Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Deux recettes simples pour gérer ses mots de passe

Deux recettes simples pour gérer ses mots de passe
2010-08-222013-02-11sécurité organisationnelle et humainefr
Les mots de passe c'est la galère. Ils doivent être complexes, longs et de préférence changés souvent... mais comment faire pour appliquer ces principes dans la vraie vie ? Je vous propose deux recettes simples et éprouvées. Une pour le boulot et l'autre pour la maison
Publié le 22 Août 2010 par Jean-François Audenard dans sécurité organisationnelle et humaine
mots de passe : sécurité avant tout

Les mots de passe c'est la galère.

C'est un sujet qui est paradoxal ou même carrément paranoïaque : d'un coté, les personnes de la sécurité disent que les mots de passe doivent être longs et complexes et en plus qu'il est recommandé de les changer régulièrement. Mais de l'autre coté, hormis ces bonnes paroles pleines de bon sens (et oui) rares sont celles qui indiquent les recettes qui permettent de mettre en application ces principes...

deux recettes simples et éprouvées

Je me propose de partager avec vous deux recettes simples pour gérer ses mots de passe. La première est à privilégier dans le monde de l'entreprise, la seconde étant à réserver pour la sphère privée. Cette fois, je vous propose des recettes testées et approuvées : pas de truc théorique ou compliqué à mettre en place, que des choses qui se veulent simples et directement utilisables !

recette #1 : le logiciel "coffre-fort à mot de passe"

Vous connaissez le coffre-à-clefs (ou "boîte à clefs") utilisé par les services généraux et concierges ? Oui. Avec un coffre de ce genre, il suffit d'avoir la clef principale pour accéder aux clefs présentes dans le coffre. C'est la même chose mais sous forme logicielle.

Avec ce type de programme, on stocke tous les mots de passe dans une seule et unique petite base de donnée sécurisée : la gestion de cette base est assurée par un logiciel spécialisé. Pour accéder aux informations présentes de cette base, il sera nécessaire "d'activer" la porte de ce coffre numérique via une clef principale (un "super mot de passe").

Avec une solution de ce genre, il suffit de se souvenir d'un seul et unique mot de passe. Celui-ci devra être bien complexe et long. Pas compliqué, ce sera le seul dont il faudra se souvenir.

deux logiciels recommandés

Les logiciels de "coffre-fort à mot de passe" sont nombreux sur Internet. J'en retiendrai deux : PasswordSafe et KeePass.

  1. PasswordSafe est simple et sans fioritures mais réponds pleinement au besoin. Pour ceux qui débutent avec ce type de logicile, c'est PasswordSafe que je recommande.
  2. Ceux qui en veulent plus (un look&feel, des fonctions évoluées, un mécanisme de plugins, ...) alors n'allez pas chercher plus loin : KeePass est fait pour vous. Il regorge de paramètres et d'indicateurs que son petit frère PasswordSafe ne propose pas.

une transition en douceur via import/export

Pour ceux qui sont alléchés par KeePass mais qui se sentent un peu impressionnés pour démarrer, alors démarrez sans attendre avec PasswordSafe : vous pourrez migrer vers KeePass car celui-ci sait importer une base créée par PasswordSafe ou encore passer via un format d'échange standard (fichier texte, XML, ...)

Personnellement, j'ai utilisé PasswordSafe durant plusieurs années pour passer assez récemment sous KeePass.

Les logiciels de "coffre-fort à mots de passe" sont la solution la plus adaptée au contexte professionnel. Pour ne rien gâcher, ces deux logiciels sont totalement gratuits et au code source ouvert... Que du bonheur.

recette #2 : le répertoire, le crayon papier et la gomme

L'approche est très simple : un répertoire alphabétique petit format (à spirales de référence), un crayon papier HB et une gomme. Avec cet attirail très "tendance scolaire 2010", vous êtes équipé pour améliorer la sécurité de vos comptes d'accès au sites personnels.

une recette super/ultra simple

Pour un web site donné (ex: www.gmail.com) ou Twitter, vous écrivez à la page donnée :

  • le nom du site "Twitter.com"
  • le login : username
  • le password : T6gf7G@H5(Rt)g&

et si l'humeur vous en dit, vous y ajouter :

  • l'adresse email utilisée lors de l'enregistrement
  • la date de dernier changement du mot de passe.

Ce petit carnet n'est pas à laisser trainer : rangez-le soigneusement mais conservez-le à portée de main. Besoin de connecter à Twitter ? On va a la page "T". Gmail ? c'est parti pour la page "G" ! Vous changez votre mot de passe ? Pas de problème : Un coup de gomme est c'est fini. Un petit truc : écrivez le nom du site en majuscules et soulignez-le, cela facilitera la recherche.

Le "moins" du carnet : comme il faut saisir les mots de passe à chaque fois, la tendance est de limiter leur taille et leur complexité. Dans le cas du "coffre-fort à mot de passe" c'est un jeu de copier/coller.

Cette recette, tout le monde peut l'utiliser : pas d'excuses du "c'est trop compliqué" ou "j'ai rien compris" !

écrire ses mots de passe : oui mais à la maison

Oui, je recommande d'écrire ses mots de passe : d'un point de vue "risques", il y a plus de chances que votre compte Internet se fasse pirater d'une façon ou d'une autre que quelqu'un se "serve" de votre carnet. A contrario du bureau, les personnes ayant accès à votre domicile sont connues et à priori de confiance : ce n'est à priori pas le cas dans un contexte professionnel.

Donc oui, à la maison, utiliser un répertoire alphabétique pour y écrire ses mots de passe personnel est mieux que de mettre le même mot de passe sur tous ses sites.

un fort knox à la maison

Bien sur, les logiciels de "coffre-fort à mot de passe" sont utilisables dans un contexte personnel. Certaines personnes commenceront peut-être par le carnet pour ensuite passer au logiciel spécialisé. Dans tous les cas ce sera grandement mieux qu'un seul et même mot de passe pour tous leurs sites Internet... comme c'est malheureusement trop fréquemment le cas.

le dernier p'tit "truc" du cuistot

Pour les sites personnels auxquels vous accédez depuis le bureau, rien ne vous empêche de stocker les mots de passe dans votre coffre-fort professionnel. J'ai d'ailleurs créé spécialement un dossier "Personnel" dans mon gestionnaire afin de les séparer de ceux du coté pro.

yes, ca marche !

Ces recettes, je les utilise moi-même et je les recommande aux collègues et à mon cercle personnel.  Certains diront qu'elles sont perfectibles (surtout la seconde, et ils auront raison) mais je leur dirai deux choses en retour :

  1. Ces recettes permettent de réduire le risque des mots de passe faibles, similaires, jamais changés ou utilisés sur de multiples sites.
  2. Que si ils ont d'autres propositions plus astucieuses, qu'ils nous en fassent part sans attendre. Les commentaires sont là pour ça. :-)

15 Commentaires

  • 15 Mars 2014
    2014-03-15
    par
    PBo
    Merci pour cet article.
    Et merci à Bertrand 23 aout 2010 : première synthèse limpide sur ce sujet à laquelle j'adhère complètement.
    Dans ce domaine de la sécurité informatique comme dans aucun autre, le experts ont bien sûr raison, mais la mise en oeuvre de leurs recommandation est d'une lourdeur désespérante qui tue la productivité, d'où la statistique prouvant qu'on ne suit pas leurs conseils, sauf les paranoïaques.
    La synthèse de Bertrand est une formalisation de ce que je pratique depuis une douzaine d'années, avec en plus le stockage Firefox, la synthèse que je cherchais.
    Merci beaucoup.
  • 22 Avril 2013
    2014-03-15
    par
    JF Audenard
    Une pub pour un "carnet spécial à mots de passe"
    http://www.youtube.com/watch?feature=player_embedded&v=sgbRbYlojm8
    Jeff
  • 16 Décembre 2010
    2014-03-15
    par
    Effectivement keepass est une très bonne solution quand l'entreprise n'est pas encore dotée d'un système de SSO/WebSSO.
    Il est aussi possible de stocker le fichier de mot de passe à un espace de stockage sécurisé comme Digiposte ou Dropbox (dans un dossier non partagé bien sûr pour avoir partout accès à son coffre-fort.
    Il existe par ailleurs une version "mobile" de keepass pour iPhones et Smartphones android
  • 15 Novembre 2010
    2014-03-15
    par
    Andre G.
    Bonjour,
    Je ne parlerai que de la problématique en entreprise, qui est de loin la plus compliquée à gérer parce que les utilisateurs sont insensibles à la sécurité (malgré les campagnes que l'on peut mener) et ont souvent des comportements irresponsables. Aucunes de ces astuces n'est réellement applicable. Il faut que l'accès aux ressources soit facile pour l'utilisateur final, sinon point de sécurité. Il ne faut plus que les gens aient à mémoriser un seul mot de passe hormis un PIN code unique. Le seul dispositif efficace est le SSO (Single Sign On) avec une authentification au poste par carte à puce. Ce à quoi je m'emploie (En France pour commencer, les filiales peut-être ensuite). Amicalement.
    André G.
  • 10 Septembre 2010
    2014-03-15
    par
    Je site:
    "Slides de la conférence d'Eric Filiol lors du FIC 2009 (http://www.fic2009.fr/fr/php/accueil.html) a Lille. Cette conférence est détaillée dans deux articles l'un publié dans la Revue de Défense Nationale, numéro de Mars 2009, pp. 74--86 (partie dediée aux cyber attaques visant des cibles ou opérations militaires) l'autre sera publié dans les actes de la conférence ECIW 2009 (http://www.academic- conferences.org/eciw/eciw2009/eciw09-timetable.htm) à Lisbonne en juillet 2009, où le cas des cyber attaques contre des cibles nationales civiles est présenté. "
    Fin ce citation.

    Ah, Eric Friliol et l'affriolante "Revue de Défense Nationale"!
    Ah, les joyeuses "cyber attaques visant des cibles ou opérations miliaires"!
    Ah, paranoïa, quand tu nous tiens ...

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage