La sécurité a toujours un prix, pas forcement en monnaie, mais en discipline et oui, après 5 comptes, tu mets le même mot de passe partout ou tu mets un mot de passe très facile à retenir.
Un conteneur truecrypt avec keepass dedans, tu te l’envoies par mail, dropbox ou encore mieux ton propre serveur, loué ou auto-hébergé. C’est accessible depuis n’importe où, c’est sécurisé et tu peux en avoir plusieurs copies. T⊥ From: Lien Rag <[email protected]> Reply-To: La liste de discussion autour de Logiciels Libres à Dakar <[email protected]> Date: Tuesday 14 April 2015 12:09 To: La liste de discussion autour de Logiciels Libres à Dakar <[email protected]> Subject: Re: [DakarLUG] Fwd: [GDG =?UTF-8?B?WWFvdW5kw6k=?=] [ Débat qu'un mot de passe Oui enfin cela dépend de quel compte de messagerie, facebook ou twitter... Si tu as de toutes petites notions de sécurité en général, tu cloisonnes au maximum entre les différents usages, et les comptes que tu utilises pour délirer entre copains tu peux le plus souvent prendre le risque de les perdre... Parce que la plus grosse erreur à commettre est d'utiliser le même mot de passe pour tous (la sécurité du mot de passe devient celle du plus faible de ces sites, et des sites faibles il y en a un paquet sur le Net), et qu'au-delà de cinq mots de passe j'ai du mal à les retenir (j'ai déjà perdu des comptes comme ça). Keepass c'est comme SSH, un crash disque et tu perds tout définitivement - c'est vrai qu'il y a la possibilité d'avoir une archive sur clé USB, j'avoue ne pas y avoir pensé, mais ça demande une bonne discipline (en permanence une copie sur le disque, une sur une clé USB, une autre sur une autre clé USB dans un lieu différent comme sécurité pour les cas de cambriolages ou incendie) pas évidente à respecter à chaque fois que tu modifies un mot de passe... Le 14/04/2015 11:51, Thierry Triponez a écrit : > > Bonjour, > > > > > Surtout un site en http, première chose à vérifier avant d’entrer un mot de > passe à quelque part, https et surtout à qui appartient le certificat ! > > > > > > Pour les mots de passe de tous les jours, c’est clair que plus le mot de passe > est long, plus c’est compliqué, En raccourcis, une clé ssh n’est autre autre > qu’un mot de passe plus long et impossible a mémoriser, donc Il faut l’avoir > physiquement sur un support (Clé USB), ce qui pose d’autres problèmes. Pour > éviter les keyloggers, certains sites on des claviers virtuels, avec les > chiffres qui se déplacent, mais ça ne résiste pas à une attaque MITM. > > > > > > Si tu veux des mots de passe compliqués pour chaque site, il y a KeePass, ça > génère des mots de passe et ça les stock. Il n’y a plus qu’à ne pas mettre > 1234 ou password comme mot de passe principal et ne pas l’oublier :-) > http://www.lesnumeriques.com/mots-passe-plus-utilises-top-25-demeure-domine-pa > r-123456-n38815.html > > > > > > Il y a plusieurs niveaux ta machine personnelle ou une machine publique. Sur > une machine publique, il y a les keyloggers ou aussi les attaques MITM, facile > à réaliser dans un cyber, mais pas que, pour les plus anciens d’entre vous, > peut-être que certains se rappelleront qu’au début d’Internet au Sénégal, > l’accès aux banques étrangères n’était pas possible, la Sonatel avait mis un > “proxy" qui réécrivait toutes les requêtes et les banques les refusaient ! > > > > > Il n’y a pas de site "sans importance stratégique”, mis à part là ou tu dois > t’authentifier pour participer à des forums ! Tout le reste est stratégique, > la messagerie ou les banques, mais aussi Facebook, Twitter, etc… qui sont en > passe de devenir la carte d’identité de certaines personnes. Pour les sites > bancaires, seule une authentification forte à trois paramètres (compte, mot de > passe et NIP, OTP ou autre) est sûre. Dans ce cas, le plus simple est le sms > avec un mot de passe différent envoyé à chaque fois, c’est facile à mettre en > place et dans un cyber, le pirate va se retrouver avec ton mot de passe, mais > pas ton téléphone. Il ne va pas avoir le code à entrer. Pas de matériel > supplémentaire et sécurité au maximum. > > > > > Si tu veux te promener avec keepass ou des clés ssh, rien ne vaut une clé usb > avec un conteneur TrueCrypt et Keepass dedans. > > > > > > http://www.cyber-securite.fr/2014/06/15/et-si-on-disait-stop-a-lhypocrisie-aut > our-des-mots-de-passe/ > > > > > > T⊥ > > > > > > From: Genova <[email protected]> > Reply-To: La liste de discussion autour de Logiciels Libres à Dakar > <[email protected]> > Date: Tuesday 14 April 2015 11:12 > To: La liste de discussion autour de Logiciels Libres à Dakar > <[email protected]> > Subject: Re: [DakarLUG] Fwd: [GDG Yaoundé] [Débat] Une phrase de passe > plutôt qu'un mot de passe > > > > > > Salut Seydina > Je déconseille d'utiliser un site pour poster son mot de passe pour le tester > ;-) > > Pas très sure comme démarche. > > Cordialement > > > > > > > > Le 13 avril 2015 14:35, seydina issa paté <[email protected]> a écrit : > >> >> >> Bonjour, >> >> Il faut aussi savoir qu'il y a pas mal de paramètres qui entrent en jeu pour >> avoir un mot de passe plus ou moins complexe (Longueur, caractères spéciaux, >> chiffres). >> >> J'ai trouve ceci pour plus d'informations. Testez un quelconque mot de passe >> sur cette page juste pour voir. >> >> Bonne lecture. >> >> http://www.pc-optimise.com/securite/password.php >> >> >> >> >> >> >> >> >> >> >> Le 13 avril 2015 12:34, Lien Rag <[email protected]> a écrit : >> >>> >>> https://xkcd.com/936/ >>> >>> Mais il y a déjà des attaques par dictionnaire qui se basent sur cette >>> éventualité.... >>> D'autant que les "chapeaux noirs" se sont aperçus en analysant des bases de >>> données de mots de passe crackés que les mots constituant les phrases de >>> passe ne sont pas distribués aléatoirement, beaucoup d'associations >>> classiques existent, ce qui diminue beaucoup l'entropie du résultat. >>> >>> Cela dit, le plus simple en termes de sécurité est d'avoir un mot de passe >>> facile à retenir pour la majorité des sites sans importance stratégique et >>> de réserver les mots de passe robustes (et donc difficiles à retenir) aux >>> sites vraiment importants, que l'on ne va pas forcément ouvrir tous les >>> jours sur des ordinateurs étrangers. >>> >>> D'autant que tu peux avoir le meilleur mot de passe du monde, tu vas >>> l'ouvrir dans un cybercafé où il y a un keylogger (et vu qu'aux Sénégal >>> quasiment tous sont sous Windows il est difficile d'empêcher qu'il y en aie >>> un) et il devient partagé avec celui qui gère le keylogger, que ce soit sur >>> place ou à distance... >>> >>> Apparemment une vraie sécurité se gère avec des clés SSH plutôt que des >>> mots de passe, mais je m'y connais mal en SSH. >>> >>> >>> >>> >>> >>> Le 13/04/2015 14:22, Lamine Ba a écrit : >>> >>> >>> >>> >>>> >>>> >>>> >>>> Point de vue intéressant. >>>> >>>> >>>> >>>> >>>> Lamine Ba >>>> >>>> >>>> Orlando JUG Member >>>> Java User Group Leader >>>> Co-founder & Coordinator of SeneJUG (www.senejug.com >>>> <http://www.senejug.com> ) >>>> General Manager of JUG-Africa (java.net/projects/jug-africa >>>> <http://java.net/projects/jug-africa> ) >>>> >>>> Skype: tlamine88 >>>> Tweeter: tlamineba >>>> Linkedin: www.lamineba.com <http://www.lamineba.com> >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> ---------- Forwarded message ---------- >>>> From: rv <[email protected]> >>>> Date: 2015-04-13 7:30 GMT-04:00 >>>> Subject: [GDG Yaoundé] [Débat] Une phrase de passe plutôt qu'un mot de >>>> passe >>>> To: gdg-yaounde <[email protected]>, gdg-douala >>>> <[email protected]> >>>> >>>> >>>> >>>> Bonjour à tous, >>>> >>>> >>>> >>>> "La phrase de passe", c'est ce qu'a avancé Edward Snowden concernant le >>>> choix d'un mot de passe par un utilisateur. Il affirme notamment dans une >>>> interview récente qu'un mot de passe à 8 caractères peut être trouvé en >>>> moins d'1 seconde aujourd'hui. Pour lui, il faudrait donc choisir quelque >>>> chose d'un peu plus complexe... >>>> http://atelierduweb.net/2015/04/changez-votre-mot-de-passe-en-phrase-de-pas >>>> se/ >>>> >>>> >>>> >>>> >>>> J'ouvre donc un débat sur la nécessité d'opter pour un procédé que je >>>> trouve plus difficile du point de vue pratique pour l'utilisateur lambda. >>>> >>>> >>>> >>>> >>>> Seriez-vous tenté de changer votre mot de passe en phrase de passe? Quelles >>>> sont vos astuces pour choisir un bon mot de passe? >>>> >>>> >>>> >>>> >>>> Merci d'avance pour vos contributions. >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> -- >>>> Vous recevez ce message, car vous êtes abonné au groupe Google Groupes >>>> "GDG Yaoundé". >>>> Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le >>>> concernant, envoyez un e-mail à l'adresse >>>> [email protected]. >>>> Visitez ce groupe à l'adresse http://groups.google.com/group/gdg-yaounde. >>>> Pour obtenir davantage d'options, consultez la page >>>> https://groups.google.com/d/optout. >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> >>>> -- >>>> Ce message a été envoyé à la liste [email protected] >>>> Gestion de votre abonnement : http://dakarlug.org/liste >>>> Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug >>>> Le site du DakarLUG : http://dakarlug.org >>>> >>> >>> >>> >>> >>> -- >>> Ce message a été envoyé à la liste [email protected] >>> Gestion de votre abonnement : http://dakarlug.org/liste >>> Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug >>> Le site du DakarLUG : http://dakarlug.org >>> >> >> >> >> >> >> >> >> >> -- >> >> >> Seydina Issa PATE >> Ingénieur en Téléinformatique >> >> Certifié Linux Professional Institute >> >> Tel : 77 524 11 00 / 76 689 78 27 >> >> [email protected] >> >> >> skype : seysade >> >> >> >> >> >> -- >> Ce message a été envoyé à la liste [email protected] >> Gestion de votre abonnement : http://dakarlug.org/liste >> Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug >> Le site du DakarLUG : http://dakarlug.org >> > > > > > > > -- > > > > > > > Genova > > +221772630047 / +221703337332 > +221338697269 / +221338685574 > 0033173033269 > www.dofbi.com <http://www.dofbi.com> > > > -- Ce message a été envoyé à la liste [email protected] Gestion de votre > abonnement : http://dakarlug.org/liste Archives : > http://news.gmane.org/gmane.org.user-groups.linux.dakarlug Le site du DakarLUG > : http://dakarlug.org > > > -- > Ce message a été envoyé à la liste [email protected] > Gestion de votre abonnement : http://dakarlug.org/liste > Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug > Le site du DakarLUG : http://dakarlug.org > -- Ce message a été envoyé à la liste [email protected] Gestion de votre abonnement : http://dakarlug.org/liste Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug Le site du DakarLUG : http://dakarlug.org
-- Ce message a été envoyé à la liste [email protected] Gestion de votre abonnement : http://dakarlug.org/liste Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug Le site du DakarLUG : http://dakarlug.org
