654321… i love you princess azerty : ou une stratégie des mots de passe à la portée de tous

JF. PacoryConsultant / Formateur

PacLog Solutions / Human Talks

JF. PACORY

Consultant / Formateur, ingénieur d’étude en informatique de gestion

jf.pacory@gmail.com

Human Talks Laval - 10/03/2015

Adobe, 150 millions de comptes compromis, Apple, 200 millions, OVH et plus récemment Orange 1,3 et eBay, des centaines de millions de données

En tant que développeur, on peut agir sur la robustesse des mots de passe en proposant en plus du chiffrement en persistance, dès la saisie, de sensibiliser les utilisateurs.

Nous sommes les principaux utilisateurs et devons faire face à nos faiblesses plus que les autres

Human Talks Laval - 10/03/2015

Proposer des mots de passe robustes, facilement mémorisables, plus difficilement déchiffrables et surtout permettant une unicité entre les comptes.

Présenter des outils multi-plateformespermettant l'utilisation d'un catalogue de mots de passe pour un remplissage dynamique des formulaires.

Aborder le futur en conclusion

Human Talks Laval - 10/03/2015

Toutes les données y sont associées peu ou prou et peuvent être en danger

L’accès à un mot de passe permet en général, l’accès aux autres comptes car ils sont souvent récurrents pour un même utilisateur (ecommerce, finances, messagerie, documents sur le cloud, etc …)

L’identité peut être usurpée

Human Talks Laval - 10/03/2015

Dix à quinze caractères alphanumériques et ponctuations ou symboles (@!#$%)

Casse mixte

Au moins un élément de chaque type ci-dessus :ex. : AcDc2k%15zUf

Différent pour chaque compte

Voir aussi l’usage des accents

Human Talks Laval - 10/03/2015

Aucun nom propre, commun ou tout mot / phrase existant, même inversé, car ils sont déjà disponibles dans des dictionnaires, même de façon hybride : ex.: 3l3m3Nt4rY

Aucune série, hormis de mots de passe…

Surnom, dates (naissance, mariage, embauche, …)

Ne pas les fournir…

Human Talks Laval - 10/03/2015

Trouver un élément statique facile à mémoriser mais respectant les mots de passe forts

Une formule mnémotechnique (initiales de mots d’une phrase, dicton, citation, devise, d’un poême, d’une chanson, titre, etc…)

Ex: Des fleurs que mars verra, peu de fruits on mangera. -> dFqMvpdFom1003!fluctuat nec mergitur -> FtNcMr@p15

Human Talks Laval - 10/03/2015

Le mot de passe ne doit pas être le même partout

Comment mémoriser tous les mots de passe de site en site ?

Comment gérer l’obsolescence dans le temps d’un mot de passe ?

Human Talks Laval - 10/03/2015

Disposer d’un logiciel de gestion de mots de passe, gérant la saisie automatique et étant lui-même protégé par un mot de passe mémorisable

Utiliser un site ou logiciel fournissant facilement un mot de passe fort à partir de l’URL et d’un « sel »

Exemple : onlinemd5 avec nom du site puis prendre les 8 caractères au milieu

Mixer soi-même votre mot de passe fort avec des éléments liés au site et au temps comme un sandwich Human Talks Laval - 10/03/2015

Du « sel » au sandwich, il n’y a qu’un pas

Un sandwich sera composé de :votre mot de passe fort mémorisable, l’ingrédient principal : ex.: 74F6C49B

Deux tranches de pain correspondant à :D’un côté les trois premiers caractères du site, ou les initiales ; ex.: ht

De l’autre, la donnée temporelle ; ex.: 51a pour année 2015

Deux condiments pour relever le tout entre le pain et l’ingrédient, correspondant à des symboles

Human Talks Laval - 10/03/2015

ht@74F6C49B!51a pour human talks

tf1@74F6C49B!51a pour tf1

…

Enregistrer tous les éléments dans votre logiciel de gestion de mots de passe

Modifier vos mots de passe à échéance

Human Talks Laval - 10/03/2015

SuperGenPass.com

PwdHash

Passwordsgenerator.net

Passpack

lastpass

Password safe ……………….(Windows, Mac, Android, IOS)

KeyPass : tous OS selon version

Human Talks Laval - 10/03/2015

Les problématiques exposées vont tendre à disparaître

Développement de la connexion multi-supports (ex: 30% des lecteurs CB accepteront le NFC en 2015), connexion sans contacts

Existence de cartes de clés, de formulaires où les codes ne peut être saisis que par un humain

Développement de la reconnaissance biométrique (empreintes, iris) ; ex.: iPhone 6, Galaxy Note 4, …

Human Talks Laval - 10/03/2015

• http://hitek.fr/actualite/les-20-mots-de-passe-les-plus-utilises-chez-adobe_857

• https://www.zoho.com/vault/• Les meilleurs gestionnaires :

http://www.pcmag.com/article2/0,2817,2407168,00.asp

• http://www.darkreading.com/risk-management/10-top-password-managers/d/d-id/1109759?

Human Talks Laval - 10/03/2015

• http://lifehacker.com/5529133/five-best-password-managers

• http://sourceforge.net/projects/passwordsafe/

• http://crypto.stanford.edu/PwdHash/• http://onlinemd5.com/• http://www.healthypasswords.com/

Human Talks Laval - 10/03/2015

Human Talks Laval - 10/03/2015