Blog Meme: combien de mots de passes retenez vous ?

La nécessité de choisir un nouveau mot de passe pour protéger ma clé privée GPG, m'a amené à la reflexion suivante: au fait combien de mots de passe dois-je retenir en permanence ?

Pour ma part c'est

• Huit mots de passe pour les comptes personnels ( mail, compte de mon ordinateur personnel, wikis). Sur ces huit mots de passe, le gestionnaire de mots de passe de Firefox en connait 4.
  
• Trois mots de passe pour les comptes professionnels
  
• Trois mots de passe partagés avec d'autres personnes pour libera.cc
• Un mot de passe partagé pour un compte webmail
  

Ce qui nous donne tout de même 15 mots de passe. Comme beaucoup de personnes, j'utilise un schéma de difficulté graduelle avec des mots de passe communs pour différents comptes, mais:

• parfois je connais le mot de passe, et pas le nom d'utilisateur
• beaucoup de sites web ont des contraintes différentes quand à leur exigences de sécurité: certains vous recommandent l'emploi des caractères spéciaux (!#+?), d'autres les refusent.
• les mots de passe à partager en commun sont une plaie: personne ne souhaite réutiliser un mot de passe personnel pour le donner à quelqu'un d'autre ce qui oblige à générer une nouvelle hiérarchie de mots de passe comptes web / compte utilisateur système / compte administrateur système
• aucun de ces mots de passe n'est écrit sur papier, bien que j'y réfléchisse pour certains comptes comme le recommande le cryptologue Bruce Schneier (en)
  

Après avoir lu les meme des blogs de planet.debian.org, je lance donc le meme suivant:
et vous combien de mots de passe retenez vous en permanence ?

Systèmes d'authentification centralisés: LDAP et OpenID

Une des mes dernières activités professionnelles a été de prendre un main un système d'authentification centralisé, utilisant OpenLDAP. Les utilisateurs n'ont ainsi qu'un seul couple username/password à retenir pour les applications suivantes:

• login unix
• domain windows
• serenpidity (blog)
• trac via le module mod_auth_ldap de apache
• svn
• jabber
• email
• alfresco (cms)

L'avantage en terme de gestions des droits est aussi evident. Pour ajouter par exemple le droit d'écrire dans le blog, il suffit d'ajouter le nom de l'utilisateur dans le groupe LDAP Serenpidity. Mon objectif est maintenant d'intégrer openvpn dans cette liste.

Pourquoi ce petit retour par ldap ? Aujourd'hui j'ai changé l'adresse email que j'utilise pour mes comptes internet ( wikis, etc ... ) Pour connaitre la liste de mes comptes internet, je me suis servi de la liste des mots de passe stockés sur Firefox. Et ca en faisait des comptes d'ouverts, et des formulaires à revalider !

Cela va du sympathique, incluant un mail de confirmation dans votre nouvelle adresse avec un lien à cliquer (dailymotion, netvibes, ebay ) au plutôt mauvais genre fon, qui ne vous donne pas la possibilité de changer en ligne l'adresse email de votre compte. J'ai ouvert un ticket chez eux, peut être est ce le moyen standard de changer l'adresse mail. Certains en profitent à l'occasion pour vous imposer de nouveaux champs "obligatoires" qui ne l'étaient pas à la création du compte, comme Dailymotion qui veut maintenant connaitre ma date de naissance.

Tout ceci m'a bien évidemment fait réfléchir à OpenID, qui est déjà utilisée par les géants de l´internet ( Yahoo, Google, IBM, MSN ) mais pas encore par les "petits", et qui devrait remplacer ce bazar.

Cependant à la différence de LDAP qui sert à consolider les services proposés par un seul fournisseur ( en l'occurrence l'admin sys d'une strucuture), OpenID consolide l'authentification de fournisseurs de services différents, ce qui pose bien sûr la question de l'étanchéité des processus d'authentification. Je vois que d'autres ont déjà franchi le pas, et j'attends de voir leurs conclusions avant d'utiliser OpenID pour mes comptes et sur mes serveurs.