je réponds à Steph
Elle permet alors de reconstituer machinalement au moment de le saisir votre mot de passe à partir d'une information intuitivement liée au "site" dans votre tête et d'une autre du même genre qui pour sa part évolue dans le temps.
Je me suis toujours posé la questions de l'interet des strategies de changement de Password exigé tous les x temps. Si un Password est robuste ne doit-il pas résister au temps ?
J'ai pas mal de Password à mémoriser au boulot, et la plupart des Password faibles sont ceux pour lequel on m'oblige à changé souvent ! car dans ce cas j'introduit un evenement temporel, ou un compteur, ...
En fait le temps en question n'est pas forcément donné par une horloge. Je change de génération de mots de passe lorsque je le décide. La raison peut être que j'ai dû travailler depuis chez un tiers et que je ne suis pas sûr que malgré les précautions d'usage, je n'aie pas laissé des traces, ou alors que ma frappe ait été partiellement observée... Ou alors parce qu'une rumeur dit que l'un des sites auxquels j'accède aurait eu une faiblesse... Ou alors parce que j'en ai envie, me disant qu'après un certain temps ou nombre d'utilisations, ce mot de passe a mérité sa retraite.
Dans ton cas avec ta strategie, le facteur temps n'amene-t-il pas une information supplementaire ?
Le temps n'apparaît pas directement dans le mot de passe. En fait comme je l'ai expliqué, il est fait de deux clés dont l'une est durable et liée à la cible, l'autre évolutive. Mais la succession des clés pour la partie évolutive repose sur un algorithme qui reste dans la tête.
C'est même un secret que je peux livrer: chez moi c'est la suite formée par certaines lettres (selon un certain principe) des mots de l'un des vers d'un texte dont vous n'avez pas la moindre idée, et de plus cette suite subit une transposition pour donner d'autres caractères à mixer avec la partie fixe. Donc en changeant de vers on crée une nouvelle génération de mots de passe, sans effort de mémoire particulier, et sans pour autant compromettre le texte-clé (qui d'ailleurs change aussi tôt ou tard).
Donc en fait la fonction de calcul du mot de passe à partir de ces diverses données est irréversible. Notes bien qu'elle pourrait très bien incorporer une donnée éphémère fournié par le site, et donc réaliser un protocole OTP sans aucun outil. C'est une amélioration que je prépare.
Cordialement,
-- /*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Bonjour.
Je réponds à Steph <steph@steph.com>
Elle permet alors de reconstituer machinalement au moment de le
saisir votre mot de passe à partir d'une information intuitivement
liée au "site" dans votre tête et d'une autre du même genre qui pour
sa part évolue dans le temps.
Je me suis toujours posé la questions de l'interet des strategies de
changement de Password exigé tous les x temps.
Si un Password est robuste ne doit-il pas résister au temps ?
J'ai pas mal de Password à mémoriser au boulot, et la plupart des
Password faibles sont ceux pour lequel on m'oblige à changé souvent !
car dans ce cas j'introduit un evenement temporel, ou un compteur, ...
En fait le temps en question n'est pas forcément donné par une horloge. Je
change de génération de mots de passe lorsque je le décide.
La raison peut être que j'ai dû travailler depuis chez un tiers et que je ne
suis pas sûr que malgré les précautions d'usage, je n'aie pas laissé des
traces, ou alors que ma frappe ait été partiellement observée...
Ou alors parce qu'une rumeur dit que l'un des sites auxquels j'accède aurait
eu une faiblesse...
Ou alors parce que j'en ai envie, me disant qu'après un certain temps ou
nombre d'utilisations, ce mot de passe a mérité sa retraite.
Dans ton cas avec ta strategie, le facteur temps n'amene-t-il pas une
information supplementaire ?
Le temps n'apparaît pas directement dans le mot de passe. En fait comme je
l'ai expliqué, il est fait de deux clés dont l'une est durable et liée à la
cible, l'autre évolutive. Mais la succession des clés pour la partie
évolutive repose sur un algorithme qui reste dans la tête.
C'est même un secret que je peux livrer: chez moi c'est la suite formée par
certaines lettres (selon un certain principe) des mots de l'un des vers d'un
texte dont vous n'avez pas la moindre idée, et de plus cette suite subit une
transposition pour donner d'autres caractères à mixer avec la partie fixe.
Donc en changeant de vers on crée une nouvelle génération de mots de passe,
sans effort de mémoire particulier, et sans pour autant compromettre le
texte-clé (qui d'ailleurs change aussi tôt ou tard).
Donc en fait la fonction de calcul du mot de passe à partir de ces diverses
données est irréversible. Notes bien qu'elle pourrait très bien incorporer
une donnée éphémère fournié par le site, et donc réaliser un protocole OTP
sans aucun outil. C'est une amélioration que je prépare.
Cordialement,
--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/
Elle permet alors de reconstituer machinalement au moment de le saisir votre mot de passe à partir d'une information intuitivement liée au "site" dans votre tête et d'une autre du même genre qui pour sa part évolue dans le temps.
Je me suis toujours posé la questions de l'interet des strategies de changement de Password exigé tous les x temps. Si un Password est robuste ne doit-il pas résister au temps ?
J'ai pas mal de Password à mémoriser au boulot, et la plupart des Password faibles sont ceux pour lequel on m'oblige à changé souvent ! car dans ce cas j'introduit un evenement temporel, ou un compteur, ...
En fait le temps en question n'est pas forcément donné par une horloge. Je change de génération de mots de passe lorsque je le décide. La raison peut être que j'ai dû travailler depuis chez un tiers et que je ne suis pas sûr que malgré les précautions d'usage, je n'aie pas laissé des traces, ou alors que ma frappe ait été partiellement observée... Ou alors parce qu'une rumeur dit que l'un des sites auxquels j'accède aurait eu une faiblesse... Ou alors parce que j'en ai envie, me disant qu'après un certain temps ou nombre d'utilisations, ce mot de passe a mérité sa retraite.
Dans ton cas avec ta strategie, le facteur temps n'amene-t-il pas une information supplementaire ?
Le temps n'apparaît pas directement dans le mot de passe. En fait comme je l'ai expliqué, il est fait de deux clés dont l'une est durable et liée à la cible, l'autre évolutive. Mais la succession des clés pour la partie évolutive repose sur un algorithme qui reste dans la tête.
C'est même un secret que je peux livrer: chez moi c'est la suite formée par certaines lettres (selon un certain principe) des mots de l'un des vers d'un texte dont vous n'avez pas la moindre idée, et de plus cette suite subit une transposition pour donner d'autres caractères à mixer avec la partie fixe. Donc en changeant de vers on crée une nouvelle génération de mots de passe, sans effort de mémoire particulier, et sans pour autant compromettre le texte-clé (qui d'ailleurs change aussi tôt ou tard).
Donc en fait la fonction de calcul du mot de passe à partir de ces diverses données est irréversible. Notes bien qu'elle pourrait très bien incorporer une donnée éphémère fournié par le site, et donc réaliser un protocole OTP sans aucun outil. C'est une amélioration que je prépare.
Cordialement,
-- /*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
