Trieur Organisé de Solutions et de Ressources Informatiques

logo du site TOSRI

Mot-clé - password

Fil des billets - Fil des commentaires

26 février 2011

Niveau : personne ne possdant pas de comptences de bases en informatique

Mots de passe, comment s'en souvenir ?

Niveau : Facile
Temps : 5 min (lecture)

Aussi bien sur le web que pour des applications, lorsque l'on utilise régulièrement son ordinateur on est confronté à un problème de taille : comment se souvenir de ses mots de passe ? Cet article vient en complément de Comment bien choisir sont mot de passe et permet d'améliorer le rapport entre fiabilité et facilité de mémorisation. Un mot de passe simple (prénom, ville...) se retient facilement mais n'offre pas une sécurité suffisante, à contrario, un mot de passe fiable (67aCVd8eo1...) est difficile à mémoriser.

Quelques techniques sont à éviter :

  • Je n'ai qu'un ou deux mots de passe compliqués que j'ai mémorisé et je les emploient à chaque fois qu'on m'en demande un. Si on arrive à trouver votre mot de passe alors celui-ci donneras accès à tous vos comptes.
  • Je note l'ensemble de mes mots de passe sur un carnet à coté de mon ordinateur. Très efficace contre les pirates à distance mais inutile contre les personnes ayant accès à la pièce.
  • Mes mots de passe sont simples mais tous différents. Grâce à des listes de mots de passe type ils deviennent facile à trouver.

Il existe de nombreuses solutions pour stocker ses différents mots de passe sur un ordinateur. On peut citer le gestionnaire du navigateur Firefox qui mémorise les mots de passe sur le Web et qui est efficace, mais les mots de passe ne sont pas exclusivement présents sur internet.

Une technique pour les retenir tous :

Il s'agit de mémoriser une seule technique de création de mot de passe (que l'on peut qualifier d'algorithme). L'algorithme est comme une recette de cuisine où le gâteau représente le mot de passe, il faut suivre la recette pour le créer ; voici un exemple avec le site Facebook :

  • prendre la dernière lettre du nom de l'application / du site et la mettre en majuscule : K
  • ajouter le nombre de lettres du nom de l'application / du site : 8
  • ajouter ses voyelles : aeoo
  • ajouter un caractère spécial : ?
  • ajouter les consonnes de son prénom (ici Adrien) : drn
  • terminer par l'initiale de votre nom en majuscule : C

Le mot de passe obtenu pour le compte est : K8aeoo?drnC

On applique maintenant la même technique pour la messagerie yahoo : O5aoo?drnC

Chacun doit trouver sa propre recette, elle sera plus facile à retenir ainsi. Voici un site qui permet de tester le niveau de fiabilité de celui-ci : passwordmeter.com. On peut constater que la méthode employée en exemple est perfectible : sur ce site, le password obtient un score de 82%.

Les personnes septiques diront "C'est une technique qui présente un faille importante ! Si on trouve la méthode utilisée on peut retrouver tous les mots de passe !!". Certes mais l'algorithme étant caché dans le mot de passe, celui-ci doit être décodé en testant toutes les possibilités une à une ce qui, pour un mot de passe de plus de 10 caractères spéciaux / chiffres / lettres, requiert trop de temps.

Pour terminer ce billet : un mot de passe c'est comme un secret, la meilleure forteresse est dans son propre cerveau.


17 juillet 2010

Niveau : personne ayant des bases en informatique (terminologie, principe)

Les types d'attaques sur mots de passe

Difficulté : Simple

Préambule

J'ai eu le droit à quelques remarques sur mon post à propos des mots de passe. J'avais (volontairement) laissé de l'ambiguïté sur les différentes attaques sur les mots de passe utilisées par les pirates. Je crois qu'il est temps de lever le voile.
Cette explication est très basique et ne donnera pas d'exemple pratique via des logiciels, le but étant de comprendre et non de faire. De plus, nous ne verrons ici que des attaques basiques mais tout de même utilisées.

Deux types d'attaque

L'attaque par dictionnaire

L'attaque sans doute la plus rapide de toute. Supposons que l'utilisateur à inscrit un mot simple, utilisé dans le langage de tous les jours ou un nom propre plutôt connu.
Dans ce cas là, nous allons utilisé une attaque par dictionnaire : un logiciel testera des mots de passe qui proviendront d'une liste. Cette liste peut être dans le logiciel ou importer dans ce dernier s'il s'agit d'un fichier texte. Des listes existent sur Internet, pour toutes les langues possibles. Il est quand même plus dur de trouver un "dictionnaire" français qu'un anglais (dictionnaire voulant dire liste de mots ici).
Cette attaque est rapide, car il suffit au logiciel de tester tous les mots de la liste. Un dictionnaire français contient maximum 90 000 mots, un anglais 200 000. Si nous prenons les noms propres les plus courants, nous atteignons les 300 000 mots maximum. C'est un nombre de test ridicule et très cette attaque est finie très rapidement en général. Cela dépend de la vitesse de l'ordinateur et du logiciel, 1 minute suffit pour des ordinateur récents...

Attaque par force-brute (ou bruteforce)

Cette attaque demande une puissance de calcul importante. Le CPU (voire le GPU) sont très sollicités. L'attaque consiste à tester des mots de passe selon une boucle définie. Voici un exemple de ce que l'on peut faire :

  • On commence avec un mot de passe d'une lettre et on choisira de commencer par la lettre "a".
  • On continue jusqu'à la lettre z.
  • Les mots de passe à une lettre sont finis, nous essayons les mots de passe à deux lettres, recommençons avec "aa"
  • Nous irons jusqu'à "az" puis "bz"... et enfin "zz" !
  • Puis nous ferons les mots de passes de trois lettres de la même manière, puis de quatre lettres, de cinq, etc.


Si nous essayons tous les mots de passe jusqu'à 6 lettres, nous testons 26 possibilités * 26 * 26 * 26 * 26 * 26 = 308 915 776 mots de passe. Une somme importante fasse à nos ridicules 300 000 mots du dictionnaire cependant les mots testés n'ont aucune signification pour la plupart d'entre eux. Ils ne sont pas faciles à retenir et donc forcément moins utilisés par les utilisateurs.

Faisons un peu mieux alors

Dans les deux attaques précédentes, nous n'avons pas parlé de la casse, ni des caractères spéciaux. Certains logiciels prévoient de rajouter des espaces, des #, des + mais cela augmente le nombre de possibilités ! Et si on demande aussi de rajouter des chiffres de temps en temps, alors là...l'attaque devient très longue.

Et encore mieux, l'attaque hybride.

C'est sans doute l'attaque la plus longue voire la plus difficile à mettre en place. On utilise un mot du dictionnaire et la bruteforce. Le nombre de possibilités devient colossal ! Et même si elle a statistiquement plus de chance de réussir que les autres, elle est tellement longue qu'elle mettrait plusieurs vies à trouver un mot de passe long et compliqué. Mais là encore, cela dépend de la machine et du logiciel.

Donc mon mot de passe est inviolable ?

Et non ! C'est pas aussi simple.

  1. Les ordinateurs sont de plus en plus puissants donc calculent de plus en plus vite pour ce type d'attaque.
  2. Il existe des sites donnant des très grosses listes de mots de passes déjà décodés (le vôtre est peut-être dedans...).
  3. Certains pirates utilisent des ordinateurs qui ne leur appartiennent pas, ils peuvent donc profiter d'une puissance de calcul gratuite qui ne les dérangent pas.
  4. Les mots de passe ne sont pas toujours cryptés ! C'est le cas dans certains logiciels et sur certains sites. Dans ce cas, pas besoin de décrypter : c'est déjà fait !


Conclusion

J'espère que ce petit article vous aura éclairé. Il démontre deux choses étroitement liées que je voulais mettre en avant : plus le mot de passe que vous choisissez est compliqué et recherché, plus il sera dur à trouver. Évitez de prendre un mot de passe facilement trouvable avec ces attaques. Et enfin, dites vous qu'un mot de passe de 10 caractères avec des majuscules, des chiffres et les caractères spéciaux d'un clavier de base offre au minimum 100^10 combinaisons soit 100 000 000 000 000 000 000 combinaisons...De quoi dissuader bien du monde !


12 juillet 2010

Niveau : personne ayant des bases en informatique (terminologie, principe)

Comment bien choisir son mot de passe

Introduction

Qui n'a jamais mis un mot de passe complément bidon, trouvable dans n'importe quel dictionnaire (même celui des 11-15 ans !). Qui n'a jamais été tenté de mettre "azerty" ou "toto" voire "motdepasse" ?
Pour bien comprendre l'importance du choix d'un bon mot de passe, nous allons nous mettre (un peu) du côté des pirates (informatiques, bien sûr !)

Je suis un pirate !

Pas moi ! Nous ! Mettons nous à la place d'un pirate. Le pirate peut être partout, il y a beaucoup de moyen pour récupérer un mot de passe. Voici quelques exemples : le pirate peut regarder discrètement derrière votre épaule, il peut "voir" via un logiciel ce que vous tapez sur votre clavier, regarder dans votre navigateur les mots de passe enregistrés ou rentrer sur un site et voler les mots de passe des utilisateurs. Les techniques "manuelles" rapportent très peu de mots de passe. Les pirates préfèrent donc rentrer dans les bases de données.
On cherche à trouver un mot de passe. Les mots de passe sont stockés soit en clair, soit cryptés.

Mon mot de passe en clair !?

Et oui, certains sites choisissent de garder les mots de passe en clair ! C'est contre l'avis de la CNIL, c'est dangereux mais ça existe. Si un pirate rentre dans la base de données, il verra les mots de passe en clair donc directement utilisables. Dans ce cas, vous ne pouvez pas faire grand chose devant votre écran. Si vous vous en rendez compte et qu'il s'agit d'un petit site, demandez au webmaster s'il peut crypter les mots de passe. Mais rien ne l'y oblige...

Et sinon ? Les conseils.

  • Ne mettez pas votre nom de jeune fille, ni votre date de naissance ou le nom de vos enfants, si le pirate vous connait, il aura vite fait de trouver.
  • Ne mettez pas un mot du dictionnaire. Le pirate peut utilisé ce type d'attaque, elle est très rapide et fonctionne très bien.
  • Ne mettez pas "azerty" ou encore "123456789", ce sont des mots de passe tellement courant qu'ils sont vite trouvés.
  • Essayez d'avoir plusieurs mots de passe et de les changer de temps en temps. C'est compliqué mais c'est pour vous :-)
  • Ne gardez pas vos mots de passe sur ordinateur, s'il tombe en panne vous allez avoir des problèmes pour retrouver vos mots de passe et identifiants. Préférez un carnet papier bien caché chez vous ou sur vous !


Le bon mot passe, des idées.

  • Il est relativement long, au moins 8 caractères ce qui limitera l'attaque par la brute-force.
  • Il est recherché, un nom propre très peu connu et très peu utilisé, qui limitera l'attaque au dictionnaire.
  • Il peut être suivi ou précédé de chiffres (évitez les départements)
  • Il peut être un jeu de sonorité comme "6sauteuses100fond" (scie sauteuse sans fond) ou "0jourd87Aprem" ("aujourd'hui cette aprem").
  • Il peut être une phrase compliquée ou incompréhensible comme "MinceGbuMonChatpeau" ou "bellestallégretto"
  • Ne lésinez pas sur les accents et les caractères spéciaux comme "@ention.le#&là" (attention le dièse est là) ou "M*m²=Mmm!"
  • Vous pouvez utilisé une phrase culte un peu travaillée : "Y a pas que de la pomme !" peut devenir "Y a pa qu3 d'la P0mm3 !" puis "Iapaq32'laPôm3!" (il y a aussi de la betterave ;-) )
  • Voire utiliser des mots de langues différentes comme "Hel0UpareSESc8" (Hello you pareses cuit) ou "LaBidaS1tombeaulà" (la vida es una tombola)