Rendre un mot de passe plus difficile à briser

Tags
Utiliser le même mot de passe pour tout ses services c'est mal... 'Voyez?

Durant mon ménage aujourd'hui je suis tombé mon archive de podcasts de mon podast préféré: Security Now avec Leo Laporte et Steve Gibson qui expliquait certains concepts pour améliorer la sécurité des mots de passe [2].

Il est prouvé que beaucoup trop de gens utilisent le même mot de passe pour tous les services qu'ils utilisent. Encore pire, plusieurs utilisent un mot de passe trop évident.

Je ne suis pas plus «saint que le Pape» moi même. J'utilise parfois, trop souvent, le même mot de passe.

Je vais donc partager avec vous certains trucs que fait pour protéger mon identité.

Utiliser toujours le même mot de passe c'est mal!

... m'kaaay?

Pour plusieurs raisons.

  • C'est pas tout les gestionnaires de serveurs qui sont honnêtes;
  • Briser un algorithme «MD5 hash» est assez facile! [1] (pas impossible, disons);
  • Le code de crypto n'est pas toujours bien fait, et possible de faire du «reverse engineering»;
  • C'est pas sûr que le code encrypte en autre chose que MD5 (SHA par exemple), mais encore... c'est aussi (potentiellement) brisable que le MD5;
  • Si c'est un mot de passe trop facile a deviner qui cite quelque chose que tout le monde sait que vous aimez, par exemple, et sans même l'obscurcir.... et qu'il est utilisé partout.

Vous pouvez facilement vous imaginer que si vous donnez votre mot de passe MSN a ce site qui vous permet de savoir qui vous bloque, par exemple, pourrait capturer votre mot de passe et essayer sur tout les endroits possibles.

Surtout si vous avez fourni votre adresse courriel.

On ne peut pas contrôler tout le temps si la connexion est sécurisée, c'est pour ça qu'il faut faire attention aux mots de passe qu'on utilise et où.

Steve Gibson (...) I wanted to sort of take our listeners through this very feasible scenario. (...) [some guy], did create a tool which does this, which exists on the Internet. He set it up in a WiFi hotspot, intercepted ARP packets, and performed ARP spoofing to insert himself into connections. During a 24-hour period of time, he intercepted 114 logins to Yahoo.com, 50 to Gmail, 42 to Ticketmaster.com, 14 to RapidShare.com, 13 to Hotmail, 9 to PayPal, 9 to LinkedIn, 3 to Facebook. And so in that 24-hour period he captured 117 separate email account logons; 16 credit card numbers along with all of the subsidiary, you know, expiration date and security code and everything, users' names, passwords, everything required to use those cards; 9 secure PayPal logins; and over 300 other miscellaneous secure logins, using this tool.
Source: Steve Gibson, Security now! épisode #117 à 1:02:10

Imaginez donc si tout ces mots de passes accumulés proviennent de personnes différentes un pour un (ce gars) aurait accès a (environ)  372 usagers et mots de passe pour trois services par série.

C'est sûr que dans ce cas-ci c'était sur un Hot-Spot WiFi ou il a laissé son portable rouler son programme. C'est un scénario «faisable» donc on est jamais trop prudent.

Ce n'est pas, pour autant, une bonne raison pour ne pas utiliser de service Wi-Fi public.

Attribuer un mot de passe en fonction de la nature du service utilisé

... et de la manière que je me connecte.

Je trouve plus logique d'attribuer un mot de passe en fonction de cette logique, car ainsi on peut s'aider soi même a savoir quel est le mot de passe.

Personnellement plus important le mot de passe est, plus compliqué devient mon mot de passe.

Nature du service

Voici comment je catégorise les services en fonction de la complexité du mot de passe:

  1. Service bancaire (Banque, Paypal, Crédit, etc)
  2. Service de courriel professionnel
  3. Service de courriel secondaire
  4. Varia
  5. Service de courriel pour les pourriels (ex: Hotmail) Pour moi c'est là que je fait envoyer tout ce que je ne trouve pas important car je lis les courriels là qu'une fois par trois mois, environ)
Ensuite je m'assure que je peut avoir une connexion sécurisée (SSL... vous savez https) sur tout les moyens que j'utilise pour m'y connecter.

La manière que je me connecte au service

  1. via mon iPhone (une application) par 3G ou WiFi public ou non
  2. via une autre application que je ne fait pas nécessairement confiance
  3. via une connexion sécurisée ou non.
Vous pouvez-donc imaginer que selon la manière que je me connecte au service et son importance je sais pertinemment que mon schéma le plus complexe ne sera pas pour mon compte Facebook sur mon iPhone.

Sécuriser ses mots de passe

Comme je disais, je recommande d'avoir environ 5 mots de passe que vous catégorisez selon son importance.

A considérer lorsqu'on crée un mot de passe:

  • Non basé sur des mots de dictionnaire
  • Une version rapetissée d'une phrase
  • Avoir des caractères spéciaux (!@#$%?&) (vous pouvez même faire ceux avec ALT si vous vous connectez toujours au service sur un ordinateur de bureau avec pavé numérique, voir cette table qui dit comment faire)
  • Jouer avec la CasSe
Un mot de passe standard

Un concept pourrait être de faire un jeu d'association avec le site.

Exemple: Digg. Le premier mot qui te viendrait serait creuser, puis un truc qui te frappe quand tu va sur le site, disons son utilité, "mashup d'information".

On aurait donc les mots "Creuser" + "Mashup" + "information"; Remplacer aléatoirement... Cr3&mA*ion... ouf, ça ressemble a crémation (ça pas rapport aux pompes funèbre ce mot là?).

Anyway c'est plaisant, ca peut faire un autre mot alors ça peut nous aider.

Ensuite, tu peut décider de remplacer ton "Cr3&m4*i0n" eh voilà!

Un mot de passe plus complexe

Avec un peu le même concept que ci-haut, j'ajoute un autre caractère spécial et un sous-mot qui sert a changer le mot de passe. On y ajoute le caractère spécial ajouté "?"

Donnerait: "Cr3&?m4*i0n"

Exemple: PayPal avec le concept ci-haut mentionné.

J'ajoute en plus le jeu de CasSe pour la deuxième lettre du sous-mot (disons 4 lettres) relatif au site.

PayPal deviendrait donc: pAyp

Donnerait: Cr3&pAyp?m4*ion

Desjardins: dEsj

Donnerait: Cr3&dEsj?m4*ion

Votre avis

Partagez avec nous vos trus de sécurité. D'ici peu je parlerai d'une méthode alternative d'authentification a Multiple-Facteurs sans utiliser nécessairement le concept du SecureID de Verisign.

Références