Re: [TECH] Solution pour mot de passe et passphrase

[Sébastien Dinot <sdinot AT april.org>]

Bonjour,

Nicolas Vinot a écrit :
> les stocker dans des trucs type KeePassX (https://www.keepassx.org/)

J'allais en venir là. :)

Le principal problème à mon sens avec les mots de passe est qu'avec
l'explosion du numérique et la dématérialisation des services, les gens
en ont de plus à connaître. Du coup, je pense que 99, voire 99,99 % des
gens optent pour un à trois mots de passe qu'ils utilisent partout. La
compromission d'un seul mot de passe compromet dans ce cas la plupart
des accès (la seule barrière éventuelle restant l'identifiant qui est de
plus en plus souvent l'adresse email de la personne). Il est donc
important que les gens apprennent non seulement à utiliser des mots de
passe non triviaux mais aussi cloisonner les accès en utilisant un mot
de passe différent pour chaque compte. Impossible, me direz-vous, je
viens de compter, j'en ai 42 à mémoriser ! Si, c'est possible avec un
peu d'outillage. A ce titre, KeePassX [1], KeePass [2] (le logiciel qui
a inspiré KeePassX), pass [3] (pour les amateurs de ligne de commande)
et d'autres se révèlent vraiment précieux. Ils permettent de stocker de
manière sécurisée les mots de passe, certains sont multi-plateforme
(mais évitez tout de même la tentation de déployer KeePass sur votre
téléphone Androïd, c'est un très mauvaise idée) et offrent d'autres
fonctions pertinentes telles le copié/collé temporaire et sans affichage
du mot de passe, un greffon pour Firefox (KeeFox), etc. Je les préconise
à tous mes collègues. Pour ma part, indécrottable utilisateur d'Emacs,
je me contente de la solution perfectible qui passe par l'intégration de
GnuPG dans mon éditeur favori via le module easypg.

Une fois qu'on dispose d'un outil qui permet se gérer efficacement une
multitude de mots de passe, on peut se lâcher et opter pour des mots de
passe dédiés, longs et générés aléatoirement. Ces outils vous proposent
même de générer ces mots de passe pour vous, que du bonheur !

Dans les faits, vous voudrez peut-être pouvoir tout de même mémoriser
sans trop de difficulté ceux que vous utilisez au quotidien. Dans ce
cas, un bon compromis est d'utiliser un générateur tel que apg qui peut
produire des collections de mots de passe pseudo-aléatoires et
prononçables :

$ apg -a 0 -M NCL -n 8 -m 12
typ9ajAftib7
tekifkamBat5
Triv4Vetafib
HeglatAckor2
noj7OfAtalom
phorotLywak2
Mas5Sladjofs
JotJind5slep

Et voilà, il ne reste plus qu'à choisir parmi les 8 mots de passe de 12
caractères proposés celui qui nous inspire le plus.

Dernière astuce, j'ai une politique différente pour le mot de passe à de
ma borne Wifi que j'ai à partager avec pas mal de gens de passage, que
je souhaite non trivial mais en même temps facile à communiquer
oralement. Là, j'opte pour une longue phrase « à la Yoda » du style :

Bien attacher ton bouffi kayak a un nuage tu dois !

Sébastien


[1] KeePassX : https://www.keepassx.org/
[2] KeePass : http://keepass.info/
[3] pass : http://www.zx2c4.com/projects/password-store/

-- 
Sébastien Dinot, sdinot AT april.org
April, http://www.april.org/
Promouvoir et défendre le logiciel libre