Retenir ses mots de passe

Dans mon article Protéger l’accès à un OpenDocument avec un mot de passe, je disais de ne pas oublier ses mots de passe et promettais de faire un article sur le sujet. Le temps est venu de le faire. Je vais ici parler de la technique donnée par l’administrateur système de mon entreprise pour que nous puissions retenir les mots de passes de tous les services que nous utilisons et que ces mots de passe soient différents pour tous ces services tout en étant suffisamment puissants pour résister un minimum à une attaque par force brute.

Les mots de passe

Il y a plusieurs problématiques compliquées à gérer pour un cerveau humain qui seront partiellement résolus avec cette technique :

  • Le premier problème avec les mots de passe est qu’il vous en faut beaucoup car il est indispensable, même si personne ne le fait, d’avoir un mot de passe différent par service utilisé. Quand je dis chaque service, cela veut dire chacune de vos boites aux lettres électroniques, chacun des sites web pour lequel vous avez un compte utilisateur, votre session sur votre système d’exploitation, les serveurs FTP que vous utilisez, tout. Réfléchissez un instant à combien de mots de passe différents il faut déjà…
  • Le second problème est qu’on devrait les changer de temps en temps, notamment les mots de passes dit sensibles. Exemple numéro un : celui de la boite mail où vous pouvez recevoir un mot de passe pour accéder à vos comptes sur d’autres sites. Il est doit être particulièrement costaud et changer souvent (ce que personne ne fait non plus).
  • Les mots de passes doivent être assez compliqués pour ne pas être devinés trop facilement. On dit souvent qu’ils doivent contenir des chiffres, des lettres, des majuscules, des minuscules, des caractères spéciaux. Je n’ai jamais trop aimé cette démarche… Ils sont souvent impossible à retenir soi-même et s’ils sont suffisamment courts, ils n’ont aucun effet lors d’une attaque par force brute.  Au mieux, votre voisin de bureau ne peut pas les « lire sur votre clavier » quand vous les taper. J’y reviens dans la suite.

On peut résoudre le problème 1 avec un carnet papier et un pattern donné, par exemple wordpress42pgradot : site + nombre magique + moi. Pas trop mal mais dur dur de réaliser le point 2 et  ça respecte moyennement le point 3. De plus, un pirate pourrait deviner votre pattern et donc accéder à plusieurs de vos services. On peut faire bien mieux en utilisant un fichier contenant tous ses mots de passes, à condition que ce fichier soit extrêmement bien sécurisé. On pourra alors avoir tout plein des mot de passes très compliqués sans avoir à les retenir (notre cerveau en est incapable) tout en pouvant les changer facilement. Il existe un utilitaire très pratique pour cela, nommé KeePassX. Son principe est simple : il gère un fichier contenant tous vos mots de passe* et en protège l’accès par un super mot de passe. Vous allez me demandez : comment créer ce super mot de passe, qui ne sera pas stocker dans le fichier et devra respecter les points 2 et 3 ci-dessus ? J’avais dit que je reviendrais sur le point 3, je le fais en vous montrant le dessin 936 de XKCD :

XKCD - Password Strength

Oui, le mot de passe K0eur42! est nul comparé à Love Question Coeur Scorpions. Et il vaut donc mieux avoir un mot de passe comme le deuxième que le premier. C’est un mot de passe comme celui-ci qui protège votre fichier KeePassX. Il est compliqué à deviner pour un attaquant mais simple à retenir pour vous. Il est aussi simple à changer puisque vous retiendrez facilement le nouveau. A l’intérieur du fichier, vous pourrez stocker des mots de passes compliqués à retenir sans avoir à les retenir. Pour aller un peu plus loin sur l’entropie d’un mot de passe et l’importance de la longueur face à la complexité, vous pouvez lire cet article de nsCloud. D’ailleurs à la fin, il y un lien vers un autre article du blog parlant d’un logiciel similaire à KeePassX (qui est d’ailleurs cité 🙂 )

*: en fait, je n’y mettrai pas tous mes mots de passe. J’exclurai les mots de passes les plus sensibles, tels que mon compte bancaire ou mes boites mail. On n’est pas à l’abri d’un keylogger non plus, sans pour autant devenir paranoïaque.

KeePassX

Je l’utilise au travail sous Windows 7. A la maison, je l’utilise sous Mac OS X. Les installateurs sont sur le site de KeePassX. Il est aussi possible de l’utiliser sous Linux, avec les sources ou avec les paquets comme expliqué par Pierre-Yves Dubreucq. Sachez aussi que KeePassX est un dérivé de KeePass ; il existe de fait des portages vers plusieurs OS comme iOS ou Android pour pouvoir accéder à vos mots de passes sur tous vos appareils. Petit note au passage : KeePassX est codé avec Qt !

Pierre-Yves Dubreucq explique assez bien comment démarrer avec le logiciel et créer ses premières entrées dans la base de mots de passes, je vous laisse lire son article pour cela. Je complèterai un peu son article en parlant de la fonctionnalité intéressante qu’est la génération de mots de passe. Voici par exemple la création d’un nouveau mot de passe :

Nouvelle entree keepassx

On remarque qu’il est possible d’associer pas mal d’informations au compte en plus du mot de passe. Il est possible de mettre une date d’expiration mais je n’ai jamais testé la fonctionnalité. Je ne sais pas ce qu’il se passe quand arrive la date fatidique. Le gros plus est surtout dans le menu caché derrière le bouton Gen.. Il ouvre une nouvelle fenêtre pour générer son mot de passe :

Generer mot de passe keepassx

Il y a un sacré paquet d’options pour générer toutes sortes de mots de passes plus compliqués et longs les uns que les autres. De la bonne grosse entropie ! Et de l’unicité assurée ! Des bons mots de passes en vue. Remarquez l’icône en forme d’oeil : les champs de mot de passe affichent des gros points et non le mot en clair tant que vous ne cliquez pas sur ce bouton. Personnellement, j’aime bien la catégorie Prononçable. Voici par exemple ce que ça peut donner avec un mot de passe de 12 caractères :

Exemple resultat keepassxJ’enregistre et voila 🙂

Un petit plus très pratique : pas besoin d’ouvrir une entrée et de cliquer sur l’oeil pour afficher le mot de passe en clair pour pouvoir le copier-coller. Il suffit de cliquer sur l’entré dans la liste et la copier. Le menu contextuel donne plus de détails :

menu contextuel keepassx

Je pense avoir dit l’essentiel. Maintenant, plus d’excuse pour justifier motdepasse comme mot de passe sur tous les services !

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s