Ah, les mots de passe!… Il en faut tellement, aujourd’hui, que leur gestion n’est vraiment pas facile. Idéalement, on ne devrait jamais utiliser le même mot de passe sur deux sites (ou services) différents car, si c’est le cas, une indiscrétion chez l’un permet à un employé malveillant d’accéder à votre compte chez l’autre. En plus, on devrait toujours mélanger chiffres et lettres majuscules et minuscules, afin de déjouer les dictionnaires des « hackers », et ne pas recourir à des mots connus ou des dates trop évidentes. Alors, comment se souvenir de tout ce charabia sans le noter quelque part? Quelqu’un aurait-il un truc?
Ce billet a été rédigé pour et publié à l’origine dans le blogue de l’Institut de sécurité de l’information du Québec (ISIQ), un organisme issu du CRIM qui fut dissous en juin 2010.
C’est la question que j’ai posée, la semaine dernière, à quelques participants d’une célèbre réunion de blogueurs montréalais. Tout d’abord, grosse surprise: même dans ce milieu très au fait des bonnes pratiques Internet, plusieurs personnages influents (dont je tairai le nom histoire de ne pas les mettre dans l’eau chaude) utilisent le même mot de passe un peu partout, sans se soucier des conséquences que cela pourrait avoir en termes de vol d’identité. Seconde surprise: à l’instar d’Éric Baillargeon, les blogueurs les plus prudents ne font même pas confiance à leur ordinateur pour stocker leurs mots de passe. Ils préfèrent les noter sur un petit carnet qu’ils rangent en lieu sûr une fois leur session de navigation terminée. Et pourquoi pas, au fond? Mieux vaut être rétro et bien portant que moderne et ruiné. 😉
Josh Nursinghdass, un ingénieur informatique mauricien récemment arrivé à Montréal, m’a également surpris avec sa façon de faire. Bien conscient de la nécessité d’utiliser un mot de passe unique pour chaque usage, il s’en remet au logiciel libre (open source) pour mémoriser les siens. Grâce à OpenOffice, une suite logicielle équivalente à Microsoft Office, il note tous ses mots de passe dans une fichier qu’il verrouille à l’aide de l’outil de cryptage du logiciel. Il est confiant parce qu’un logiciel libre, pense-t-il, est plus sécuritaire qu’un logiciel propriétaire. Or, il m’a fallu à peine cinq minutes pour trouver, sur Internet, un logiciel capable de « craquer » la protection des fichiers OpenOffice (tout comme celle des fichiers Microsoft, d’ailleurs). J’espère que Josh nous indiquera, en commentaire, ce qu’il pense de tout ça.
Au final, je me dis que ma méthode personnelle n’est pas plus mauvaise qu’une autre. Ce sera d’ailleurs le sujet d’un prochain billet. Et vous, qu’en pensez-vous?
«Grâce à OpenOffice, une suite logicielle équivalente à Microsoft Office, il note tous ses mots de passe dans une fichier qu’il verrouille à l’aide de l’outil de cryptage du logiciel.»
Tant qu’à protéger son fichier de mot de passe par une encryption, autant utiliser un chiffrement GPG. Ça a beaucoup plus fait ses preuves. D’autant plus qu’on peut mettre un mot de passe sur la clé privée, ce qui protège encore plus.
Hello !
En me basant sur mon expérience de “Ethical Hacker” et d’investigateur Forensic dans le domaine de la sécurité de l’information, je vous dis que OUI OUI OUI, il faut utiliser plusieurs BONS mots de passe et qu’il faut les changer régulièrement.
Voici ce que je considère comme un BON et un MAUVAIS mot de passe:
h3Y T0| C0mm3n7 V4 (bon)
j’aime Le Willi Waller (bon)
qwerty Qwerty Qwerty (pas bon)
zse4xdr5 Zse4Xdr5 (pas bon)
Voici enfin une liste d’applications qui peuvent vous aider à garder vos mots de passe au chaud 🙂
http://keepass.info/
http://sdm.sourceforge.net/
http://www.passwordcommander.com/download.html
http://passwordmanager.sourceforge.net/
http://sourceforge.net/projects/passwordsafe/
http://fpm.sourceforge.net/ (Linux)
http://keepassx.sourceforge.net/ (Linux)
http://kpasman.sourceforge.net/ (Linux)
http://www.download.com/Free-Password-Manager-Plus/3000-12772_4-10652172.html
Peace,
Adonis @ crim