Le fléau du vol de mots de passe

Formes et fond de la société de l'information.
Vie privée et atteintes à la vie privée, sécurité et insécurité sous les angles politiques, économiques, théoriques, moraux, philosophiques.
Ici, nous faisons, défaisons et refaisons le monde

Modérateur: Modérateurs et Modératrices

Le fléau du vol de mots de passe

Messagede shl » 09 12 2017

Bonjour,

Depuis quelques temps, je suis l'actualité du site Have i been pwned? qui répertorie les piratages de sites et vols de données d'utilisateurs. C'est vraiment flippant car il y a des points qui reviennent constamment :

1) Les sites piratés ne sont pas sensés être des manches en matière d'informatique. Ce ne sont pas des sites d'amateurs qui se font pirater, ni des acteurs traditionnels dont on se doute que leurs sites sont pleins de failles (banques, administrations...). Ce sont des pointures du web qui se font voler leurs bases : Adobe, LinkedIn, Yahoo, Dailymotion, Tumblr, Snapchat, Dropbox...

2) Quand une base de données est piratée, ce n'est pas à moitié. Des millions de comptes retrouvent dans la nature. Autant dire, vraisemblablement, la totalité des inscrits sur le site/service en question.

3) C'est beaucoup plus fréquent qu'on le pense. Pour quelques cas médiatisés (le site de rencontres Ashley Madison il y a quelques mois), la liste est en fait bien plus longue.

4) Les mots de passe dans les bases volées sont souvent peu ou pas sécurisés. En clair, ils utilisent souvent des méthodes de hashage obsolètes qui permettent de retrouver le mot de passe.

5) Le vol d'une base de données est souvent découvert 1, 2 ou 3 ans plus tard. Et pas grâce à des technologies de sécurité futuristes : en général, une personne découvre par hasard qu'une base données d'un site circule sur le Net et le signale au site en question.


Moralité :

  • N'utilisez pas le même mot de passe sur plusieurs sites ou applications
  • Si vous voulez garder certains mots de passe communs malgré tout, cloisonnez-les : un mot de passe critique (banque, achat en ligne...) ne doit pas être utilisé pour des sites plus anodins (forums, appli de jeux...).
  • Et considérez votre compte Facebook et votre compte Google (Gmail, Youtube...) comme des comptes d'importance critique. D'une part, parce que leur vol donnerait accès à un certains nombre d'infos personnelles, d'autre part, parce que le système d'authentification offert par Facebook ou Google donne accès à d'autres sites.
  • Dans la mesure du possible, changez régulièrement les mots de passe.
La vie privée n'est pas réservée à ceux qui ont des choses à se reprocher.
Ma config détaillée
Assiste.com
Avatar de l’utilisateur
shl
Développeur
 
Messages: 3494
Inscription: 30 10 2004
Localisation: Suivez mon regard...

Re: Le fléau du vol de mots de passe

Messagede didier65 » 18 04 2018

Je n'avais aucune idée de ces conseils merci beaucoup
didier65
 
Messages: 3
Inscription: 18 04 2018

Re: Le fléau du vol de mots de passe

Messagede piratebab » 04 09 2018

Pour choisir un mot de passe robuste, oubliez les conseils donnés partout (une majuscule, un caractére spécial, un chiffre).
Des études ont montré que:
la majuscules est très souvent le premier caractère
le chiffre est très souvent le dernier caractère
le caractère spécial ne varie pas beaucoup, et est situé entre les lettres qui sont au début, et les chiffres à la fin

Cela réduit fortement le nombre de mot de passe à tester, et avec le faible cout des moyens de calcul actuel, ce type de mot de passe ne résiste pas longtemps.
Un mot de passe robuste doit être long, et la suite de caractéres la plus aléatoire possible. Mais un mot de passe comme cela est impossible à retenir. et si c'est pour l'enregistrer en clair dans un fichier, autant le crier par la fenetre.
L'astuce: utilsez une serie de plusieurs courts, n'ayant aucun rapport entre eux, et vous les juxtaposez.
exemple: anelivrechaiseboiteciel
ça c'est résistant aux attaques par force brute, en tout cas suffisamment longtemps par rapport à ce que vous avez à protéger en tant que particulier.
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5603
Inscription: 30 08 2004

Re: Le fléau du vol de mots de passe

Messagede Silure » 04 09 2018

Bonsoir.

Quant à moi, j'ai opté pour le même genre que propose Piratebab.

J'utilise ce que j'appelle une porteuse, c'est-à-dire une phrase dont je suis certain de me souvenir par ses références affectives ou contextuelles. Je la modèle en n'en conservant que les initiales dont j'alterne la casse, je remplace les "de" par 2, les "a" par @, les "E" par 3.

Ce ne sont qu'exemples. Ainsi fait, le résultat peut comporter 26 caractères comme ma clef WPA, je m'en souviens systématiquement. J'en ai une variante de 15 caractères qui est mon mot de passe pour plusieurs accès.
ImageLinux user #546171 Config <=
Avatar de l’utilisateur
Silure
 
Messages: 641
Inscription: 15 07 2005
Localisation: Aquitaine


Retourner vers Agora (Carrefour de débats et d’idées.)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

cron