COMPTOIR
  
register

Composé par ————— —— 16535 vues

Il est fort, long et résistant... mon mot de passe ! Merci la CNIL !

« Oooh Rodrigue, comme il est fort et puissant et résistant, ton mot de passe ! » et c’est grâce à la CNIL (Commission nationale de l'informatique et des libertés) et à la journée européenne de la protection des données qui a eu lieu le 28 janvier. Un tas de bons conseils en ligne donne les clefs pour sécuriser et générer votre mot de passe. Des conseils bienvenus face aux meilleurs des pires des mots de passe de 2016. Ainsi, un bon mot de passe compte à minima 12 caractères, alterne majuscules et minuscules et caractères spéciaux (les fameux et mystérieux caractères spéciaux…). Par exemple Az&Rt123456! est un excellent mot de passe pour sécuriser le compte CDH de Bob.

 

LA CNIL propose un générateur de mots de passe pouvant s’avérer utile pour créer un mot de passe aléatoire et surtout sans liens évidents avec l’utilisateur (date de naissance, prénom du chien ou de la maîtresse ou du maître, c'est selon). La commission préconise aussi d’utiliser un mot de passe par compte. Les mots de passe forts, mais uniques sont donc à proscrire pour ne pas se faire « zhacketer » ses comptes, en même temps d’éviter de les enregistrer sur son navigateur web.

 

Fort de ces conseils, il faut aussi d’éviter de zapper ses sésames en utilisant par exemple un gestionnaire. A condition de ne pas se le faire hacker, dans ce cas ce sera un aller direct dans le baba !

 

cnil motdepasse

 

Par ici les conseils de la CNIL !
Un poil avant ?

Les Sensors du Rift font parler d'eux après avoir été hackés

Un peu plus tard ...

Helix, les SSD M.2 PCIe 32Gb/s NVMe à NAND 3D MLC qui montent à 2To chez Mushkin

Les 16 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Un ragoteur lambda du Centre, le Jeudi 02 Mars 2017 à 20h55  
par Loysy, le Mardi 31 Janvier 2017 à 19h40
Sinon, on peut laisser le chat choisir le mots de passe et quand l'enregistrement saute, on reset le pass.
J'ai une variante, la technique du poisson rouge. Quand je créé un compte, je regarde les consignes (caractères autorisés/nécessaires), et je génère un mot de passe complexe.
1 minute après, en recevant l'email de confirmation, je m'en souviens encore donc je peux me connecter.
Puis X jours plus tard, quand le cookie saute, ou en changeant de machine, aucun moyen de m'en souvenir donc je reset le mot de passe.
par Pascal M., le Jeudi 02 Février 2017 à 19h23  
par Aegis1383, le Mercredi 01 Février 2017 à 09h40
Il était fort, il était beau,
Il sentait bon le sable chaud
Mon gestionnaire...
par Gros, le Jeudi 02 Février 2017 à 18h03  
Perso après des années d'hésitation à utiliser password manager, j'ai basculé et j'utilise lastpass. Normalement c'est "relativement" sécurisé, évidemment il est possible avec une débauche de moyens d'avoir accès à la base en ligne au moment où je la sollicite et qu'elle se décrypte avec mon passe maître, mais ce n'est pas quelque chose que n'importe qui peut faire, et le peu qui peuvent ne le font pas sans cibler vraiment la personne.
par Un ragoteur qui aime les d'Ile-de-France, le Mercredi 01 Février 2017 à 15h42  
C'est tellement relou ces histoires de mot de passe...

Devoir installer un outil tier, qui nous manquera le jour où on voudra se connecter depuis un autre device, voire même système d'exploitation.

Ou alors les stocker sur un gestionnaire en ligne... qui nous manquera quand on aura une coupure de net. Bon d'un autre côté si on a pas internet, difficile de se logger sur des sites tu me diras Mais quid de la sécurité de leurs services?
par Guillaume H., le Mercredi 01 Février 2017 à 09h52  
par Un ragoteur parano de Bretagne, le Mercredi 01 Février 2017 à 09h39
Rien n'interdit d'au moins essayer de former les béotiens aux bonnes pratiques; ici, la CNIL aurait tout de même pu se fendre d'un conseil: "n'utilisez jamais le même mot de passe sur deux ou plusieurs sites différents !"
Ça je ne peux qu'être totalement d'accord. La CNIL fait quelque chose et c'est déjà pas mal, mais elle pourrait faire bien mieux (on peut toujours d'ailleurs).
par Aegis1383, le Mercredi 01 Février 2017 à 09h40  
Il était fort, il était beau,
Il sentait bon le sable chaud
Mon gestionnaire...
par Un ragoteur parano de Bretagne, le Mercredi 01 Février 2017 à 09h39  
par Guillaume H., le Mercredi 01 Février 2017 à 07h24
Superbe solution, mais problématique en déplacement
Non: l'extension en question permet de générer une page HTML "portable" qui contient tout le Javascript nécessaire à la génération du hash. Bien sûr, c'est beaucoup moins confortable (il faut entrer manuellement le domaine et, dans le cas de ma version modifiée, le "sel", puis copier/coller le mot de passe "hashé" dans le formulaire du site).

 
Totalement inutilisable pour Mme Michu qui est la cible de l'action de la CNIL.

Rien n'interdit d'au moins essayer de former les béotiens aux bonnes pratiques; ici, la CNIL aurait tout de même pu se fendre d'un conseil: "n'utilisez jamais le même mot de passe sur deux ou plusieurs sites différents !"
par UpsiloNIX, le Mercredi 01 Février 2017 à 09h36  
par Un adepte de Godwin embusqué, le Mardi 31 Janvier 2017 à 18h21
le rythme d'alternance majuscule/minuscule n'a pas d'importance ? (XxXxXx...) et les suites de nombres n'ont plus ?
Ce qu'il faut surtout c'est éviter les redondances, les pattern connus, ...
Si l'attaquant sait que ton MDP est une alternance de min/MAJ avec une période de 1, ça réduit vachement le nombre de possibilités. Idem pour les caractères spéciaux, les gens le mettent quasiment toujours juste à la fin, et une majuscule au début, ...

Conseillé par beaucoup : KeePass avec l'extension navigateur qui va bien si vous êtes flemmard.
par Guillaume H., le Mercredi 01 Février 2017 à 07h24  
par Un ragoteur panano de Bretagne, le Mercredi 01 Février 2017 à 00h54
Utiliser un même mot de passe (fut-il très "solide" ) sur tous les sites est stupide (en cas de vol de la base de données d'un des sites, tous vos logins sur les autres sites sont compromis): l'outil de la CNIL est donc inutile.

Je conseillerais plutôt un générateur de mot de passe du genre "Password Hasher" (extension Firefox): ce genre de générateur utilise votre mot de passe secret (qui, du coup, n'a pas besoin d'être différent pour chaque site) et le domaine du site (nettoyé des "www.", ".com" et compagnie) pour produire un "hash" qui contient lettres, chiffres et symboles spéciaux, et il rempli le champ d'entrée "mot de passe" sur les sites où vous vous loguez.

J'ai même modifié l'extension pour ajouter un "sel" (salt) perso ajouté en suffixe à tous les domaines de sites; plus difficile donc, voire impossible, pour quelqu'un qui parviendrait à récupérer les mots de passe sur un (ou plusieurs) site(s) de retrouver mon mot de passe secret à partir du hash et de l'extension "standard".
Superbe solution, mais problématique en déplacement et totalement inutilisable pour Mme Michu qui est la cible de l'action de la CNIL.
par Un ragoteur panano de Bretagne, le Mercredi 01 Février 2017 à 00h54  
Utiliser un même mot de passe (fut-il très "solide" ) sur tous les sites est stupide (en cas de vol de la base de données d'un des sites, tous vos logins sur les autres sites sont compromis): l'outil de la CNIL est donc inutile.

Je conseillerais plutôt un générateur de mot de passe du genre "Password Hasher" (extension Firefox): ce genre de générateur utilise votre mot de passe secret (qui, du coup, n'a pas besoin d'être différent pour chaque site) et le domaine du site (nettoyé des "www.", ".com" et compagnie) pour produire un "hash" qui contient lettres, chiffres et symboles spéciaux, et il rempli le champ d'entrée "mot de passe" sur les sites où vous vous loguez.

J'ai même modifié l'extension pour ajouter un "sel" (salt) perso ajouté en suffixe à tous les domaines de sites; plus difficile donc, voire impossible, pour quelqu'un qui parviendrait à récupérer les mots de passe sur un (ou plusieurs) site(s) de retrouver mon mot de passe secret à partir du hash et de l'extension "standard".
par Loysy, le Mardi 31 Janvier 2017 à 19h40  
Sinon, on peut laisser le chat choisir le mots de passe et quand l'enregistrement saute, on reset le pass.
par Guillaume H., le Mardi 31 Janvier 2017 à 19h34  
par Un adepte de Godwin embusqué, le Mardi 31 Janvier 2017 à 18h21
le rythme d'alternance majuscule/minuscule n'a pas d'importance ? (XxXxXx...) et les suites de nombres n'ont plus ?
Le mieux c'est d'avoir un mot de passe long et de préférence qui ne veut rien dire (même si c'est une association de mots). Ça évite le déchiffrage brut et c'est juste un peu plus chiant à taper