Mot de passe & sécurité

J'écoutais les castcodeurs dernièrement, pour ceux qui n'écoutent pas encore cette perle du net c'est par ici: http://lescastcodeurs.com/

Dans une interview, ils parlaient de sécurité et notamment du fait que la plupart des personnes disposent du même mot de passe pour toutes leurs applications ou leur différents comptes email, accès réseaux, LDAP etc...

Bien sur, su le plan sécurité, cette pratique n'est vraiment pas au top. Le hic c'est que se souvenir de tous ses accès n'est pas forcement aisé.

En effet, mon cerveau n'est pas encore un disque dur (et c'est bien dommage). Pour cela il existe des programmes comme KeePass qui permettent
de sauvegarder vos mots de passe en fonction de différents profils. J'utilise cet outil depuis un petit moment et il est vrai qu'il est bien pratique.

Je vais vous faire une petite présentation de celui ci.

Pour le télécharger http://keepass.info/download.html

KeePass est donc un gestionnaire de mot de passe.
L'utilisateur définit un mot de passe unique qui lui permettra d'accéder ensuite à une petite base de données contenant toutes ses informations secrètes.
KeePass peut s'utiliser en standalone sur une clé USB par exemple.

KeePass est un logiciel libre et utilise un double algorithme AES et Twofish qui sont réputés pour être utilisés par les banques.

KeePass permet aussi de classer les mots de passe en différentes catégories (Windows, réseau, Internet, courriels, banque…) grâce à une arborescence style gestionnaire de fichier,
et de gérer l’expiration des clés pour renouveler régulièrement ses identifiants.

A chaque entrée, on peut associer une page web, un commentaire, une date d'expiration mais aussi lui attacher un fichier.

Une fonction d'importation/exportation en mode texte ou XML permet de transférer la base de données depuis et vers d'autres logiciels.

Ecran de login avec votre mot de passe unique:

keepass_login_principal.JPG

Ecran principal avec arborescence

keepass_ecran_principal.JPG

Détail d'une fiche

keepass_login_principal2.JPG

Détail d'une Entry

keepass_ecran_edit_entry.JPG

7 commentaires

  1. La chaîne de sécurité n’étant forte que de son maillon le plus faible, si on perd son « Master Password » et le fichier on compromet tous ses mots de passe.

    Je trouve que « cette pratique n’est vraiment pas au top » non plus.

    😉

  2. D’accord avec François.
    Et j’ajouterais en plus que je suis assez réticent à l’idée de confier tous mes mots de passe à un logiciel, certes open source, mais dont je n’ai pas analysé le code source.

    Je propose une solution alternative : la généralisation de la biométrie. Quand on se fait voler un doigt ou un oeil, au moins on le sait rapidement ! 😉

  3. Je pense qu’il n’y a pas de solution miracle mais au moins ca à le mérite de savoir ou l’on met ses mots de passe et surtout de pouvoir les centraliser et pas perdre trop de temps à les retrouver 😉

    Après c’est vrai que l’inconvénient c’est de ne pas perdre son master password.

    Quels sont vos solutions mis à part la biométrie ?

  4. Si on prend le domaine de la sécurité au sérieux, alors pour moi la solution est organisationnelle :

    – Faut-il centraliser en un seul point des informations aussi critiques que des mots de passe ? Pourquoi une personne (ou un logiciel ou toute autre forme de stockage) possèderait l’ensemble des mots de passe ?

    A une échelle plus personnelle et dans notre travail quotidien, retenir une dizaine de mots de passe me parait peu de choses en comparaison avec la quantité d’informations que nous manipulons.

  5. À tous ceux qui sont intéressés par la sécurité en général et informatique en particulier, je conseille la lecture du cours du professeur Andreas Pfitzmann disponible ici : http://www.inf.tu-dresden.de/index…. (PDF dans Teaching Material – Script, Exercises, Exemplary Solutions). Attention il y a beaucoup de pages mais c’est très enrichissant.

    La sécurité est toujours _opposée_ à la facilité d’utilisation, mais comme le dit Aurélien le prix à payer (quelques mots de passe à retenir) n’est pas élevé.

    Pour être efficace, l’authentification d’une personne auprès d’un système informatique doit cumuler ce que l’on est (par exemple avec la biométrie, mais quand elle est bien faite http://www.youtube.com/watch?v=MAfA… une photo dans le cas de la carte d’identité), que l’on possède (par exemple la carte d’identité elle-même, une clé, une carte électronique), et que l’on sait (un mot de passe, les réponses à certaines questions).

    En informatique les mots de passe sont assez efficaces car très simples à mettre en oeuvre et à utiliser. La sécurité qu’ils apportent est par contre limitée (cf juste au-dessus). En déléguer la responsabilité à un système centralisé pour des systèmes que je veux être sécurisés me semble contre-productif. Pour les systèmes qui n’ont pas à être sécurisé, autant ne pas utiliser de mot de passe pour faciliter l’utilisation.

  6. Je suis certain que la majorité des personnes d’ici qui sont contre l’utilisation de ce logiciel , récupère ses différents mots de passe dans ses mails, depuis un fichier en clair ou configure systématiquement le même mot de passe pour ses différents services.
    Cette solution (Keepass) est loin d’être idéale mais c’est la meilleure.

    On peut effectivement retenir les mots de passe mais il faudrait en retenir des dizaines. Et il n’est jamais évident de retenir les mots de passe que l’on utilise très rarement.

    Après le problème d’oubli du master password est un autre problème. Si la personne en question n’est pas capable de retenir un malheureux mot de passe…

  7. En ce qui me concerne, j’utilise tout bêtement un fichier excel compressé dans un fichier rar protégé par mot de passe. Quand on sait qu’il n’y a pas (je suis quasi sûr) d’autres solutions que le brutforce qui marche pour casser la protection, je trouve ca plutôt pas mal… Pas besoin de logiciel spécifique tiers en tout cas. Cela reste assez sécurisé à partir du moment où, bien sûr, le mot de passe de l’archive choisi ne fait pas partie d’un dictionnaire, qu’il contient des chiffres, etc…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Captcha *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.