2
Multi-Moderation: [RÉSOLU]
Qu'il me soit permis de vous posez 2 questions très simples:
- Toutes activités confondues, combien de comptes personnels avez-vous sur internet ? 10 ? 20 ? 30 ? Difficile de le savoir exactement, non ?
- Parmi tous ces comptes, combien de mot de passe différents avez-vous ? 1 ? 2 ? 3 ?
Personnellement, j'ai pendant très longtemps utilisé un mot de passe unique pour tous mes comptes... Par la suite, j'ai ajouté un peu de complexité en ajoutant un caractère supplémentaire pour les comptes vraiment importants... Pour finalement me décider à mettre en place une stratégie de mot de passe complète.
Commençons par enfoncer les portes ouvertes...Un mot de passe est considéré comme fiable que s'il est composé d'au moins 6 caractères mélangeant chiffres/lettres, majuscules/minuscules et symboles spéciaux... En théorie toujours, il faudrait avoir un mot de passe différents pour chaque compte, ne jamais le noter quelque part et le changer régulièrement... Bref, concilier toutes ces règles peut rapidement devenir un vrai casse tête
Le top du top serait de pouvoir respecter toutes ces règles sans même avoir recourt à certains logiciels ou services web se proposant de stocker vos mots de passe et vous permettre de les retrouver facilement... Car en cas de faille de sécurité ou de la découverte de votre mot de passe principal, c'est toute votre vie numérique qui sera mise à nue
Mais rassurez-vous, dernière cette "introduction" alarmistes, le but de ce topic est justement de vous expliquez comment respecter toutes ces recommandations sans vous arrachez les cheveux, à l'aide de règles mnémotechniques. Sachez auusi que je n'ai rien inventé, vous trouverez des explications similaires partout sur le web... La plus-value de ce topic réside dans l'ajout de mon retour d'expérience, enfin... Je l'espère
Comment composer un mot de passe intelligemment...En appliquant les 2 règles suivantes:
Commencer par choisir un bon invariant, une clef fixe: pour cela, prenez les initiales d'une phrase originale ou utilisez simplement le mot de passe le plus complexe que vous ayez actuellement. Ensuite: accoler un préfixe et un suffixe qui contiendront une syntaxe variable, déduite du nom du service ou de son URL, facilement mémorisable.- Exemple de syntaxe variable
- Recopier un certain nombre de lettre de l'url (la première, la dernière, les deux premières, etc)
- Compter le nombre de lettre dans l'url (Facebook = 8 lettres)
- Compter le nombre de voyelles et/ou consonnes (Twitter = 2 voyelles, 5 consonnes)
- Opérer un décalage alphabétique d'une lettre particulière ou de l'extension ( Le F de Facebook lettres devient H en ajoutant 2 lettres dans l'alphabet)
- Opérer un décalage "visuel" d'une touche en rapport avec une lettre particulière ou de l'extension (Google > La lettre G devient F par un décalage à gauche d'une touche sur un clavier azerty)
- Associer l'extension avec un caractère particulier (*.com devient $ / *.fr devient # / etc)
- Jouer sur la casse avec certaines lettres
- etc - Avantages :
- Mot de passe unique pour chaque service
- Mot de passe long et complexe qui reste pourtant très facile à retrouver pour son proprio.
- Quasiment impossible à comprendre/mémoriser si jamais quelqu'un voit rapidement un de vos mots de passe.
- Facile à modifier si un de vos mots de passe est compromis (on change la clef fixe ou les règles de construction)
- Vous pouvez créer des "catégories" de mot de passe en possédant plusieurs clefs fixes: vous gardez les même règles de constructions dynamiques MAIS vous disposez d'une clef fixe pour les réseaux sociaux, une autre clef fixe pour les services eCommerce/paiement/banque, etc etc.
- Pour changer vos mots de passes, il suffit de changer la clef fixe et/ou la méthode de construction. Pendant la période de transition, il n'est pas compliqué de retrouver un ancien mot de passe, le delta de composition étant "maitrisé". - Inconvénients:
- Si vous optez pour des transformations très "visuels" sur votre clavier, il peut être délicat de taper votre pwd sur un clavier étranger.
- Même remarque si vos règles de construction aboutissent à des caractères spéciaux absents des claviers étrangers (lettres accentuées, symboles, etc)
- Composer des règles qui ne soient pas valable en toute circonstance (Nom de service trop court "free", pas de voyelle, un tiret dans l'URL "voyage-sncf", etc)
- Faire attention pour les services qui exposent plusieurs URL (playsation, playsation network, playstation store)
- Ne marche par pour le digicode de l'ascenceur
- Exemple de composition
Pour vous faire un exemple concret, j'ai choisit les règles de composition suivante:
[indent]> Invariant: "j'ai rendez-vous à 6 heures demain" > gRDVa6h2M
> Préfixe, digit 1: Nombre de voyelles du service
> Préfixe, digit 2: Dernière lettre du service, en majuscule
> Suffixe, digit 1: Décalage "visuel" à gauche de la 1ère lettre de l'extension (*.com devient 'x' sur un clavier azerty)
> Suffixe, digit 2: 1ere lettre du service, en majuscule
[/indent]
Ce qui devient une fois appliqué: PP gRDVa6h2M SS
[indent]Google.fr : 3E gRDVa6h2M dG > 3EgRDVa6h2MdG
Facebook.com : 4K gRDVa6h2M xF > 4KgRDVa6h2MxF
Twitter.com: 2R gRDVa6h2M xT > 2RgRDVa6h2MxT
PcINpact.com: 2T gRDVa6h2M xP > 2TgRDVa6h2MxP
Gandi.net: 2I gRDVa6h2M bG > 2IgRDVa6h2MbG
[/indent]
La gymnastique n'est pas facile les 1ère fois, mais je vous promets qu'après 2 semaines, c'est très rapide à retrouver/taper ! (*)
Attention aux caractères spéciaux...D'expérience personnelle, faites très attention à l'utilisation des caractères spéciaux ! Vous tomberez forcément sur un site/service qui ne prendra en charge qu'un jeu limité de caractères spéciaux... Et là vous pouvez dire adieu à l'aspect universel de votre belle méthodologie de construction...
Pire encore, la version web supporte très bien vos caractères spéciaux MAIS l'appli mobile ne les supporte pas ! Quote, single quote, dollars sont des écueils redoutables pour les développeurs... J'ai eu le cas très souvent, donnant lieu a de joli plantage sur mon smartphone
Sur ce point, sachez que j'ai abandonné: je me concentre sur de l'alpha-numérique étendu aux majuscules (a~z, A~Z et 0~9), ce qui est suffisant avec des mot de passe de 13 caractères (dans mon exemple)
Attention à votre question secrète...Très souvent, les gens choisissent mal leur question... Rien ne sert de peaufiner des mots de passe en béton armé si un minimum de social engineering sur votre petite personne permet de retrouver le nom de votre chien... Paris Hilton en a fait les frais... Le chargé de com' du compte Twitter de Barack Obama aussi... Méfiez-vous !
Et pour les plus paranos d'entre vous...Afin de prendre TOUTES les précautions possibles (ce que je ne fais pas personnellement, mais au moins, c'est dit):
> ne mémorisez jamais vos mots de passe, que ce soit dans votre navigateur ou dans un logiciel spécialisé... Une fois stocké sur votre disque dur, il est toujours plus ou moins possible de vous les voler ou de les "perdre" en cas de problème... En plus, c'est le meilleur moyen pour oublier votre règle de composition à moyen terme...
> Configurez votre navigateur afin qu'il supprime automatiquement les cookies à la fermeture... Evitant de laisser des traces sur le disque, permettant d'accéder à vos comptes sans même utiliser votre mot de passe.
> Favorisez, dans la mesure du possible les connexions, en HTTPS aux services WEB.
____________________
Voilà, j'espère que mes explications et remarques vous aiderons à fiabiliser vos mots de passe. N'hésitez pas à me faire vos remarques/suggestions/propositions/critiques !
* = Pour un INpactien normalement constitué 
Retourner en haut
