Commentaires : Mots de passe les plus courants : les internautes ne comprendront-ils donc jamais?

Avec Keepass, pour hacker ta base, donc ton mot de passe principal, il faut que le hacker ait accès à ta machine, puis à la base keepass, il faut aussi qu’il sache où est le fichier supplémentaire demandé à l’ouverture, et après seulement il peut tenter de décrypter le mot de passe principal, sachant que ce dernier est « hashé » en SHA-256

Faut vraiment avoir de très, très important à cacher pour qu’il se donne la peine de tenter de casser ta clé vu les efforts immenses à fournir sans garantie de succès

En revanche, la méthode que tu utilises, elle, permet un accès bien plus facile et rapide à tes comptes, et tous tes mots de passe sont proches, sans être identiques, mais proches

Avec Keepass, j’ai un mot de passe unique par compte, et par compte j’entends aussi bien la banque que les impots, le mail google, amazon, etc mais aussi le moindre site (forum, ecommerce, infos, communauté, …), il y a les accès à la maison (chaque machine, le NAS, la box, les smartphones, etc), et pour tout ça chacun à un mot de passe différent et maximisé (entre 12 et 18 caractères, mix de chiffres, lettres maj et min, symboles) et il me faut moins de 10 secondes pour le retrouver au besoin.

Dans ma tête, je suis capable je pense de mémoriser 10 à 20 mots de passe. Des comptes Internet, j’en ai environ 300, plus les FTP (un trentaine), plus les comptes pour mon usage pro (une vingtaine), plus les accès des appareils maison, et ajoute à ça ceux de ma famille, femme et enfants …

J’en reviens à mon propos de départ : je ne vois pas comment on peut faire sans gestionnaire de mot de passe, sauf à vivre la porte ouverte et espérer que personne ne rentre quand on dort, parceque croire que le mot de passe « jhabiteatrifouillis » avec 3 variation et demi d’un site à l’autre vous sécurise, c’est bercer une sacré illusion

C’est un bon début, mais c’est très limité. Comment stockes tu le mot de passe de ton NAS dessus ? et celui de tes appareils à la maison ? et tout autre information nécessitant de la confidentialité ?

Mot de passe ne signifie pas forcément « mot de passe d’un site web », ça peut être plein d’autres données, et comment tu fais pour les sites qui empêchent le remplissage automatique et/ou qui nécessitent un code long à taper sur un clavier virtuel (exemple : maaf.fr, edf.fr, milleis.fr, etc) ?

ça, ça sécurise la base si tu tentes de forcer un mot de passe en accès via la site web. Google l’utilise.

mais si le hacker a cracké le serveur et est rentré dedans, cas le plus fréquent, il ramène la base chez lui et ensuite il lance ses outils, et là il va aussi vite qu’il veut pour déchiffrer

Enfin, n’oubliez pas que les sites qui se font hacker, et ça arrive tous les jours, si derrière la base n’est pas assez sécurisée, et ça arrive tous les jours, et qu’elle est décryptée, il y a des chances pour qu’elle soit ensuite vendue sur le web (le dark web), donc votre mot de passe « jhabiteaneuneuland » soit diffusé aux quatres vents. Si il a été utilisé sur plusieurs sites, c’est mort pour tous ces sites, en espérant que vous n’avez pas stocké votre CB dessus, ça arrive aussi tous les jours. Et rien n’empêche les hackeurs -et vu que votre compte est dans une base largement diffusée, ça peut concerner beaucoup de monde - de tenter les alternatives que vous avez mis en place et rentrer dans encore plus de comptes…

J’utilise un mot de passe ultra simple sur plein de sites, parce que j’en ai rien à faire si quelqu’un pirate mon compte sur de simples forums ou autres.
En revanche, ma messagerie, mon compte bancaire, mon compte Amazon, mon compte Active Directory… c’est différent.

Mais surtout, je tiens à gueuler sur les « bonnes pratiques »: c’est de la merde.
Changer un mot de passe n’a d’intérêt que si quelqu’un d’autre l’a obtenu. Forcer à le changer tous les deux mois, ça va faire 2 choses : soit le mot de passe sera marqué quelque part (donc pas sécurisé), soit le mot de passe aura un compteur (donc pas plus sécurisé).
Quant au fait d’obliger à mettre des majuscules / minuscules / symboles au sein de ses mots de passe, ça n’a aucun intérêt si le mot de passe est correctement salé avant le hash et que ton sel (ou au moins une partie) se trouve ailleurs que dans ta base. Même un mot de passe à 4 chiffres ne peut pas être bruteforcé si tu n’as pas l’intégralité du sel. Rappelons aussi que le bruteforce n’est faisable que si quelqu’un a pu aspirer la base. Auquel cas, là encore, le problème ne vient pas de l’utilisateur mais bien du SI.

Plus qu’un mdp compliqué, il est surtout très important d’avoir des mdp différents sur chaque site et activer la double authentication lorsque c’est possible.

En effet je n’avais qu’une vision orientée « mot de passe d’un site web » sans penser aux autres utilisations. Et même si comme tu le précises à raison ça reste limité, je pense que malgré tout ça peut rester une bonne solution pour des personnes peu expertes et recherchant un minimum de sécurité pour un usage basique.

A titre d’exemple je suis satisfait d’avoir réussi à convaincre mes parents d’utiliser le gestionnaire de mot de passe du navigateur pour leur utilisation web, au moins maintenant il y a un mot de passe aléatoire pour chaque nouveau site, et non plus le même mot de passe ultra simple qui était répété sur tous les sites

Après pour les sites qui demandent malgré tout une saisie manuelle ce n’est pas si grave, ils n’en ont pas tant que ça et cela permet de faire travailler la mémoire

Le truc, c’est que des mots de passe il en faut des différents à chaque fois. Je dois bien avoir une centaine de mots de passe. Merci Google

Moi je fais des mots de passe au besoin, par exemple…" Wd84Xc@gJr42Lm37 " et je les notes sur un papier comme ça pas besoin de les retenir. Qu’est ce que vous en penser?
parce que les « azerty » ou les « 123456789 », je parie que les personnes qui mettent ce genre de mot de passe se disent « un pirate ne pensera pas que j’ai mis un MDP aussi simple! »