Panier

Votre panier est vide.

Association québécoise des neuropsychologues
Association québécoise des neuropsychologues

Accueil – Visiteurs Forums Divers Ressources utiles Trop de mots de passe dans votre ti-coco?

Étiquetté : , ,

  • Ressources utiles

    Trop de mots de passe dans votre ti-coco?

    Posted by Simon Lemay on 28 janvier 2014 à 18 h 10 min

    Voici une chronique un peu techno et moins neuropsy.

     

    Il y a quelques années, je me suis tanné de devoir créer des mots de passe complexes et mémorisables (ex.: le truc des première lettres des mots d’une phrase en y ajoutant des chiffres et autres caractères). Il m’arrivait de plus en plus souvent de devoir réinitialiser des mots de passe, victime des conditions particulières qui permettent d’augmenter la rigueur dans la création de mot de passe (minimum de caractères, chiffres, lettres minuscules et majuscules,…). Certes, cela oblige les utilisateurs paresseux à être plus sécuritaire, mais complique également la vie des utilisateurs. À ce titre, sachez que 123456 est le mot de passe le plus utilisé en 2013, mais ne vous croyez pas trop malin si vous n’ajoutez que 789 à la séquence précédente (tellement plus sécuritaire!) ou si vous utilisez qwerty ou la belle combinaison alphanumérique abc123… 

     

    Si vous utilisez plusieurs comptes (j’en ai près de 200 dispersés dans internet), vous avez tous probablement vos trucs pour vous aider à mémoriser cette information.

    1. Le post-it sous le clavier, les notes dans l’agenda ou sur votre cell: pas trop infaillible…
    2. Un même mot de passe très complexe partout: mauvaise idée. Les ordinateurs sont devenus très performants pour réaliser des attaques par dictionnaire ou par force brute (3 minutes sont nécessaires pour craquer un mot de passe de 6 caractères). Si votre mot de passe dont vous vénérez la complexité cède alors que vous l’utilisez partout : vous êtes dans le trouble!
    3. Un peu plus malin: une rotation de mots de passe compliqués pour certains sites plus sensibles et un mot de passe facile pour tous les sites jugés peu compromettant pour vos informations personnelles (longtemps été ma stratégie). Êtes-vous sûr que vous souhaitez laisser traîner ces quelques informations sur vous…
    4. Certains s’en remettent à la gestion des navigateurs internet (la célèbre question: voulez-vous qu’Internet explorer retienne votre mot de passe): mauvaise idée. Ces données sont vulnérables à certains logiciels malveillants. De plus, elles ne voyagent pas avec vous puisqu’elles restent sur votre ordi (à moins que vous synchronisiez les paramètres de votre navigateur sur plusieurs ordis). De plus, quelqu’un qui emprunterait votre ordi pourrait se connecter sans difficulté sur vos comptes…
    5. Les plus motivés ont probablement envisagé la solution de créer un fichier excel. Avez-vous eu la prévoyance de protéger ce fichier par un mot de passe? Cette solution est à nouveau peu pratique puisque le fichier reste sur votre ordi à moins de trainer une clé usb, de le mettre sur votre téléphone intelligent ou faire confiance à la vie et mettre ce précieux fichier dans le nuage (dropbox, Google drive, etc.). Cela vous oblige régulièrement à faire du copier-coller ou à retranscrire l’info de connexion sur vos sites internet.

     

    Maintenant je ne souffre plus… J’utilise un logiciel de gestion de mots de passe. Il y a plusieurs solutions qui possèdent des fonctionnalités semblables. Personnellement, j’utilise Lastpass. Je vous énumererai les autres solutions plus tard.

     

    Il y a une version gratuite de Lastpass (avec publicités), mais si vous voulez l’utiliser en version mobile et bénéficier de quelques autres extras, vous devrez débourser environ 15$ par année pour la version premium (A buck a month comme ils le disent!).

     

    Voici un petit vidéo d’introduction.

    https://www.youtube.com/embed/9rZkAZWjvmI

     

    Tel que mentionné dans le vidéo, vous allez devoir installer Lastpass qui ajoutera un icone dans votre navigateur internet et à partir de laquelle vous pourrez vous connecter à Lastpass en utilisant un mot de passe principal (master password). En vous connectant la première fois, Lastpass vous offrira la possibilité d’importer tous vos mots de passe sauvegardés (parfois même à votre insu) par les différents navigateurs internet installés sur votre ordi. Faites-le et acceptez que Lastpass les efface. Je vous rappelle que cette stratégie est probablement très pratique et rapide pour vous connecter à vos sites web préférés, mais elle ne fait pas de différence en fonction de la personne qui utilise l’ordinateur. Quelqu’un d’autre pourrait se connecter à vos comptes tout aussi facilement que vous. Sans compter tous les petits logiciels espions très bien formés pour récupérer cette précieuse information…

     

    À chaque fois que vous êtes connecté à Lastpass et que vous entrez de l’information de connexion sur un nouveau site web, Lastpass vous invitera à la sauvergader dans la voûte Lastpass. À l’avenir, à chaque fois que vous vous rendez sur un site sauvegardé dans votre voûte alors que vous êtes connecté à Lastpass, Lastpass entrera automatiquement vos informations et pourra même vous connecter automatiquement si vous le souhaitez. Vous allez voir : c’est magique! Juste le fait d’éviter de rentrer plusieurs mots de passe complexes me fait apprécier Lastpass.

     

    Les données de Lastpass sont sécurisées (encrypté en 256 bits) localement c’est à dire sur votre ordinateur. Il est impossible à quiconque d’accéder à vos données sans votre mot de passe principal (les données des fichiers du logiciel Lastpass situées dans votre ordi ne sont pas interprétables sans votre mot de passe). Ces données sont envoyées encryptées (avec la protection) sur les serveurs de Lastpass et sont toujours décryptées (retrait de la protection) localement sur votre ordinateur. Donc les employés de Lastpass ne sont pas au courant ni de votre mot de passe ni du contenu de votre information envoyée sur leur serveur (cette information n’est pas interprétable sans votre mot de passe). En plus, l’envoi de données sur leur serveur est sécurisé par SSL qui assure que l’information ne peut pas être interceptée (tactique du “man in the middle”). L’envoi de données sur leur serveur permet ainsi de synchroniser les données sur tous vos appareils et vous connecter à partir de n’importe où. Cela permet aussi d’assurer une sauvegarde (backup) de vos données : vous ne perdez rien si votre ordi plante et vos mots de passe demeurent en sécurité même si vous vous faites voler votre ordi.

     

    Il y a plusieurs options de sécurité que vous pouvez configurer dans Lastpass. Ainsi, vous pouvez spécifier le nombre de minutes d’inactivité avant que lastpass vous déconnecte de votre compte pour prévenir toute utilisation par un tiers. Il y a aussi l’option de déconnecter du compte dès que vous fermez la fenêtre du navigateur. Si vous partagez l’utilisation de votre ordinateur avec quelqu’un d’autre (ex.: ordi familial) ces options rendent plus sécuritaires que la mémorisation des mots de passe par un navigateur internet.

     

    Avec Lastpass vous aurez également la possibilité de créer des mots de passe forts avec un générateur de mots de passe : nombreux caractères, majuscules, minuscules, chiffres, caractères spéciaux. Bref, du charabia impossible à mémoriser (les miens ont généralement 20-25 caractères). Il y a aussi l’option de tester la sécurité de vos mots de passe existants afin d’identifier ceux qui sont trop faibles. Lastpass permet aussi d’éviter le phishing : si vous n’êtes pas sur le bon site (en suivant un lien frauduleux), Lastpass ne vous connectera pas. Il y a aussi des options pour configurer le remplissage automatique de formulaires web avec vos informations personnelles (adresse, numéro de téléphone, etc.).

     

    Si vous utilisez Lastpass à partir d’une tablette ou d’un téléphone intelligent, vous devrez utiliser l’application et naviguer avec le navigateur intégré dans l’application pour bénéficier de la connection automatique aux sites contenus dans votre voûte. Sinon, pour vous connecter dans vos autres applications, cela nécessitera quelque copier-coller de vos mots de passe longs et plus sécuritaires.

     

    Vous pourriez reprocher à cette solution de sécurité la stratégie de mettre tous les oeufs dans le même panier. C’est vrai que si votre mot de passe principal n’est pas assez fort vous vous mettez à risque que des pirates tombent sur le jackpot. Mais il y a des options pour augmenter la sécurité et devenir même un vrai freak parano.

    1. L’option que j’utilise est Google authenticator (vérification en deux étapes). La première fois que vous vous connectez à votre compte sur un ordi, on vous demandera d’inscrire un code de 4 chiffres que vous recevrez sur votre cell (message texte ou voix) ou au moyen d’une application mobile (à configurer préalablement sur le site de Google: je vous recommande d’ailleurs de l’activer pour votre gmail). Il y a l’option de se rappeler que l’ordinateur est sécuritaire et vous n’aurez pas à entrer le code de nouveau pour cet appareil. Les codes de 4 chiffres de Google authenticator sont renouvellés à toutes les 30 secondes et vous aurez à les rentrer seulement si vous vous connectez sur un nouvel ordi ou appareil (ou si vous n’aviez pas spécifié lors de votre première connexion que vous considériez l’appareil comme étant sécuritaire). Donc, même si votre mot de passe est découvert, les pirates auront à entrer les 4 chiffres de Google authenticator pour accéder à votre compte s’ils n’utilisent pas un ordi que vous avez déjà utilisé et déclaré sécuritaire. 
    2. Certaines précautions s’imposent pour ne pas exposer inutilement votre mot de passe principal aux personnes mal intentionnées. Entrez votre mot de passe principal seulement sur les ordinateurs sécuritaires que vous connaissez bien. Ne le saisissez pas sur un ordinateur public (café internet, bibliothèque), sur un ordi partagé par plusieurs personnes et dont vous ignorez tout de la sécurité ou même sur l’ordi de votre ami où vous ne savez pas si un logiciel espion traine (ex.: un keylogger qui enregistre toutes les touches que vous frappez). SI jamais vous l’auriez fait, c’est là que la double authentification ou la vérification en deux étapes (tel que Google authenticator) aide à rajouter une couche de sécurité supplémentaire. Mais il y a mieux encore. Pour ces endroits où vous doutez de la sécurité, vous pouvez utiliser un mot de passe à usage unique (One time password). Ceux-ci sont générés sur le site de Lastpass et vous pouvez les imprimer ou les sauvegarder à un endroit dénué de tout contexte pouvant les lier à Lastpass. Quand vous êtes sur un ordi suspect, vous vous connectez sur le site de Lastpass avec ce mot de passe qui ne sera plus valide par la suite. Vous n’entrez donc jamais votre mot de passe principal qui ne risque pas ainsi d’être compromis.
    3. Parmi les autres options de sécurité de Lastpass, vous  pouvez limiter la connexion à certains pays (contrôle par adresse IP). Le fait de restreindre au Canada prévient ainsi les accès internationnaux non autorisés à votre compte. Il faut simplement modifier la configuration avant de partir en voyage si on souhaite se connecter dans nos vacances.  
    4. Option la plus freak (en version premium seulement). Vous pouvez acheter une clé USB spéciale (Yubikey) ou déposer de l’information de validation sur l’une de vos clés USB (Lastpass Sesame). Vous pouvez alors exiger que la clé soit toujours être insérée lorsque vous entrez votre mot de passe afin de réussir à vous connecter à Lastpass. Personnellement, je trouve cette option trop contraignante puisque cela vous oblige à trainer votre clé USB souvent sur vous. Pour certains, il n’y pas de prix à la paix d’esprit… Il s’agit de la voie envisagée par Google pour remplacer les mots de passe.

     

    Je ne comprends pas tous les aspects techniques en sécurité informatique. Si vous voulez plus de détails sur la sécurité de Lastpass, vous pouvez écouter le podcast americain Security now animé par Léo Laporte Security et dans lequel Steve Gibson (un crack de sécurité) en discute.

    https://www.youtube.com/embed/r9Q_anb7pwg

     

    J’ai tout de même quelque critiques à propos de Lastpass.

    1. Il manque la possibilité de faire expirer des mots de passe pour se forcer à changer périodiquement les plus sensibles. On recommande de changer périodiquement les mots de passe pour les sites d’achat qui ont vos données de cartes de crédit et adresse.
    2. L’interface s’améliore, mais pourrait être plus jolie
    3. La traduction en français est partielle et imprécise (réalisée par les utilisateurs)
    4. Trouble potentiel si vous oubliez votre mot de passe principal (master): Lastpass ne peut le réinitialiser. Donc si vous n’avez pas utilisé un mot de pass à usage unique qui vous permettrait de vous connecter: vous êtes cuit. Il faut tout recommencer et réinitialiser tous vos mots de passe. Donc gros soucis. Mais bon vous en avez qu’un seul à retenir: forcez-vous un peu et prenez soin de vos hippocampes!
    5. Le fait de devoir faire du copier-coller pour connecter vos applications mobiles. Généralement, on ne le fait qu’une seule fois sauf pour certains sites comme Lapresse ou Evernote qui vous déconnectent périodiquement de votre compte.

     

    Les autres solutions que je connais sont:

    1. Keepass. Entièrement gratuit et open source. Les versions mobiles sont moins bien développées. http://keepass.info/index.html
    2. 1Password.  50$ (70$ pour 5 utilisateurs) pour mac ou PC. 18$ pour l’application mobile. Belle interface. Cher à l’achat, mais pas de frais récurrents. https://agilebits.com/onepassword

    Contrairement à Lastpass, Ces 2 solutions n’offrent pas d’option dans le nuage (stocker votre information sécurisée sur leur serveur pour accéder à votre voûte sur différents ordis). Pour bénéficier d’une synchronisation sur plusieurs appareils, on vous propose de configurer un compte Dropbox. Ceci permet des fonctionnalités semblables, mais Lastpass est plus facile d’utilisation pour les utilisateurs moins à l’aise avec l’informatique.

     

    En terminant, la sécurité totale en informatique n’existe pas. Avec des logiciels de gestion de mots de passe sérieux comme Lastpass, vous pouvez au moins choisir d’adopter des comportements plus sécuritaires tout en vous simplifiant la vie après l’investissement initial de vous adapter à la nouveauté: c’est bon en plus pour votre lobe frontal!

    Simon Lemay répondu Il y a 9 années, 6 mois 4 Membres · 6 Réponses
  • 6 Réponses

  • Caroline Larocque

    Membre
    28 janvier 2014 à 18 h 23 min

    Bon, tu viens de me créer un stress avec tout cela! Je suis débordée de mots de passe et j’avoue que je suis redondante dans le choix de mes mots de passe, donc à risque. Si je vais la majorité du temps sur une tablette (sauf au travail), est-ce que ça limite les chances que je sois “hackée”?

  • Simon Lemay

    Membre
    28 janvier 2014 à 18 h 45 min

    Au risque d’augmenter ton niveau de cortisol, la possibilité d’être hackée dépend davantage de la force/sécurité des mots de passe utilisés que du type d’appareil que tu utilises pour naviguer sur internet. On utilise nos ordis et nos tablettes et on crée de plus en plus de comptes (courriel, FB, twitter, n’importe quel site ou service qui invite à créer un compte). La stratégie qui peut être utilisée par certains pirates qui découvrent un mot de passe en forçant l’un de tes comptes est d’essayer cette combinaison sur d’autres sites pour obtenir des données personnelles ou cartes de crédit ou alors pour s’introduire dans votre courriel pour spammer ou créer une arnaque plus spécifique auprès de vos contacts qui croiront que c’est vous qui a envoyé le courriel.

    Donnez vous la peiner d’utiliser un service comme Lastpass: ça allège assez rapidement la mémoire de travail…

  • Mélanie Sirois

    Membre
    1 février 2014 à 2 h 18 min

    Ici, on utilise keepass depuis quelques années. Je ne connais pas Lastpass, mais c’est bien que ce soit dans le nuage.

     

    @Caroline: ce genre de logiciel est effectivement excellent pour libérer la mémoire et diminuer le taux de cortisol ;)

    Simon Lemay

    Membre
    16 mai 2014 à 16 h 23 min

    Lastpass et Heartbleed. Je mentionnais dans mon post que Lastpass utilise la connexion SSL pour transmettre l’info sur leur serveurs et ainsi permettre d’utiliser Lastpass à partir de plusieurs appareils. Cette connexion SSL de Lastpass a été vulnérable à Heartbleed. Lastpass a été d’ailleurs une des premières compagnies à agir pour mettre à jour leurs serveurs. Il demeure que même si votre info a pu potentiellement être interceptée par qq1 qui exploitait le bug heartbleed, vos données de mots de passe ont néanmoins été protégées car elles circulent toujours de manière encryptée entre votre appareil et les serveurs Lastpass (elle sont toujours déchiffrées localement sur vos appareils au moyen de votre mot de passe). Donc l’information potentiellement interceptée serait inutilisable car encryptée.

    J’ai encore été impressionné par le sérieux de la compagnie Lastpass dans la gestion du bug Heartbleed. Ils ont rapidement proposé un outil pour vous dire quand changer vos mots de passe dès que les compagnies ont appliqué le correctif au problème. Je devrais commencer à leur demander une ristourne à force que leur faire autant de pub…

  • Dominique Cazin

    Membre
    18 mai 2014 à 18 h 11 min

    Super idée :)/monthly_05_2014/post-560-0-22358000-1400436677.png” data-fileid=”150″ data-fileext=”png” rel=””>Capture d’écran 2014-05-18 à 20.09.35.png

    Simon Lemay

    Membre
    21 mai 2014 à 12 h 47 min

    Le navigation dans le browser intégré de Lastpass est décente aussi bien qu’il arrive parfois que des sites soient mal pris en charge ce qui m’oblige à faire un copier-coller dans Safari sous iOS. Les seuls problèmes que je vois parfois sur PC et qui m’obligent à faire du copier-coller concernent des particularités d’authentification de certains sites qui ouvrent une fenêtre indépendante pour la connexion. Le remplissage automatique de champ (automatic form filling) existe aussi dans Lastpass et comprend à peu près les mêmes champs avec la possibilité d’en personnaliser de nouveau. On peut aussi ajouter des notes sécurisées (texte) dans la voute.

    Au final, ce qui distingue surtout Lastpass de 1password:

    1- L’intégration dans le nuage “built in” pour Lastpass vs le recours à un service tiers (dropbox) pour 1password

    2-La version gratuite de Lastpass en version desktop. Pour l’ajout d’une application mobile (app de téléphones intelligent et fureteur sur clé usb “portableapps”) on doit débourser 12$ US par an (coût récurrent) alors que 1password a un coût unique d’achat et aucune version gratuite outre un essai de 30 jours.

    3- La plus belle interface de 1password

     

    Une dernière critique pour Lastpass concernant son intégration dans les navigateurs web: les paramètres par défaut doivent être modifiés dans chacun des navigateurs utilisés (chrome, firefox, ie, etc.). Je recommande fortement de spécifier une déconnexion du compte après 20-30 minutes d’inactivité ainsi qu’une déconnexion automatique après la fermeture du navigateur (on peut aussi préciser une déconnexion un certain nombre de minutes après la fermeture). Ceci permet de se prémunir contre l’oubli de la déconnexion de son compte Lastpass qui équivaut à la même sécurité que de laisser vos navigateurs mémoriser vos mots de passe (et même plus tout dépendant du type d’information que vous aurez décidé d’entrer dans Lastpass). Il aurait été plus sécuritaire que Lastpass force par défaut la déconnexion par inactivité ou fermeture du navigateur.

Début de la discussion
0 de 0 réponses Juin 2018
Maintenant

Report

Harassment or bullying behavior
Contains mature or sensitive content
Contains misleading or false information
Contains abusive or derogatory content
Contenus (messages, publications) et profils relevant du spam
Contains spam, fake content or potential malware

Block Member?

Please confirm you want to block this member.

You will no longer be able to:

  • See blocked member's posts
  • Mention this member in posts
  • Invite this member to groups
  • Message this member
  • Ajouter ce membre en tant que connexion

Please note: Cette action supprimera également ce membre de vos connexions et enverra un rapport à l'administrateur du site. Please allow a few minutes for this process to complete.

Report

You have already reported this .