Comments on Les malheurs des mots de passe

ooten (2016-09-25T19:39:52Z)

Et que penser du système de la validation en deux étapes : le première est la classique avec login/password puis la seconde consiste à envoyer au système d'authentification un code que ce dernier nous aura envoyé via un SMS. Cela me semble infaillible même si ça a un coût qui n'est plus nul.

Ruxor (2016-05-05T10:15:01Z)

@David Latapie: En fait, si, Password Safe est maintenant libre, si j'en crois <URL: https://www.schneier.com/cryptography/passsafe/ >. L'idée de faire confiance à quelque chose dont on ne pourrait pas lire le source pour stocker des mots de passe serait, de toute façon, idiote, et contraire à tous les principes de transparence en cryptographie (dont Schneier est le premier avocat…).

Mais ce n'est pas le seul point à prendre en compte, il y a plein de questions de fonctionalités, d'utilisabilité et d'ergonomie qui viennent derrière. Je n'arrive pas à trouver des détails sur la manière dont Password Safe partage les bases de données de mots de passe entre plusieurs machines et mobiles (y a-t-il des serveurs centralisés utilisant un protocole libre comme Firefox Sync ? je ne trouve pas d'explication à ce sujet). Je ne trouve pas non plus de confirmation qu'il est utilisable en ligne de commande Unix pour les cas où on se retrouve avec un simple accès terminal à un ordinateur. Je ne trouve pas de détails sur l'interaction avec le copier-coller des systèmes graphiques, l'intégration avec les navigateurs Web, etc. Fait-il du partage de secrets si veux donner mes mots de passe à un groupe de tiers ce confiance au cas où il m'arriverait quelque chose ?

Si le seul service qu'il offre est de chiffrer, je ne vois pas vraiment ce que ça m'apporte de plus par rapport à ce que je fais déjà (stocker les mots de passe peu importants dans un fichier en lecture privée mais non chiffré, et les mots de passe importants dans un fichier chiffré). Si l'interaction avec les systèmes qui demandent un mot de passe (genre, ssh un navigateur) n'est pas excellente, et s'il faut copier-coller, il sera de toute façon nécessaire d'apprendre par cœur les mots de passe vraiment fréquents.

Mais bon, je ne suis pas convaincu qu'il existe de vraies solutions : tout système d'authentification assez ergonomique et utilisable sera de toute façon merdique du point de vue sécurité.

David Latapie (2016-05-05T08:03:58Z)

Après de nombreuses années d'hésitation, j'ai décidé d'opter pour les gestionnaires de mot de passe et je ne le regrette généralement pas.

1. Utiliser Password Safe, conçu par une légende vivante de la sécurité informatique, Bruce Schneier. Seul bémol : il n'y pas d'implémentation open source pour toutes les plateformes.

Plus d'information sur PasswordSafe ici (avec le PDF à la fin, où l'on apprend que PasswordSafe est le seul à résister à une attaque MAL-CDBA) : https://www.schneier.com/blog/archives/2014/09/security_of_pas.html

2. Pointer la sauvegarde vers le répertoire locale d'une solution de sauvegarde en ligne bien protégée (préférer Spideroak à Dropbox).

3. Il y a deux mots de passe à retenir : le maitre-mot de passe de votre gestionnaire de mot de passe et le mot de passe de votre solution de stockage. Pour choisir ces deux mots de passe, il faut utiliser quelque chose d'à la fois hautement entropique pour être difficile à trouver pour un ordinateur et facile à mémoriser (et à taper sur tous les claviers, pas seulement AZERTY) pour un être humain. J'ai deux recettes
- soit mymonero.com (je crée un compte et je récupère la clé mnémonique, qui est basée sur diceware)
- soit les "padded passwords" (quelqu'un a-t-il une traduction élégante ?) https://www.grc.com/haystack.htm

4. Ne pas oublier que trop de sécurité tue la sécurité. Combien de gens ont si bien protégé leurs données qu'ils les ont protégés contre eux-mêmes, en oubliant leur mot de passe ou la méthode exacte pour l'obtenir (j'appelle ça "l'effet écureuil")

5. Mentez dans les questions secrètes, on trouve souvent les réponses sur les réseaux sociaux, surtout quand vous n'avez que des choix limités pour la question. De toute manière, vous n'avez pas besoin de question secrète si vous utilisez un gestionnaire de mots de passes.

J'en parle un peu plus ici : <URL: https://plus.google.com/+DavidLatapie/posts/UtfYtnGiHXq >

SB (2016-04-29T18:32:09Z)

@Ruxor:
« cryptogramme de sécurité à 3 ou 4 chiffres »

Pourquoi ça s'appelle « cryptogramme » d'ailleurs ? C'est pour donner une fausse impression de sécurité ou il existe une bonne raison ?

Par ailleurs, comment se fait-il qu'on puisse payer avec un numéro de carte bancaire, sans code confidentiel ni signature, mais qu'on ne puisse pas faire pareil avec un numéro de chèque ou de compte ?

phi (2016-04-29T14:17:14Z)

J'utilise des mots de passe avec uniquement des chiffres (si le site l'autorise):
- c très facile à taper très rapidement sur le pavé numérique
- ya très peu d'erreurs de frappe
- on peut facilement cacher le pavé numérique avec l'autre main
J'utilise des séquences de 8 à 30 chiffres (alors non mémorisables par les gens normaux) qui sont la concaténation de séquences bien connues de moi seul, telles que des vieux numéros de téléphone (non, pas 299792458, etc.).

sinon, j'utilise parfois des mots, dont je ne garde que les consonnes, mais c plus long à taper.

Et je stocke mes mots de passe avec Keepass, qui semble assez sûr.
http://keepass.info/help/base/index.html

Ruxor (2016-04-29T09:06:31Z)

@Touriste: La sécurité informatique étant ce qu'elle est, des numéros de carte de crédit stockés chez n'importe qui finiront forcément par fuiter. Parmi les numéros volés, une petite proportion servira : ça fera beaucoup de gens dans le monde, mais parmi les clients d'une banque donnée, et certainement d'une agence bancaire, pas énormément. On finira sans doute par persuader la banque de recréditer le compte (ça dépend peut-être de si le numéro a été volé avec ou sans son cryptogramme de sécurité à 3 ou 4 chiffres) ; mais ça coûtera beaucoup de temps, d'efforts, de lettres recommandées, de plaidoyers au téléphone, etc., et pendant ce temps, la somme d'argent débitée, qui est peut-être importante, ne sera plus sur le compte.

J'ai eu vent d'histoires de gens dont on a utilisé frauduleusement la carte (ce n'est pas toujours clair s'ils auraient pu l'éviter), et dans l'ensemble ils obtiennent gain de cause à la fin, mais ça peut leur coûter énormément d'efforts et d'anxiété. Parce que les banques ne lâchent pas le morceau facilement, même quand on a plein de preuves de bonne foi.

Tiens, il y a un an et quelques, mon poussinet et moi sommes allés à New York, mon poussinet a tout payé par carte, et sur l'un de ces achats, le commerçant a frauduleusement ajouté un tip (c'était dans un deli self-service du coin de la rue, et ce n'était pas un oubli, le poussinet a décidé que s'il n'y a aucun service il n'y a pas de raison de payer pour le service) ; le montant était minuscule, bien sûr, mais pour le principe (et surtout pour que le commerçant malhonnête reçoive 0$ au lieu de recevoir un prix sans tip), mon poussinet s'est plaint ; et comme il avait l'exemplaire client du ticket carte bancaire, la fraude était claire et démontrable, et comme American Express a une procédure prévue exprès pour ce cas, il aurait dû être facile de récupérer l'argent, mais non, la banque l'a placé dans une boucle infinie où elle lui demandait sans arrêt les mêmes pièces et les mêmes choses, et il a fini par se lasser. Il est vrai que c'était une banque purement en ligne, ce qui n'arrange sans doute pas les choses.

Bref, ce qu'on achète surtout avec les numéros de carte bleue à usage unique, c'est la tranquillité d'esprit.

Touriste (2016-04-28T15:51:59Z)

"je ne stocke aucun numéro de carte de crédit sur Amazon, il faut être fou pour ça"

Je suis très clairement beaucoup moins prudent que toi, je commets des failles de sécurité que je ne révèlerai pas dans ce commentaire public, mais là quand même tu me sembles avoir un ton excessivement apocalyptique - peut-être celui-ci dépasse-t-il ta pensée sur ce point ?

Je stocke pour ma part mon numéro de CB dans quelques gros sites où je reviens souvent (Amazon, Booking, CaptainTrain et j'en passe probablement). J'ai du mal à y voir un risque substantiel - je risque à tout casser d'avoir à envoyer un mail à ma banque exigeant le remboursement d'une opération frauduleuse, dans un contexte où quelques millions de personnes auront subi le même désagrément ; avec un peu de chance le commerçant où ça aura fui m'offrira pour s'excuser un bon d'achat de quinze euros à consommer sur ses invendables. Enfin j'imagine. Tu penses qu'il y a des risques plus substantiels ? (On sort bien sûr du thème de l'entrée, ne te gêne donc pas pour m'envoyer balader courtoisement et fermement, bien sûr).

Ptitboul (2016-04-28T12:03:51Z)

Au sujet de l'authentification biométrique, l'article publié en 2003 par Philippe Wolf dans la revue Sécurité Informatique du CNRS (les archives ne sont plus en ligne, j'en ai mis une copie sur <URL: http://www.di.ens.fr/~granboul/SecuInfo/num46.pdf >) est toujours d'actualité.

Ruxor (2016-04-27T12:12:10Z)

@Natacha: Je suis chez LCL, et j'utilise leur e-cartebleue. C'était en effet un truc en Adobe Flash jusqu'à récemment, maintenant c'est du HTML5, et ça marche très bien. On entre un identifiant et un mot de passe, on saisit le montant qu'on veut payer, et il génère un numéro de carte de crédit (présenté sous forme imitant l'image d'une vraie carte de crédit, mais le numéro est du texte et donc copiecollable, ce qui est pratique). Je crois que beaucoup de banques françaises passent par le même système e-cartebleue, en fait, donc ce que je dis n'a sans doute rien de spécifique à LCL.

Le principal gag c'est qu'il faut retenir chez qui on ne peut pas s'en servir : à savoir, les gens qui vont demander à voir la carte de crédit après (pour récupérer un billet de train ou une chambre d'hôtel, par exemple). Chez certains marchands qui s'obstinent à mémoriser tous les numéros, on se retrouve à accumuler les cartes, ce qui est un peu agaçant, aussi, de temps en temps il faut faire le ménage. PayPal (que je déteste cordialement) est particulièrement pénible parce qu'ils ont une limite sur le nombre de cartes qu'on peut mémoriser simultanément si on n'a pas un compte payant chez eux : ils recommandent de ne pas utiliser de numéros jetables et de leur faire confiance, mais personnellement je n'ai aucune envie de leur faire confiance. Ah, et il y a des sites pénibles qui vous disent le montant des frais d'envoi seulement après que vous avez entré un numéro de carte de crédit : pour ces gens-là, j'ai des numéros bidon (complètement faux, mais qui passent la somme de contrôle évidente) que je rentre pour passer à l'étape suivante, afin de connaître les frais d'envoi et revenir mettre le vrai numéro de carte bancaire temporaire. Enfin, tous ces inconvénients sont somme toute très mineurs.

Natacha (2016-04-27T09:33:25Z)

C'est un peu tangentiel, mais puisque c'est mentionné dans l'entrée : qu'utilises-tu comme système de numéro de carte bancaire unique ?

On m'a dit que les banques utilisaient à peu près toutes la même chose, qui ne se présente que sous forme d'application flash ou de bidule dans la barre des tâches de windows, qui sont deux technologies incompatibles avec mes choix d'environnement informatique. Les choses (ou wine?) ont-elles évolué depuis cet état des lieux ?

Pour le fond de la question, j'ai la chance d'arriver à mémoriser facilement des mots de passe complètement aléatoires (habituellement 10 caractères parmi 68 signes, j'en ai quelques dizaines que je peux ressortir fiablement sur un clavier qwerty US), mais je cherchais aussi du côté des « hash de tête » pour trouver une meilleur solution.

Ma dernière itération est une grille de « mots » aléatoires courts, stockée sur un papier aussi précieusement que mon argent en papier ou en plastique, et mémoriser un chemin de concaténation dans cette grille.

Mais quelque soit la quantité d'assistance à la mémorisation, je continue d'être mal à l'aise devant la surface d'attaque offerte par les mots de passe statiques. J'attends beaucoup des tokens matériels, mais l'avenir se fait attendre.

xavier (2016-04-26T23:09:58Z)

"d'autre part cela voudrait dire que des tiers ne pourraient pas s'en servir pour contacter mes proches s'il m'arrive un accident, et je trouve ça inacceptable."

C'est faux. Du moins ça l'est sur mon Z3 compact. Est dans android de base ou dans la surcouche sony? Je ne sais pas mais on peut appeler les urgences sans pin.

Nick Mandatory (2016-04-26T21:44:00Z)

Le test à la con du fameux serveur, ça pourrait pas simplement être l'interdiction de réutiliser un ancien mot de passe ? Y a des pervers qui font ça.

Koko (2016-04-26T15:39:43Z)

Un truc qui simplifierait beaucoup la saisie des mots de passe, c’est qu’à chaque boîte de saisie un rappel des règles ubuesques, arbitraires et surréalistes imposées par le site soit fait. Je fais pas mal de re-use de mot de passe, dès que ce n’est pas critique, mais mon mot de passe « générique » doit être adapté bien trop souvent. Certains sites interdisent les caractères de ponctuation, d’autres imposent des majuscules ET des minuscules ET des chiffres. D'autres interdisent les chiffres. Impossible de trouver un mot de passe qui satisfasse toutes les contraintes à la fois. Donc ça veut dire des variantes, donc des tas de choses à mémoriser.
S’il y avait écrit « attention, ici nous sommes des chieurs qui refusons les caractères _ et % », je me souviendrais qu’il faut que je prenne la version de mon mot de passe où % est substitué par pc et _ par - (exemple fictif).

Au fait, merci de ne pas imposer de mot de passe pour les commentaires de ton blog.

Serge (2016-04-26T14:02:36Z)

Conseil d'ami : il vaut mieux éviter de changer son mot de passe peu de temps avant de partir en vacances. Sinon, quand on revient on l'a complètement oublié et on ne se rappelle que le précédent. Pourtant, on peut être tenté faire ça pour prévenir une intrusion en son absence… à éviter ! Et puis il y a ceux qui oublient systématiquement de vérifier que leur pavé numérique est allumé parce qu'ils n'ont pas assez dormi en arrivant au bureau, et alors si le système éteint leur pavé au démarrage ils sont bons pour une réinitialisation après trois essais infructueux.

C'est très bien que le système impose certaines contraintes sur le choix du mot de passe, mais ça ne peut marcher que si on n'est pas admin car sinon on peut toujours les court-circuiter. Le problème c'est qu'on s'attache parfois à son mot de passe, parce qu'il a une valeur affective et qu'il nous rappelle quelqu'un ou quelque chose qu'on aime bien. Du coup on n'a pas trop envie d'en changer et cela peut s'avérer dangereux à la longue. D'accord, on peut toujours utiliser ce mot comme première partie fixe et garder une autre partie variable qui ne voudra rien dire, mais si cette partie est du genre #{?50 le charme du mot de passe chéri disparait vite.

J'avais autrefois un chef dont le mot de passe était fidèle25 (je ne me souviens plus du chiffre exact) et son prochain mot de passe serait très certainement fidèle26 dès que le système exigerait de le changer. Alors je me dis qu'il vaut mieux éviter d'utiliser un mot de passe qu'on aura honte de divulguer le cas échéant à une personne tierce, par exemple le nom de sa maitresse ou de son amant ou je ne sais quel truc cochon très excitant mais parfaitement incommunicable. Et du coup, je ne sais pas du tout si mon chef était vraiment quelqu'un de fidèle… ;-)

Sheld (2016-04-26T12:51:25Z)

Depuis KitKat Android a un group de contact ICE (In Case of Emergency). Les contacts de ce groupe peuvent être appelés avec la fonction d'appel d'urgence qui est disponible quand l'appareil est verrouillé. Cela répond à ton dernier point, mais c'est vrai que c'est très pénible d'avoir à saisir un PIN à chaque fois qu'on veut utiliser son téléphone.

B. (2016-04-26T10:13:58Z)

There is an attempt to solving (some of) the problems you are mentioning. The idea is basically to compute ad hoc passwords from a unique source using one-way functions that are computable by a human. See http://arxiv.org/abs/1404.0024.


You can post a comment using the following fields:
Name or nick (mandatory):
Web site URL (optional):
Email address (optional, will not appear):
Identifier phrase (optional, see below):
Attempt to remember the values above?
The comment itself (mandatory):

Optional message for moderator (hidden to others):

Spam protection: please enter below the following signs in reverse order: 54a521


Recent comments