Re: [TECH] Solution pour mot de passe et passphrase

["Association Libres-Ailé(e)s" <librezaileez AT librezele.fr.cr>]

On 04/04/2014 08:24 PM, Nicolas Vinot wrote:
> Le vendredi 4 avril 2014 17:13:30 Association Libres-Ailés a écrit :
> > Qu'en pensez-vous de ces 2 solutions?
>
> Pour Diceware, 6 mots parmis 7776 = aussi (peu) sécurisé qu'un mot de passe de
> 15 caractères alphanumériques

On rajoute aussi des caractères spéciaux de manière aléatoire. Cela 
renforce l'entropie mais j'imagine que ce n'est pas encore suffisant.

> Le principe de Kerckhoffs [1] s'appliquant, considère qu'un attaquant sait 
> quel
> algorithme tu as utilisé pour générer ta clef.

Le type de Diceware dit que peu importe que tout le monde sache qu'on 
utilise Diceware et telle ou telle liste et même qu'on sache combien il 
y a de mots dans la phrase secrète. Si je comprends bien, c'est un 
exemple de ce qu'on entend par principe de Kerckhoffs.

> Donc qu'il n'a « que » 7776^6
> possiblités à tester, ce qui est à la portée de n'importe quelle société avec
> un peu de budget, donc de la NSA.

Je ne pensais pas à la NSA. Mais aux crackers un peu partout qui peuvent 
récupérer le mot de passe pour votre compte bancaire en ligne par exemple.

> Passer à 8 mots (ou 20 caractères) et c'est déjà plus sécurisé.

Les mots dans les liste de Diceware sont de longueur un peu variable. 
Arnold Reinhold (Diceware) conseillait 6 mots avec d'autres caractères. 
Mais j'ai vu que 7 mots Diceware donnent une entropie de 90. Associé à 
Scrypt, on doit arriver à une bonne sécurité si on regarde le tableau de 
cette page qui en était encore à PBKDF2:

http://blog.agilebits.com/2013/04/16/1password-hashcat-strong-master-passwords/

> Pour la méthode à Schneier, ça se résumera à une attaque par bruteforce sur un
> dictionnaire d'environ 30 symboles (c'est rare les chiffres ou les caractères
> spéciaux dans un bouquin)

Il faudrait rajouter des caractères dits spéciaux. Mais je pensais bien 
aussi que des mots du dictionnaire sont simples à recomposer.
Ça me paraît étonnant que Schneier propose une solution aussi simple 
pour les crackers.

> Le problème des mots de passe, c'est surtout le problème de la mémorisation.
> Et le niveau de sécurité actuel nécessite des trucs trop longs pour être
> mémorisés facilement.
> L'idéal est donc aujourd'hui de se tourner vers des protections physiques
> (TOTP/HOTP, Yubikey, SmartCard GPG/RSA…),

Je vais regarder ça.

> ou de générer des trucs vraiment
> long et aléatoires (donc non facilement mémorisables) et de les stocker dans
> des trucs type KeePassX [2].

Je pensais bien à KeePassX comme coffre-fort. Il y a intérêt à trouver 
un bon mot de passe pour garder le coffre-fort! Mais les crackers ne 
peuvent le voler que sur notre ordinateur, donc ça réduit un peu le 
risque, non? (bien sûr, ça dépend de ce qu'il y a comme faille dans 
l'ordinateur).

J'ai lu que les générateurs de mots de passe ne sont pas l'idéal non 
plus. (Rien ne semble pouvoir être idéal, dans ce domaine).

Le truc de Laurent: je dirais méchamment que pour FB, n'importe quel mot 
de passe fait l'affaire puisque FB vole les données des gens de toutes 
façons, pareil pour Google, Hotmail, etc.

J'ai vu aussi l'extension pour Firefox
https://addons.mozilla.org/en-US/firefox/addon/passwordmaker/
http://www.passwordmaker.org/ mais je n'ai pas bien compris comment ça 
marche (je n'ai qu'à essayer, me direz-vous).

Et aussi pour KeeFox dont parle Sébastien, extension pour Firefox, 
est-ce que le fait que des extensions qui marchent avec Firefox ne 
posent pas de problème de sécurité? (on est sur le web)

En passant, Keefox: KeePass exige Microsoft .NET framework. C'est du 
Mono si je me souviens bien.

libre fan
--
Libres-Ailé(e)s, pour GNU/Linux et le monde du Libre: http://librezele.fr.cr
http://bibliolibre.eu.org/ - en lien avec Libre-Fan http://librefan.eu.org/
Libérez vos courriels: http://autistici.org/ ou http://riseup.net/