Saturday, December 6, 2008

Blog Meme: combien de mots de passes retenez vous ?

La nécessité de choisir un nouveau mot de passe pour protéger ma clé privée GPG, m'a amené à la reflexion suivante: au fait combien de mots de passe dois-je retenir en permanence ?

Pour ma part c'est
  • Huit mots de passe pour les comptes personnels ( mail, compte de mon ordinateur personnel, wikis). Sur ces huit mots de passe, le gestionnaire de mots de passe de Firefox en connait 4.
  • Trois mots de passe pour les comptes professionnels
  • Trois mots de passe partagés avec d'autres personnes pour libera.cc
  • Un mot de passe partagé pour un compte webmail
Ce qui nous donne tout de même 15 mots de passe. Comme beaucoup de personnes, j'utilise un schéma de difficulté graduelle avec des mots de passe communs pour différents comptes, mais:
  • parfois je connais le mot de passe, et pas le nom d'utilisateur
  • beaucoup de sites web ont des contraintes différentes quand à leur exigences de sécurité: certains vous recommandent l'emploi des caractères spéciaux (!#+?), d'autres les refusent.
  • les mots de passe à partager en commun sont une plaie: personne ne souhaite réutiliser un mot de passe personnel pour le donner à quelqu'un d'autre ce qui oblige à générer une nouvelle hiérarchie de mots de passe comptes web / compte utilisateur système / compte administrateur système
  • aucun de ces mots de passe n'est écrit sur papier, bien que j'y réfléchisse pour certains comptes comme le recommande le cryptologue Bruce Schneier (en)
Après avoir lu les meme des blogs de planet.debian.org, je lance donc le meme suivant:
et vous combien de mots de passe retenez vous en permanence ?

8 comments:

Anonymous said...

Moi c'est réduit au minimum, un mot de passe pour les sites "sensibles", j'entends par là les sites commerciaux nécessitant un paiement, mes accès "root" et ce genre de choses. Un autre mot de passe simple général (forum, site web, etc) avec du contenu sans grande importance et un autre plus complexe pour certains sites qui demandent qu'il y ait un mix de lettres et chiffres ou des caractères spéciaux.
Au boulot je n'en ai qu'un qui est commun aux admins réseau.

J'ai réduit au minimum il y a quelques années parce que je ne me rappelais plus de rien avec 36 mots de passe et je ne suis pas un accro de la sécurité, pour moi c'est un peu de la parano. D'ailleurs je ne sais plus quel expert en sécurité recommandait justement d'avoir ses mots de passes sur un bout de papier à avoir sur soit, ce n'est pas moins sur qu'autre chose.

Unknown said...

Perso j'ai :
_un mot de passe pour les sites qui mémorisent (oui je sais c'est vraiment LE truc à pas faire) mon numéro de CB (il y en a que 2 et puis ils retiennent pas les trois chiffres au dos de la carte).
_un pour mon compte mail/hébergement de mon site,
_un pour les sites sensibles qui font du SSL (mail etc),
_un pour le reste,
_une "phrase de passe" GPG,
_plus un ou deux autres vieux mdp qui trainent à droite à gauche...

Du coup je suis assez intéressé par tout ce qui pourrait simplifier tout ça tout en restant sécurisé, notamment l'intégration des applis avec les "porte-clés" (kwallet, gnome keyring) qui peuvent se déverouiller dès l'ouverture de la session.

Emmanuel Kasper said...

bon je vois alors que je suis bien supérieur à la moyenne
je n'aurais plus aucun scrupule à recycler alors mes mots de passe lors de la création de nouveaux comptes :)

®om said...

En parlant de mots de passe, y'a-t-il un moyen que les mots de passes firefox soient stockés dans le gestionnaire de mots de passe sécurisé de gnome?

Unknown said...

Comme je ne peux pas en mémoriser des dizaines (surtout pour les services que je n'utilise pas souvent, type site de vente de en ligne sur lequel je n'ai fais qu'un seul achat), et que ce n'est pas sécurisé d'utiliser le même partout, j'ai fait un mix des deux. Mon mot de passe est toujours le même, mais il comporte des "trous", des caractères qui changent pour chaque service. Je ne vous dirais pas par quoi je remplace ces trous, il faut trouver un moyen sur pour s'en souvenir. Le plus simple étant d'utiliser certaines lettres du nom du service.
Bien sûr je catégorise tout de même les services que j'utilise :
- en ligne : important (banque, email), ou pas
- local : utilisateur normal ou admin. Au final je mémorise donc 4 mots de passe, mais je n'utilise jamais exactement le même, ce qui est mieux que d'utiliser toujours les même, mais moins bien que de n'utiliser que des mots de passe uniques. Ma mémoire me dit merci.

Vous en pensez quoi ?

TuxGasy said...

Je fais à peu près comme feub. Un mot de passe simple pour les choses sans grande importance. Et un mot de passe pour chaque truc sensible composé à partir d'une phrase complète. Par exemple, Mon 1er PC acheté sur Cdiscount, le 05 juillet 2005. ce qui donne M1PasC,l0j2. Ainsi, je cite la phrase (dans ma tête bien sûre) pour saisir le mot de passe.

Anonymous said...

J'utilise 12 mots de passes, plus des composés (ex "lecode#" + mon passe de tel importance.

Le problème au niveau sécurité c'est que quand on s'en souvient plus d'un passe on donne tous ses mots de passe au site concernés (il suffît juste de lire les logs).

Emmanuel Kasper said...

les applications web ne conservent les mots de passe saisis dans leur logs
le mot de passe est crypté et c'est le hash résultant qui est comparé avec le contenu de la base de mots de passe

enregistrer les mots de passe saisis par l'utilisateur reviendrait a installer un keylogger sur un site