Protection / Mot de passe

Salut,

Chacun à sa technique de mot de passe, un évènnement majeure dans sa vie, une combinaison de date et de lettres etc.
Tout ceci c'est bien mais, conseille d'ami; ajoutez un caractère de type £,$ ! ? % devant ou à la fin.

Bon, petit truc d'admin.
Moi, j'ai une technique très simple qui a résisté à 6 tests depuis des années par des sociétés spécialisé ayant effectué un audit dans ma société.

1°) Choisir une forme sur le clavier:
Carré => rfgt ou edcvbgtr
Triangle => sed ou wsedcx
Moi j'ai utilisé très longtemps une forme abscond : yujik, erftg, azsed etc...

2°) Choisir deux caractères spéciaux, '%, {' par exemple. Ne jamais les changer.
3°) Choisir de chiffre au hasard.

Exemple de mot de passe, on choisi le carré comme forme à 8 caractères.
=> %RFVbnhyt12{
Contrairement à ce que l'on pense, ce mot de passe est très facile à retenir et difficile a craquer car mélange de majuscule et minuscule, chiffre et caractères spéciaux.
De plus, pour s'en rappeler, il suffit de noter la première lettre et le chiffre...... Comment chacun des mots de passe auront la même forme sur le clavier, borné avec les deux caractères spéciaux.
R12 dans notre cas.
T59 = %TGBn,,juy59{
A43 = %AQWxcdez43{
Et ainsi de suite.
Bon, pour les faignants voici les trois générateurs de mots de passe qui ont remportés un concours :
Proctect IT
Need Password
et mon préféré : Ultimate Password Generator

Bon, pour les sceptiques, je sais c'est de la masturbation de synapses. Pourquoi ce sujet ? C'est un sujet que je trouve important quand on voit comment les gens se comportent sur internet, les enfants, face de bouc, et autre 'social network'. Mon fils a déjà été victime d'usurpation à cause d'un mot de passe simple et cela c'est quand même fini à la police.

Alors sortez couvert !

passepoil écrit:

Surtep écrit:

1°) Choisir une forme sur le clavier:
Carré => rfgt ou edcvbgtr
Triangle => sed ou wsedcx
Moi j'ai utilisé très longtemps une forme abscond : yujik, erftg, azsed etc...

carré= 4 lettres ou 8 et triangles 3 ou 6, j'ai bien compris?

Abscond, c'est 5 lettres?

Que penses-tu aussi de la ligne des chiffres au dessus du clavier quand tu restes en minuscule, c'est efficace?

Et pourquoi pas 1 ligne / 6 caractères azerty !!!!! :whistle:

Moi je mets toujours "CesPasBeauDeVoirMonCompte"

Personne n'a trouvé pour l'instant, alors chut, ne le répétais pas :)

Sinon plus sérieusement. Une autre technique consiste à mémoriser une phrase et a ne noter que la 1ere lettre de chaque mot
exemple : la vie est un long fleuve tranquille, donne "lveulft" ensuite on choisit de mettre la 1ere et dernière en majuscule par exemple.

il faut juste ce rappeler d'une chose :
- il y a des dictionnaires de mot de passe fréquemment utilisé qui sont utilisé pour tester la combinaison.
- les infos personnelles sont à éviter (date de naissance, quelque soit le sens, initial des enfants etc... ). C'est des combinaisons qui peuvent être ciblée.

Si le mot de passe ne rentre pas dans ces catégories "déchiffrable" il doit être cassé en force. Donc plus il est long et utilise mixe des caractères spéciaux+chiffres plus le tps de cassage est important.

Maintenant on parle beaucoup des mots de passes, mais il faut avant tout faire attention à son "comportement", face à la navigation web, les réactions par rapports aux emails reçus, les téléchargements, etc ...

Et oui, ça sert à rien d'avoir une porte blindée dernier cri, si on laisse la fenêtre ouverte :)

De nombreux e-délinquants l'ont bien compris (a ne pas confondre avec les vrais hackers). Comme il devient de plus en plus compliqué de casser des mot de passes sans se faire bloquer, il faut ruser pour le récupérer à l'insu de on propriétaire. (appli verolée sur play store/ ou apple store, faux mail officiel, faux site web en copie conforme à 'iginale, fausse plateforme de sécurité qui vous appellent directement etc...). Soyez un minimum parano quand il s'agit d'internet.

Et j'oubliais, faites très attention au question de sécurité qui servent à redéfinir un nouveau mot de passe en cas d'oubli.
Pour peu que la réponse se retrouve facilement sur internet en fouillant dans les données plubiques vous concernant (ou un proche)

et oui par moment pourquoi chercher à casser un mot de passe, quand il est plus simple de demander un changement pour avoir le contrôle du compte ....

passepoil écrit:

le truc, c'est de savoir quelles sont leurs techniques pour trouver les mdp, pour faire autrement...

la meilleure technique, c'est de te le demander. (non non c'est pas une connerie. on t'incite à le saisir, et dès que c'est fait, celui qui pilote tout çà reçoit une notification sur la nouvelle victime.).

Aller juste pour illustrer la copie de site. voile ce que peut se faire en 30 secondes chrono....

Retour à l'écran d'identification du forum

Là l'exemple est simpliste. un simple coup d'oeil sur l'url de la page permet de voir que ce n'est pas un lien vers le site 'igine. mais il existe des techniques pour générer de la confusion et laisser penser à une url valable.

ici ce n'est qu'une copie du code du site, je ne fais pas de traitement particulier sur le bouton connexion, mais rien ne m'empécherais de balancer un message "erreur de frappe, mot de passe inconnue", et te rediriger sur la vrai page de connexion du site.
Comment ça tu pense avoir fourcher sur les touches et donc tu ne t'inquiète pas. en attendant tu m'aurais donné ton mot de passe.

Et pour peu que tu utilise le même sur d'autre site ... ou pire sur ta messagerie. là c'est le jackpot... qui dit controle de la messagerie dit appropriation et changement possible de tout les mots de passe sur les sites ou te te rend et ou tu as donné cette adresse mail pour t'inscrire....

Surtep écrit:

=> %RFVbnhyt12{

celui là me plait bien! je prends :) (mais le répétez à personne!!

blague à part, l'autre question,si on pas de mdp unique (ce qui est préférable à mon sens..), c'est de les sauvegarder et souvent
on le fait sur le pc. moi j'utilise Keepass, et vous ???

Il faut absolument éviter le mot de passe unique qu'on utilise partout.
Personnellement, je n'utilise pas de logiciel pour sauver les mots de passe. il vaut mieux avoir un moyen mnémotechnique de se rappeler du mot de passe.
Dans tout les cas tu n'es pas à l'abri d'un pb informatique, d'un vol de pc, ... qui fera que tu sera obligé de faire marcher ta mémoire.

lacaille écrit:

Surtep écrit:

=> %RFVbnhyt12{

celui là me plait bien! je prends :) (mais le répétez à personne!!

blague à part, l'autre question,si on pas de mdp unique (ce qui est préférable à mon sens..), c'est de les sauvegarder et souvent
on le fait sur le pc. moi j'utilise Keepass, et vous ???

En ce qui me concerne, c'est le petit qu'a le pain qu'a les mots de passe aussi

Le mot de passe unique, si vous en avez un, alors plutôt qu'un mot de passe, predre une 'Passphrase' du Genre 'Jesuistonpereluke'

Bon à priori c'est un sujet qui vous interresse.
Il y a pas mal de bon et mauvaise réastion hein Rackam !!!

Bon, Tapez dans google : 'Statistique mots de passe en france' vous aures une liste de mot de passe les plus usités.

passepoil écrit:

Que penses-tu aussi [/color]de la ligne des chiffres au dessus du clavier quand tu restes en minuscule, c'est efficace?

=> Non car c'est un suite comme azerty, 1234 etc.

En revanche, mixer les différents type de caractères comme tyH56Uj00* J'ai très longtemps utilisé ce type et je le retiens comme t56,
erF34Tg00* = e34, sdC23Fv00* = s23. En plus avec cette technique j'ecris même les mots de passe au tableau... z34, t21, q67 etc....


Concernant le hacking de mot de passe, il existe plusieures techniques dont les plus répendues sont:

Le brute force = aller sur la boite d'authentification de ouestlekeum par exemple et tester des combinaisons.
Dans un forume il est facile d'avoir un pseudo, ensuite il suffit de faire tourner un robot qui a un dictionnaire de mot de passe.
J'évoque le terme dictionnaire car certains logiciels de hack on la liste exhaustive du contenu de plusieurs de dictionnaire (tel que le Robert).

Pour la petite histoire, tous les matins, lorsque j'arrive au travail, je consulte mes Firewall pour connaitre si un hacker essaye de se connecter.
Et tous les matins, j'ai une liste de user qui tentent de se connecter.

Sniffer de packet = mettre un logiciel espion qui analyse tout ce qui passe sur un réseau d'entreprise... Mais aussi sur le wifi perso..
Il y a deux, un logiciel qui 'écoutait' les réseau wifi. Il était capable de decrypter votre cle WEP en 2/3 heures.
Dans ma société, un auditeur a utilisé cette techique et a découvert pas mal de mots de passe....
Ne pas utiliser le codage wifi WEP !! trop facile a craquer.

Le spyware = logiciel permettant de tracer ce que vous tapez auclavier (keylogger par exemple).
Les deux seules protections que vous avez contre sont:
Votre comportement sur internet (type de site internet sur lesquels vous allez)
Votre suite logiciel de protection (anti-virus, firewall, antimalware etc.).

Enfin, la technique la plus simple, c'est de vous écouter. En écoutant les gens, on peut déterminer le type de mots de pass qu'ils utilise. Dans une conversation anodine.
Dans mon entourage, j'ai une personne qui a un soucis majeur de mémoire. Incapable de mémoriser les chiffres.
Gros soucis pour la CB, code de porte etc...
Cette personne a trouvé une technique pour mémorise ses codes.
Si vous parlez un peut avec cette personne en quelques minutes, vous aurez ses codes divers car elle va vous expliquer comment elle stocke ses mots de passe.

Me concernant, je change tous les ans de 'forme' sur le clavier. Tant que je n'ai pas changé de 'forme' je n'en parle pas.

Ceci dit, c'est un post sur les mots de passe.

En résumer :

Eviter le mot de passe unique

Avoir des mots de passe d'au moins 8 caractère (et c'est vraiment le minimum de nos jour)

Mixer majuscules, minuscules, chiffres et signe

Ne pas utiliser votre 'famille' du genre année de naissance, prénoms divers et variés.

Ne pas utiliser de mot commun.

Ne pas partager.

Ne pas utiliser le SSO. Le SSO est une technique de Single Sign On. Cette technique permet avec votre mot de passe Linkedin d'ouvrir votre compte fasse de bouc ou Gmail.....