Les mots de passe c'est la galère.
C'est un sujet qui est paradoxal ou même carrément paranoïaque : D'un coté, les personnes de la sécurité disent que les mots de passe doivent être longs et complexes et en plus qu'il est recommandé de les changer régulièrement. Mais de l'autre coté, hormis ces bonnes paroles pleines de bon sens (et oui) rares sont celles qui indiquent les recettes qui permettent de mettre en application ces principes...
Deux recettes simples et éprouvées
Je me propose de partager avec vous 2 recettes simples pour gérer ses mots de passe. La première est à privilégier dans le monde de l'entreprise, la seconde étant à réserver pour la sphère privée. Cette fois, je vous propose des recettes testées et approuvées : Pas de truc théorique ou compliqué à mettre en place, que des choses qui se veulent simples et directement utilisables !
C'est un sujet qui est paradoxal ou même carrément paranoïaque : D'un coté, les personnes de la sécurité disent que les mots de passe doivent être longs et complexes et en plus qu'il est recommandé de les changer régulièrement. Mais de l'autre coté, hormis ces bonnes paroles pleines de bon sens (et oui) rares sont celles qui indiquent les recettes qui permettent de mettre en application ces principes...
Deux recettes simples et éprouvées
Je me propose de partager avec vous 2 recettes simples pour gérer ses mots de passe. La première est à privilégier dans le monde de l'entreprise, la seconde étant à réserver pour la sphère privée. Cette fois, je vous propose des recettes testées et approuvées : Pas de truc théorique ou compliqué à mettre en place, que des choses qui se veulent simples et directement utilisables !
Recette #1 : Le logiciel "coffre-fort à mot de passe"
Vous connaissez le coffre-à-clefs (ou "boîte à clefs") utilisé par les services généraux et concierges ? Oui. Avec un coffre de ce genre, il suffit d'avoir la clef principale pour accéder aux clefs présentes dans le coffre. C'est la même chose mais sous forme logicielle.
Avec ce type de programme, on stocke tous les mots de passe dans une seule et unique petite base de donnée sécurisée : La gestion de cette base est assurée par un logiciel spécialisé. Pour accéder aux informations présentes de cette base, il sera nécessaire "d'activer" la porte de ce coffre numérique via une clef principale (un "super mot de passe").
Avec une solution de ce genre, il suffit de se souvenir d'un seul et unique mot de passe. Celui-ci devra être bien complexe et long. Pas compliqué, ce sera le seul dont il faudra se souvenir.
Deux logiciels recommandés
Les logiciels de "coffre-fort à mot de passe" sont nombreux sur Internet. J'en retiendrai deux : PasswordSafe et KeePass.
Pour ceux qui sont alléchés par KeePass mais qui se sentent un peu impressionnés pour démarrer, alors démarrez sans attendre avec PasswordSafe : Vous pourrez migrer vers KeePass car celui-ci sait importer une base créée par PasswordSafe ou encore passer via un format d'échange standard (fichier texte, XML, ...)
Personnellement, j'ai utilisé PasswordSafe durant plusieurs années pour passer assez récemment sous KeePass.
Les logiciels de "coffre-fort à mots de passe" sont la solution la mieux adaptée au contexte professionnel. Pour ne rien gâcher, ces deux logiciels sont totalement gratuits et au code source ouvert... Que du bonheur.
Recette #2 : Le répertoire, le crayon papier et la gomme
L'approche est très simple : Un répertoire alphabétique petit format (à spirales de référence), un crayon papier HB et une gomme. Avec cet attirail très "tendance scolaire 2010", vous êtes équipé pour améliorer la sécurité de vos comptes d'accès au sites personnels.
Une recette super/ultra simple
Pour un web site donné (ex: www.gmail.com) ou Twitter, vous écrivez à la page donnée :
Vous changez votre mot de passe ? Pas de problème : Un coup de gomme est c'est fini.
Un petit truc : Ecrivez le nom du site en majuscules et soulignez-le, cela facilitera la recherche.
Le "moins" du carnet : Comme il faut saisir les mots de passe à chaque fois, la tendance est de limiter leur taille et leur complexité. Dans le cas du "coffre-fort à mot de passe" c'est un jeu de copier/coller.
Cette recette, tout le monde peut l'utiliser : Pas d'excuses du "c'est trop compliqué" ou "j'ai rien compris" !
Ecrire ses mots de passe : Oui à la maison
Oui, je recommande d'écrire ses mots de passe : D'un point de vue "risques", il y a plus de chances que votre compte Internet se fasse pirater d'une façon ou d'une autre que quelqu'un se "serve" de votre carnet. A contrario du bureau, les personnes ayant accès à votre domicile sont connues et à priori de confiance : Ce n'est à priori pas le cas dans un contexte professionnel.
Donc oui, à la maison, utiliser un répertoire alphabétique pour y écrire ses mots de passe personnel est mieux que de mettre la même mot de passe sur tous ses sites.
Un fort knox à la maison
Bien sur, les logiciels de "coffre-fort à mot de passe" sont utilisables dans un contexte personnel. Certaines personnes commenceront peut-être par le carnet pour ensuite passer au logiciel spécialisé. Dans tous les cas ce sera grandement mieux qu'un seul et même mot de passe pour tous leurs sites Internet... comme c'est malheureusement trop fréquemment le cas.
Le dernier p'tit "truc" du cuistot
Pour les sites personnels que vous accédez depuis le bureau, rien ne vous empêche de stocker les mots de passe dans votre coffre-fort professionnel. J'ai d'ailleurs créé spécialement un dossier "Personnel" dans mon gestionnaire afin de les séparer de ceux du coté pro.
Yes, ca marche !
Ces recettes, je les utilise moi-même et je les recommande à les collègues et à mon cercle personnel. Certains diront qu'elles sont perfectibles (surtout la seconde et ils auront raison) mais je leur dirai deux choses en retour :
Vous connaissez le coffre-à-clefs (ou "boîte à clefs") utilisé par les services généraux et concierges ? Oui. Avec un coffre de ce genre, il suffit d'avoir la clef principale pour accéder aux clefs présentes dans le coffre. C'est la même chose mais sous forme logicielle.
Avec ce type de programme, on stocke tous les mots de passe dans une seule et unique petite base de donnée sécurisée : La gestion de cette base est assurée par un logiciel spécialisé. Pour accéder aux informations présentes de cette base, il sera nécessaire "d'activer" la porte de ce coffre numérique via une clef principale (un "super mot de passe").
Avec une solution de ce genre, il suffit de se souvenir d'un seul et unique mot de passe. Celui-ci devra être bien complexe et long. Pas compliqué, ce sera le seul dont il faudra se souvenir.
Deux logiciels recommandés
Les logiciels de "coffre-fort à mot de passe" sont nombreux sur Internet. J'en retiendrai deux : PasswordSafe et KeePass.
- PasswordSafe est simple et sans fioritures mais réponds pleinement au besoin. Pour ceux qui débutent avec ce type de logicile, c'est PasswordSafe que je recommande.
- Ceux qui en veulent plus (un look&feel, des
fonctions évoluées, un mécanisme de plugins, ...) alors n'allez pas
chercher plus loin : KeePass est fait pour vous. Il regorge de parametres et d'indicateurs que son petit frere PasswordSafe ne propose pas.
Pour ceux qui sont alléchés par KeePass mais qui se sentent un peu impressionnés pour démarrer, alors démarrez sans attendre avec PasswordSafe : Vous pourrez migrer vers KeePass car celui-ci sait importer une base créée par PasswordSafe ou encore passer via un format d'échange standard (fichier texte, XML, ...)
Personnellement, j'ai utilisé PasswordSafe durant plusieurs années pour passer assez récemment sous KeePass.
Les logiciels de "coffre-fort à mots de passe" sont la solution la mieux adaptée au contexte professionnel. Pour ne rien gâcher, ces deux logiciels sont totalement gratuits et au code source ouvert... Que du bonheur.
Recette #2 : Le répertoire, le crayon papier et la gomme
L'approche est très simple : Un répertoire alphabétique petit format (à spirales de référence), un crayon papier HB et une gomme. Avec cet attirail très "tendance scolaire 2010", vous êtes équipé pour améliorer la sécurité de vos comptes d'accès au sites personnels.
Une recette super/ultra simple
Pour un web site donné (ex: www.gmail.com) ou Twitter, vous écrivez à la page donnée :
- le nom du site "Twitter.com"
- Le login : username
- Le password : T6gf7G@H5(Rt)g&
- L'adresse email utilisée lors de l'enregistrement
- La date de dernier changement du mot de passe.
Vous changez votre mot de passe ? Pas de problème : Un coup de gomme est c'est fini.
Un petit truc : Ecrivez le nom du site en majuscules et soulignez-le, cela facilitera la recherche.
Le "moins" du carnet : Comme il faut saisir les mots de passe à chaque fois, la tendance est de limiter leur taille et leur complexité. Dans le cas du "coffre-fort à mot de passe" c'est un jeu de copier/coller.
Cette recette, tout le monde peut l'utiliser : Pas d'excuses du "c'est trop compliqué" ou "j'ai rien compris" !
Ecrire ses mots de passe : Oui à la maison
Oui, je recommande d'écrire ses mots de passe : D'un point de vue "risques", il y a plus de chances que votre compte Internet se fasse pirater d'une façon ou d'une autre que quelqu'un se "serve" de votre carnet. A contrario du bureau, les personnes ayant accès à votre domicile sont connues et à priori de confiance : Ce n'est à priori pas le cas dans un contexte professionnel.
Donc oui, à la maison, utiliser un répertoire alphabétique pour y écrire ses mots de passe personnel est mieux que de mettre la même mot de passe sur tous ses sites.
Un fort knox à la maison
Bien sur, les logiciels de "coffre-fort à mot de passe" sont utilisables dans un contexte personnel. Certaines personnes commenceront peut-être par le carnet pour ensuite passer au logiciel spécialisé. Dans tous les cas ce sera grandement mieux qu'un seul et même mot de passe pour tous leurs sites Internet... comme c'est malheureusement trop fréquemment le cas.
Le dernier p'tit "truc" du cuistot
Pour les sites personnels que vous accédez depuis le bureau, rien ne vous empêche de stocker les mots de passe dans votre coffre-fort professionnel. J'ai d'ailleurs créé spécialement un dossier "Personnel" dans mon gestionnaire afin de les séparer de ceux du coté pro.
Yes, ca marche !
Ces recettes, je les utilise moi-même et je les recommande à les collègues et à mon cercle personnel. Certains diront qu'elles sont perfectibles (surtout la seconde et ils auront raison) mais je leur dirai deux choses en retour :
- Ces
recettes permet de réduire le risque des mots de passe faibles,
similaires, jamais changés ou utilisés sur de multiples sites.
- Que si ils ont d'autres propositions plus astucieuses qu'ils nous en fassent part sans attendre. La fonction commentaires et là pour ça. :-)
Personnellement je ne recommanderais pas l'option numéro 2. Pour rien au monde.
Pourquoi ?
Que se passe-t-il en cas de sinistre chez soi (incendie, inondation, cambriolage, ...) et/ou que le fameux carnet disparait corps et âmes ? On perd sa vie numérique en même temps que le reste ?
Mon approche à moi, elle est bête et pragmatique.
Règle n°1 : bannir tout ce qui est non standard. Pourquoi utiliser un gestionnaire de mots de passe sous forme d'un n-ième logiciel alors que je peux tout stocker (et protéger via un mot de passe principal) sous Firefox ? Et tout sauvegarder facilement (excepté les plus critiques) de façon transparente via Mozilla Wave Sync ? 99% des mots de passe sont des mots de passe Internet, et donc sauvegardables sous Firefox.
Règle n°2 : repérer les comptes dont on se moque. Si on réfléchit bien, 95% des comptes qui nous demandent un mot de passe ne recèlent aucune information confidentielle. Il s'agit simplement d'un mécanisme permettant d'accéder simplement à son historique de commande, à son adresse postale (dont on se moque quand on est déjà dans l'annuaire) ou à la possibilité de visualiser/poster des messages dans un forum. Pour tous ceux-là, je renseigne systématiquement le même mot de passe. On me le vole ? Et alors ?
Règle n°3 : Il ne me reste plus que 3 sortes de mots de passe.
- Le mot de passe "jetable". Toujours le même, je l'utilise sur tous les sites qui me demandent une identification, mais pour lesquels aucune donnée importante ne se cache. C'est magique, on s'en souvient toujours. En plus, il est sauvegardé dans Firefox, et même synchronisé entre plusieurs ordinateurs de façon automatique et transparente.
- les mots de passe plus "sensibles" (messagerie électronique, réseaux sociaux, Amazon...). Ceux-là ne sont pas tous les mêmes, mais ils sont aussi sauvegardés par Firefox.
- les mots de passe réellement confidentiels (2 ou 3 maximum, type accès bancaire ou Paypal). Ceux-là (y compris le mot de passe de protection de Firefox), je peux les retenir facilement car ils sont peu nombreux et je sais qu'ils sont réellement importants.
Arrêtons de faire croire aux utilisateurs qu'avoir le même mot de passe partout c'est dangereux !!!
Ce qui est dangereux, c'est de mettre le même mot de passe à des endroits donc la confidentialité n'a rien à voir.
En phase avec vous sur la règle #1, le seul "bémol" que j'y mettrait porte sur 2 détails:
Détail 1) Dans les entreprises, Firefox n'a malheureusement pas pris le pas sur IE, ce pour des raisons de "compatibilité" avec les applications développées en internes.
Détail 2) Dans la sphère personnelle, je pense que les personnes utilisent IE en tant que browser car celui vient installé de facto avec la machine achetée au super-marché. Ils ne peuvent donc bénéficier des fonctions que vous présentez.
Ceci étant dit, cette règle #1 est très bonne.
Pour le reste, l'approche "à sensibilité différente, mot de passe différent" : J'achète aussi elle est pleine de sens.
Encore merci pour ces suggestions/remarques qui ne manqueront pas d'intéresser nos lecteurs.
En vous souhaitant une bonne journée.
Amclt,
JF.
Bonjour,
J'utilise PCSafe. Il est basique mais je le trouve pratique : http://siri.urz.free.fr/PCSafe.php
Merci pour cet article intéressant.
Bonjour,
De mon coté j'utilise depuis des années PGP, j'ai un dossier dans le quel je créé un fichier par compte, site ou autre, pour le quel je souhaite garder des informations. Puis je crypte le fichier.
Cela me permet de mettre l'ensemble dans un dossier sauvegarder au cas ou.
L'avantage est de pouvoir avoir toutes les informations souhaité sans limitation.
Mais je vais essayer PasswordSafe et KeePass, qui sait ?
Nicolas
Pour ma part j'utilise quand c'est possible, des mots de passes "jetable" dans les cybercafé et les lieux non surs autrement pour les sites sensibles comme Paypal j'utilise parfois le service de VeriSign One Click Sign In compris dans le Personal Identity Portal, ce service permet de s'authentifier en un click sans rentrer de mot de passe celui-ci est stocké sur le serveur de Verisign.
Sinon je fais comme Bertrand en utilisant des mots de passes identiques pour les sites ne comportant rien de confidentiel pour le reste des mots de passes différents.
Dommage que le téléchargement pointe sur le trop souvent vu :
Accès à un site interdit.
(content_filter_denied)
Le site auquel vous tentez d'accéder est classé dans la catégorie : "Freeware and Software Download;Productivity" qui est une catégorie interdite car il ne présente pas, a priori, un intérêt professionnel.
au passage on notera que la productivité n'a pas d'intérêt professionnel
Une petite astuce: on peut utilement stocker ses logins et mots de passe sur une feuille Excel, protégée en lecture par un unique mot de passe.
Cette méthode permet de stocker également les liens html associés, et les utilisateurs de réseaux mixtes Mac-PC comme moi n'ont besoin que d'une unique feuille.
La feuille Excel est un grand classique. Le plus souvent celle-ci n'est pas protégée par un mot de passe ou alors celui-ci est "faible". Personnellement, j'aurai tendance à ne pas utiliser ce type de moyen : on ne sait pas trop si le chiffrement mis en place est de qualité ou pas. Il suffit de lire les présentations d'Eric Filiol de d'ESIEA Recherche pour ressortir avec une idée plus "critique" de la sécurité de du chiffrement tel que mis en œuvre dans les outils Office.
Le coté "multi-plateformes" est effectivement un facteur de complexité additionnel : Une solution parmi d'autres pourrait être d'utiliser un conteneur crypté via TrueCrypt dans lequel la feuille Excel serait stockée. TrueCrypt est libre et disponible tant sous MS Windows que sous Mac OSX. Le "petit plus" ? Vous pourrez aussi sécuriser tout types de fichiers.
Je dirai que la solution "Fichier Excel crypté" c'est pas mal pour commencer mais pas adaptée pour un bon parano comme moi. :-)
à la place du ptit carnet,deux Clé USB dans les quelles je met en double tout mes dossiers sensibles,je ne laisse rien trainer sur l'ordi quand il est en connexion réseau, ce dans des répertoires sécurisé eux mêmes, fichiers des passewords inclus. Se méfier quand même des fichiers .log et des Keyloggers (enregistreur de frappe).
Approche intéressante. Par contre il ne faut pas perdre l'une des clefs USB. A moins d'en chiffrer le contenu., par exemple via un outil comme Portable TrueCrypt ou autre solution du même acabit.
Je site:
"Slides de la conférence d'Eric Filiol lors du FIC 2009 (http://www.fic2009.fr/fr/php/accueil.html) a Lille. Cette conférence est détaillée dans deux articles l'un publié dans la Revue de Défense Nationale, numéro de Mars 2009, pp. 74--86 (partie dediée aux cyber attaques visant des cibles ou opérations militaires) l'autre sera publié dans les actes de la conférence ECIW 2009 (http://www.academic- conferences.org/eciw/eciw2009/eciw09-timetable.htm) à Lisbonne en juillet 2009, où le cas des cyber attaques contre des cibles nationales civiles est présenté. "
Fin ce citation.
Ah, Eric Friliol et l'affriolante "Revue de Défense Nationale"!
Ah, les joyeuses "cyber attaques visant des cibles ou opérations miliaires"!
Ah, paranoïa, quand tu nous tiens ...
Bonjour,
Je ne parlerai que de la problématique en entreprise, qui est de loin la plus compliquée à gérer parce que les utilisateurs sont insensibles à la sécurité (malgré les campagnes que l'on peut mener) et ont souvent des comportements irresponsables. Aucunes de ces astuces n'est réellement applicable. Il faut que l'accès aux ressources soit facile pour l'utilisateur final, sinon point de sécurité. Il ne faut plus que les gens aient à mémoriser un seul mot de passe hormis un PIN code unique. Le seul dispositif efficace est le SSO (Single Sign On) avec une authentification au poste par carte à puce. Ce à quoi je m'emploie (En France pour commencer, les filiales peut-être ensuite). Amicalement.
André G.
Effectivement keepass est une très bonne solution quand l'entreprise n'est pas encore dotée d'un système de SSO/WebSSO.
Il est aussi possible de stocker le fichier de mot de passe à un espace de stockage sécurisé comme Digiposte ou Dropbox (dans un dossier non partagé bien sûr pour avoir partout accès à son coffre-fort.
Il existe par ailleurs une version "mobile" de keepass pour iPhones et Smartphones android