-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Bonjour! :) Perso, pour internet j'utilise un algo fait maison pour les mots de passe. je passe un ensemble de mots et de chiffres (que je suis sur de ne pas oublier) et du domaine de premier niveau du site sur lequel j'ai besoin du mot de passe dans mon algo et il me sort un mot de passe. Si le site est assez sensible, je réordonne les paramètres d'entrée de mon algo chaque mois, sinon c'est chaque année. J'utilise ensuite Keepass2 et owncloud pour avoir une copie du fichier .kdbx sur mon PC, sur mon dédié et sur mon téléphone.
Le 14/04/2015 10:09, Lien Rag a écrit : > Oui enfin cela dépend de quel compte de messagerie, facebook ou twitter... > Si tu as de toutes petites notions de sécurité en général, tu cloisonnes au maximum entre les différents usages, et les comptes que tu utilises pour délirer entre copains tu peux le plus souvent prendre le risque de les perdre... > Parce que la plus grosse erreur à commettre est d'utiliser le même mot de passe pour tous (la sécurité du mot de passe devient celle du plus faible de ces sites, et des sites faibles il y en a un paquet sur le Net), et qu'au-delà de cinq mots de passe j'ai du mal à les retenir (j'ai déjà perdu des comptes comme ça). > > Keepass c'est comme SSH, un crash disque et tu perds tout définitivement - c'est vrai qu'il y a la possibilité d'avoir une archive sur clé USB, j'avoue ne pas y avoir pensé, mais ça demande une bonne discipline (en permanence une copie sur le disque, une sur une clé USB, une autre sur une autre clé USB dans un lieu différent comme sécurité pour les cas de cambriolages ou incendie) pas évidente à respecter à chaque fois que tu modifies un mot de passe... > > Le 14/04/2015 11:51, Thierry Triponez a écrit : >> Bonjour, >> >> Surtout un site en http, première chose à vérifier avant d’entrer un mot de passe à quelque part, https et surtout à qui appartient le certificat ! >> >> Pour les mots de passe de tous les jours, c’est clair que plus le mot de passe est long, plus c’est compliqué, En raccourcis, une clé ssh n’est autre autre qu’un mot de passe plus long et impossible a mémoriser, donc Il faut l’avoir physiquement sur un support (Clé USB), ce qui pose d’autres problèmes. Pour éviter les keyloggers, certains sites on des claviers virtuels, avec les chiffres qui se déplacent, mais ça ne résiste pas à une attaque MITM. >> >> Si tu veux des mots de passe compliqués pour chaque site, il y a KeePass, ça génère des mots de passe et ça les stock. Il n’y a plus qu’à ne pas mettre 1234 ou password comme mot de passe principal et ne pas l’oublier :-) http://www.lesnumeriques.com/mots-passe-plus-utilises-top-25-demeure-domine-par-123456-n38815.html >> >> Il y a plusieurs niveaux ta machine personnelle ou une machine publique. Sur une machine publique, il y a les keyloggers ou aussi les attaques MITM, facile à réaliser dans un cyber, mais pas que, pour les plus anciens d’entre vous, peut-être que certains se rappelleront qu’au début d’Internet au Sénégal, l’accès aux banques étrangères n’était pas possible, la Sonatel avait mis un “proxy" qui réécrivait toutes les requêtes et les banques les refusaient ! >> >> Il n’y a pas de site "sans importance stratégique”, mis à part là ou tu dois t’authentifier pour participer à des forums ! Tout le reste est stratégique, la messagerie ou les banques, mais aussi Facebook, Twitter, etc… qui sont en passe de devenir la carte d’identité de certaines personnes. Pour les sites bancaires, seule une authentification forte à trois paramètres (compte, mot de passe et NIP, OTP ou autre) est sûre. Dans ce cas, le plus simple est le sms avec un mot de passe différent envoyé à chaque fois, c’est facile à mettre en place et dans un cyber, le pirate va se retrouver avec ton mot de passe, mais pas ton téléphone. Il ne va pas avoir le code à entrer. Pas de matériel supplémentaire et sécurité au maximum. >> >> Si tu veux te promener avec keepass ou des clés ssh, rien ne vaut une clé usb avec un conteneur TrueCrypt et Keepass dedans. >> >> http://www.cyber-securite.fr/2014/06/15/et-si-on-disait-stop-a-lhypocrisie-autour-des-mots-de-passe/ >> >> T⊥ >> >> From: Genova <[email protected] <mailto:[email protected]>> >> Reply-To: La liste de discussion autour de Logiciels Libres à Dakar <[email protected] <mailto:[email protected]>> >> Date: Tuesday 14 April 2015 11:12 >> To: La liste de discussion autour de Logiciels Libres à Dakar <[email protected] <mailto:[email protected]>> >> Subject: Re: [DakarLUG] Fwd: [GDG Yaoundé] [Débat] Une phrase de passe plutôt qu'un mot de passe >> >> Salut Seydina >> Je déconseille d'utiliser un site pour poster son mot de passe pour le tester ;-) >> Pas très sure comme démarche. >> Cordialement >> >> >> Le 13 avril 2015 14:35, seydina issa paté <[email protected] <mailto:[email protected]>> a écrit : >> >> Bonjour, >> Il faut aussi savoir qu'il y a pas mal de paramètres qui entrent en jeu pour avoir un mot de passe plus ou moins complexe (Longueur, caractères spéciaux, chiffres). >> J'ai trouve ceci pour plus d'informations. Testez un quelconque mot de passe sur cette page juste pour voir. >> Bonne lecture. >> http://www.pc-optimise.com/securite/password.php >> >> >> Le 13 avril 2015 12:34, Lien Rag <[email protected] <mailto:[email protected]>> a écrit : >> >> https://xkcd.com/936/ >> >> Mais il y a déjà des attaques par dictionnaire qui se basent sur cette éventualité.... >> D'autant que les "chapeaux noirs" se sont aperçus en analysant des bases de données de mots de passe crackés que les mots constituant les phrases de passe ne sont pas distribués aléatoirement, beaucoup d'associations classiques existent, ce qui diminue beaucoup l'entropie du résultat. >> >> Cela dit, le plus simple en termes de sécurité est d'avoir un mot de passe facile à retenir pour la majorité des sites sans importance stratégique et de réserver les mots de passe robustes (et donc difficiles à retenir) aux sites vraiment importants, que l'on ne va pas forcément ouvrir tous les jours sur des ordinateurs étrangers. >> >> D'autant que tu peux avoir le meilleur mot de passe du monde, tu vas l'ouvrir dans un cybercafé où il y a un keylogger (et vu qu'aux Sénégal quasiment tous sont sous Windows il est difficile d'empêcher qu'il y en aie un) et il devient partagé avec celui qui gère le keylogger, que ce soit sur place ou à distance... >> >> Apparemment une vraie sécurité se gère avec des clés SSH plutôt que des mots de passe, mais je m'y connais mal en SSH. >> >> >> >> Le 13/04/2015 14:22, Lamine Ba a écrit : >>> Point de vue intéressant. >>> >>> Lamine Ba >>> >>> Orlando JUG Member >>> Java User Group Leader >>> Co-founder & Coordinator of SeneJUG (www.senejug.com <http://www.senejug.com>) >>> General Manager of JUG-Africa (java.net/projects/jug-africa <http://java.net/projects/jug-africa>) >>> >>> Skype: tlamine88 >>> Tweeter: tlamineba >>> Linkedin: www.lamineba.com <http://www.lamineba.com> >>> >>> ---------- Forwarded message ---------- >>> From: *rv* <[email protected] <mailto:[email protected]>> >>> Date: 2015-04-13 7:30 GMT-04:00 >>> Subject: [GDG Yaoundé] [Débat] Une phrase de passe plutôt qu'un mot de passe >>> To: gdg-yaounde <[email protected] <mailto:[email protected]>>, gdg-douala <[email protected] <mailto:[email protected]>> >>> >>> >>> Bonjour à tous, >>> >>> "La phrase de passe", c'est ce qu'a avancé Edward Snowden concernant le choix d'un mot de passe par un utilisateur. Il affirme notamment dans une interview récente qu'un mot de passe à 8 caractères peut être trouvé en moins d'1 seconde aujourd'hui. Pour lui, il faudrait donc choisir quelque chose d'un peu plus complexe... http://atelierduweb.net/2015/04/changez-votre-mot-de-passe-en-phrase-de-passe/ >>> >>> J'ouvre donc un débat sur la nécessité d'opter pour un procédé que je trouve plus difficile du point de vue pratique pour l'utilisateur lambda. >>> >>> Seriez-vous tenté de changer votre mot de passe en phrase de passe? Quelles sont vos astuces pour choisir un bon mot de passe? >>> >>> Merci d'avance pour vos contributions. >>> >>> >>> -- >>> Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "GDG Yaoundé". >>> Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse [email protected] <mailto:[email protected]>. >>> Visitez ce groupe à l'adresse http://groups.google.com/group/gdg-yaounde. >>> Pour obtenir davantage d'options, consultez la page https://groups.google.com/d/optout. >>> >>> >>> >>> >>> -- >>> Ce message a été envoyé à la liste [email protected] <mailto:[email protected]> >>> Gestion de votre abonnement : http://dakarlug.org/liste >>> Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug >>> Le site du DakarLUG : http://dakarlug.org >> >> >> >> -- >> Ce message a été envoyé à la liste [email protected] <mailto:[email protected]> >> Gestion de votre abonnement : http://dakarlug.org/liste >> Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug >> Le site du DakarLUG : http://dakarlug.org >> >> >> >> >> -- >> /Seydina Issa PATE/ >> /Ingénieur en Téléinformatique/ >> /Certifié Linux Professional Institute/ >> /Tel : 77 524 11 00 / 76 689 78 27/ >> /[email protected] <mailto:[email protected]> / >> /skype : seysade// / >> >> >> -- >> Ce message a été envoyé à la liste [email protected] <mailto:[email protected]> >> Gestion de votre abonnement : http://dakarlug.org/liste >> Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug >> Le site du DakarLUG : http://dakarlug.org >> >> >> >> >> -- >> >> Genova >> +221772630047 / +221703337332 >> +221338697269 / +221338685574 >> 0033173033269 >> www.dofbi.com <http://www.dofbi.com> >> -- Ce message a été envoyé à la liste [email protected] <mailto:[email protected]> Gestion de votre abonnement : http://dakarlug.org/liste Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug Le site du DakarLUG : http://dakarlug.org >> >> >> -- >> Ce message a été envoyé à la liste [email protected] >> Gestion de votre abonnement : http://dakarlug.org/liste >> Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug >> Le site du DakarLUG : http://dakarlug.org > > > > > -- > Ce message a été envoyé à la liste [email protected] > Gestion de votre abonnement : http://dakarlug.org/liste > Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug > Le site du DakarLUG : http://dakarlug.org - -- Crypter vos email pour limiter la surveillance de masse. Guide : https://emailselfdefense.fsf.org/fr/ Teg-Wendé Idriss TINTO: Ingenieur en Informatique téléphones: (00226)70102936, (00226)66283666 email: tinto.jean[at]titinto[dot]net, twitter: @titinto_ skype: tinto.jean citation: « Notre mission est de préserver, protéger et promouvoir la liberté d'utiliser, étudier, copier, modifier et redistribuer les programmes informatiques, et de défendre les droits des utilisateurs de logiciel libre. » FSF -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iQIcBAEBAgAGBQJVLPHPAAoJEL/p1jNApPD+JrQP/ir0wMbRcX766ISMcAGqL8Kp EiGumv/zAMhiiItZjgCEchhcm4X3z35RpurXMeWUSAc1jiUiaTB1aSA3zy0oQ23D 9cCGFyMfqsO6IQ7OepCaN2+RPuyLLEDpkQBteu8UZyeduBHeLYar02XGPqdTkm/W YdmeXzutr690E6jGRS2FG1Ef1VJmxg8vjzsyk+gmG8PqwjTwHhrvDch0cfTf1kTQ qCgM2KxXB8O2NVS2uPeUoHNVPbcY7ysTeLcemaZGB1KHoNMuX9byVYF4yLsIoz7K v1UoA/AOKUmDM5NDI/d3GEd/f0SScvF5KX+rQyTiY0oYNskme3uy8HtUu7zh3wMn vkXAiksW2WA5EyONZnzjHbbQ4tPtFijXm4xFRDezSU1LIkzK/2NFzVfrawwJ0guJ zTien3w31q+Wa2HHIKdh+wyJPznlMTJfKf4riX9UEo8Yi+ibgfnRNS43VbQcJYv5 s9l00B6oEhDu2eQ05vkNmJ+YzfMvHPyIlTYZ40bIz7eD9BJ7K+NUP/K6sScb4xLf Zdvaj+nw42rU8JcZoZo5eDeWOi70KwoHMFTE3JbZjem7vb2m0nOYGMedKLNUE0Xs D7u6hYADUhSWFxkJRJj5drRNBpAtCqezgYvoWTQoCw9ROlsC1E8d5UUuvWD7Ie+z OqKHgNY7KVxKIxqwrSsx =EdA9 -----END PGP SIGNATURE-----
-- Ce message a été envoyé à la liste [email protected] Gestion de votre abonnement : http://dakarlug.org/liste Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug Le site du DakarLUG : http://dakarlug.org
