Bonjour, Surtout un site en http, première chose à vérifier avant d’entrer un mot de passe à quelque part, https et surtout à qui appartient le certificat !
Pour les mots de passe de tous les jours, c’est clair que plus le mot de passe est long, plus c’est compliqué, En raccourcis, une clé ssh n’est autre autre qu’un mot de passe plus long et impossible a mémoriser, donc Il faut l’avoir physiquement sur un support (Clé USB), ce qui pose d’autres problèmes. Pour éviter les keyloggers, certains sites on des claviers virtuels, avec les chiffres qui se déplacent, mais ça ne résiste pas à une attaque MITM. Si tu veux des mots de passe compliqués pour chaque site, il y a KeePass, ça génère des mots de passe et ça les stock. Il n’y a plus qu’à ne pas mettre 1234 ou password comme mot de passe principal et ne pas l’oublier :-) http://www.lesnumeriques.com/mots-passe-plus-utilises-top-25-demeure-domine- par-123456-n38815.html Il y a plusieurs niveaux ta machine personnelle ou une machine publique. Sur une machine publique, il y a les keyloggers ou aussi les attaques MITM, facile à réaliser dans un cyber, mais pas que, pour les plus anciens d’entre vous, peut-être que certains se rappelleront qu’au début d’Internet au Sénégal, l’accès aux banques étrangères n’était pas possible, la Sonatel avait mis un “proxy" qui réécrivait toutes les requêtes et les banques les refusaient ! Il n’y a pas de site "sans importance stratégique”, mis à part là ou tu dois t’authentifier pour participer à des forums ! Tout le reste est stratégique, la messagerie ou les banques, mais aussi Facebook, Twitter, etc… qui sont en passe de devenir la carte d’identité de certaines personnes. Pour les sites bancaires, seule une authentification forte à trois paramètres (compte, mot de passe et NIP, OTP ou autre) est sûre. Dans ce cas, le plus simple est le sms avec un mot de passe différent envoyé à chaque fois, c’est facile à mettre en place et dans un cyber, le pirate va se retrouver avec ton mot de passe, mais pas ton téléphone. Il ne va pas avoir le code à entrer. Pas de matériel supplémentaire et sécurité au maximum. Si tu veux te promener avec keepass ou des clés ssh, rien ne vaut une clé usb avec un conteneur TrueCrypt et Keepass dedans. http://www.cyber-securite.fr/2014/06/15/et-si-on-disait-stop-a-lhypocrisie-a utour-des-mots-de-passe/ T⊥ From: Genova <[email protected]> Reply-To: La liste de discussion autour de Logiciels Libres à Dakar <[email protected]> Date: Tuesday 14 April 2015 11:12 To: La liste de discussion autour de Logiciels Libres à Dakar <[email protected]> Subject: Re: [DakarLUG] Fwd: [GDG Yaoundé] [Débat] Une phrase de passe plutôt qu'un mot de passe Salut Seydina Je déconseille d'utiliser un site pour poster son mot de passe pour le tester ;-) Pas très sure comme démarche. Cordialement Le 13 avril 2015 14:35, seydina issa paté <[email protected]> a écrit : > Bonjour, > Il faut aussi savoir qu'il y a pas mal de paramètres qui entrent en jeu pour > avoir un mot de passe plus ou moins complexe (Longueur, caractères spéciaux, > chiffres). > J'ai trouve ceci pour plus d'informations. Testez un quelconque mot de passe > sur cette page juste pour voir. > Bonne lecture. > http://www.pc-optimise.com/securite/password.php > > > Le 13 avril 2015 12:34, Lien Rag <[email protected]> a écrit : >> >> https://xkcd.com/936/ >> >> Mais il y a déjà des attaques par dictionnaire qui se basent sur cette >> éventualité.... >> D'autant que les "chapeaux noirs" se sont aperçus en analysant des bases de >> données de mots de passe crackés que les mots constituant les phrases de >> passe ne sont pas distribués aléatoirement, beaucoup d'associations >> classiques existent, ce qui diminue beaucoup l'entropie du résultat. >> >> Cela dit, le plus simple en termes de sécurité est d'avoir un mot de passe >> facile à retenir pour la majorité des sites sans importance stratégique et de >> réserver les mots de passe robustes (et donc difficiles à retenir) aux sites >> vraiment importants, que l'on ne va pas forcément ouvrir tous les jours sur >> des ordinateurs étrangers. >> >> D'autant que tu peux avoir le meilleur mot de passe du monde, tu vas >> l'ouvrir dans un cybercafé où il y a un keylogger (et vu qu'aux Sénégal >> quasiment tous sont sous Windows il est difficile d'empêcher qu'il y en aie >> un) et il devient partagé avec celui qui gère le keylogger, que ce soit sur >> place ou à distance... >> >> Apparemment une vraie sécurité se gère avec des clés SSH plutôt que des mots >> de passe, mais je m'y connais mal en SSH. >> >> >> >> >> Le 13/04/2015 14:22, Lamine Ba a écrit : >> >> >>> >>> Point de vue intéressant. >>> >>> >>> >>> >>> Lamine Ba >>> >>> >>> Orlando JUG Member >>> Java User Group Leader >>> Co-founder & Coordinator of SeneJUG (www.senejug.com >>> <http://www.senejug.com> ) >>> General Manager of JUG-Africa (java.net/projects/jug-africa >>> <http://java.net/projects/jug-africa> ) >>> >>> Skype: tlamine88 >>> Tweeter: tlamineba >>> Linkedin: www.lamineba.com <http://www.lamineba.com> >>> >>> >>> >>> >>> >>> >>> >>> >>> >>> ---------- Forwarded message ---------- >>> From: rv <[email protected]> >>> Date: 2015-04-13 7:30 GMT-04:00 >>> Subject: [GDG Yaoundé] [Débat] Une phrase de passe plutôt qu'un mot de >>> passe >>> To: gdg-yaounde <[email protected]>, gdg-douala >>> <[email protected]> >>> >>> >>> >>> Bonjour à tous, >>> >>> >>> >>> "La phrase de passe", c'est ce qu'a avancé Edward Snowden concernant le >>> choix d'un mot de passe par un utilisateur. Il affirme notamment dans une >>> interview récente qu'un mot de passe à 8 caractères peut être trouvé en >>> moins d'1 seconde aujourd'hui. Pour lui, il faudrait donc choisir quelque >>> chose d'un peu plus complexe... >>> http://atelierduweb.net/2015/04/changez-votre-mot-de-passe-en-phrase-de-pass >>> e/ >>> >>> >>> >>> >>> J'ouvre donc un débat sur la nécessité d'opter pour un procédé que je trouve >>> plus difficile du point de vue pratique pour l'utilisateur lambda. >>> >>> >>> >>> >>> Seriez-vous tenté de changer votre mot de passe en phrase de passe? Quelles >>> sont vos astuces pour choisir un bon mot de passe? >>> >>> >>> >>> >>> Merci d'avance pour vos contributions. >>> >>> >>> >>> >>> >>> >>> >>> -- >>> Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "GDG >>> Yaoundé". >>> Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le >>> concernant, envoyez un e-mail à l'adresse >>> [email protected]. >>> Visitez ce groupe à l'adresse http://groups.google.com/group/gdg-yaounde. >>> Pour obtenir davantage d'options, consultez la page >>> https://groups.google.com/d/optout. >>> >>> >>> >>> >>> >>> >>> >>> >>> >>> >>> -- >>> Ce message a été envoyé à la liste [email protected] >>> Gestion de votre abonnement : http://dakarlug.org/liste >>> Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug >>> Le site du DakarLUG : http://dakarlug.org >>> >> >> >> >> >> -- >> Ce message a été envoyé à la liste [email protected] >> Gestion de votre abonnement : http://dakarlug.org/liste >> Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug >> Le site du DakarLUG : http://dakarlug.org > > > > -- > Seydina Issa PATE > Ingénieur en Téléinformatique > Certifié Linux Professional Institute > Tel : 77 524 11 00 / 76 689 78 27 > [email protected] > skype : seysade > > > -- > Ce message a été envoyé à la liste [email protected] > Gestion de votre abonnement : http://dakarlug.org/liste > Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug > Le site du DakarLUG : http://dakarlug.org -- Genova +221772630047 / +221703337332 +221338697269 / +221338685574 0033173033269 www.dofbi.com <http://www.dofbi.com> -- Ce message a été envoyé à la liste [email protected] Gestion de votre abonnement : http://dakarlug.org/liste Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug Le site du DakarLUG : http://dakarlug.org
-- Ce message a été envoyé à la liste [email protected] Gestion de votre abonnement : http://dakarlug.org/liste Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug Le site du DakarLUG : http://dakarlug.org
