Catégories
freak web

Gestion des mots de passe

Hello ! J’ai un autre billet cul-cul en tête et je n’arrive pas à me résoudre à ne pas discuter de ça : les mots de passe sur Internet !

Par le passé, j’ai utilisé en gros trois types de mots de passe : les mots de passes longs et uniques pour les sites les plus sensibles (Mail, Amazon et Paypal), un salage de mot de passe assez long pour les sites importants et … le même mot de passe pour les sites bidons. C’est tout à fait loin d’être idéal.

C’est pourquoi je me suis récemment lancé dans une grande entreprise de tri pour détruire des comptes dont je ne servais plus (des sites répondent, d’autres pas :-/) et l’utilisation majoritaire de mots de passe uniques générés aléatoirement par l’écosystème d’Apple. J’essaye de passer petit à petit tous mes mots de passe en mot de passe unique dans le répertoire d’iCloud à l’exception des comptes critiques déjà nommés ci-dessus.

Je trouve franchement qu’Apple fait bien le job. L’ergonomie n’est pas encore nickel mais ça progresse avec les dernières versions d’iOS. J’ai tout de même conservé un gestionnaire de mots de passe. J’aimais bien KeePass car open-source et comme l’app que j’utilisais arrête d’être maintenue, je suis passé à Strongbox (basé sur KeePass pour récupérer mes données) et je le trouve bien ergonomique.

Tout ça est parfois vécu comme casse-pied mais c’est vraiment de l’hygiène de base dès lors qu’on utilise l’informatique. Petit rappel de règles que je trouve essentielles :

  1. Blindez le mot de passe de votre compte mail et changez le de temps en temps. Si vous n’arrivez pas à forger un mot de passe compliqué que vous pouvez retenir, utilisez une phrase de passe, ça se retient bien et c’est long pour résister à de la force brute
  2. (Avoir plusieurs comptes mails et ne pas tout concentrer sur un compte accroit votre robustesse au prix d’un peu de complexité)
  3. Très grande prudence avec les comptes Apple, Amazon, Paypal, Twitter, Facebook et tout ce que vous considérerez comme sensible
  4. Troisième rang en matière de risque : Netflix, Disney+ et la musique en streaming
  5. Utilisez des mots de passe unique et pour ça la solution est le gestionnaire de mots de passe
  6. Par pitié n’utilisez pas le même mot de passe pendant 20 ans, ça vous évitera de flipper quand votre vieux mot de passe sera utilisé pour vous « rançonner » . Regardez de temps en temps si vos mots de passe usuels (c’est mal !) sont dans les bases de données de piratage via le site have I been pwned ?
  7. Recherchez de temps en temps vos mots de passe dans le moteur de recherche de votre boîte mail. Quelques sites mal fichus utilisent de vieille version du moteur Prestashop qui envoie en clair les mots de passe dans votre mail d’inscription ! pas terrible ! (ou recherchez « Prestashop mot de passe »)
  8. Utilisez la double authentification tant que possible sur les sites les plus sensibles. L’utilisation d’une app tierce type Authentificator est plus solide que le SMS. Peut être que l’utilisation d’une clé type Yubikey est un plus pour les plus prudents. (Pensez à bien imprimer vos codes de récupération et stocker ces codes -en double- dans des endroits sûrs. Pensez aussi à sauvegarder vos apps de 2FA, surtout avant un changement de téléphone)
  9. Construisez vous une identité numérique, cultivez sa diffusion. Ainsi si on vous attaque d’un côté en essayant de vous pirater, vous pouvez utiliser votre identité ailleurs pour sonner l’alerte et vous défendre.

3 réponses sur « Gestion des mots de passe »

C’est la bonne façon de faire : coupler un gestionnaire de mot de passe au générateur de mot de passe Apple par exemple .

Le seul SPOF est ton mot de passe pour accéder au trousseau iCloud ou ton compte Google ou ton gestionnaire de mot de passe .

Là aussi il est possible de faire une double authentification via une application comme Google Authenticator.

les générateurs de mdp, ça me semble pas mal pour avoir un truc long et compliqué (+ double authent, ça blinde)
J’utilise pas mal une trame / algorithme si besoin de créer un mot de passe :
– 3 dernières lettres du site avant le .com (en mettant la première en majuscule
– 8 chiffres (une date
– mes initiales avec une lettre en majuscule
– un point d’interrogation
pour ici ça ferait Kb005032021jD!
mieux que rien et facile à retenir 😉
le vrai problème à mon avis, c’est la « persistance » des mdp

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *