Re: RE: [TECH] Solution pour mot de passe et passphrase

[Nicolas VINOT <nvinot AT april.org>]

Le mardi 08 avril 2014 11:44:39 laurent dapp a écrit :
> trouver un moyen simple et efficace pour mémorisé ces mots de passe.

Ça résume effectivement très bien la problématique.
Et la réponse à cette problématique est donc tout aussi évidente : un mot de 
passe simple et efficace à mémoriser est aujourd'hui un mot de passe non 
fiable, 
120 bits d'entropie (conseillé pour une sécu correcte) étant hors de portée 
de 
mémorisation d'un humain standard.
On ne peut malheureusement plus avoir à la fois quelque chose de simple et 
mémorisable et en même temps sécurisé.

> -Diceware, Oblige la mémorisation du mot de passe
On est d'accord, c'est ni efficace ni sécurisé

> -KeePassX, Oblige l'installation du soft sur l'ordinateur
De mémoire, ça peut tourner sur une clef USB sans problème.

> -Protections physiques, doit être installé sur la machine hôte.
Les YubiKeys se branchent comme de simples clefs USB et ne nécessitent aucun 
driver spécifique (elles sont vues comme un clavier standard).
Les HOTP/TOTP sont des modules avec un écran LCD qui présente un nombre à 
recopier à la place de ton mot de passe. Il existe aussi une application sur 
smartphone (Google Authenticator).

> Toutes ces protections ne sont valables qu'à une condition, que nous 
> n'utilisions que notre ordinateur personnel et uniquement celui-ci (ce qui 
> peut être valable aussi dans une entreprise).
HOTP/TOTP et YubiKey sont tout à fait adaptés à la mobilité :)

> Que faites vous lorsque vous cherchez à vous connecté a votre compte de 
> messagerie lorsque vous êtes en vacance, sur une machine publique, a un 
> dîné 
> chez des amis, que votre ordinateur tombe en panne ?Vous n'avez pas de 
> coffre 
> fort, pas de lecteur d'empreinte, pas d'extension sur le navigateur etc...

La réponse est simple :

* Pour une sécu convenable au vu des actualités du moment, tu ne peux pas 
faire confiance à une machine tierce. Donc tu ne te connectes que depuis des 
postes que tu maîtrises entièrement. Si tu dois *VRAIMENT* te connecter quand 
même sur un truc pas à toi, tu passes par des systèmes comme Tails pour 
contourner une éventuelle compromission de la machine en question. Donc tu as 
accès à ton coffre-fort (sans extension Firefox sous peine de baisser la sécu 
de Tails).

* Pour de la sécu « à l'ancienne » (ie. en faisant un peu abstraction de 
TAO/NSA/Prism/Lustre/GCHQ et des malwares potentiels/probables sur la machine 
de la famille Michu), les fuites de données qui arrivent tous les 4 matins 
sur 
les services en ligne 
nécessitent :
        * d'avoir un mot de passe suffisamment robuste pour éviter d'être 
cassé en  
10min par bruteforce des hashs leakés (au mieux)
        * d'avoir un mot de passe par service pour éviter d'être à poil si 
les  
pass leakés sont en clair (au pire)
Dans les 2 cas, c'est non mémorisable (trop complexe à retenir dans le 1er  
cas, trop à retenir dans le 2nd)
Et donc tu devras à nouveau passer par un gestionnaire de mots de passe :)

Pour une sécu par mot de passe, tout autre solution met tes clients en  
situation de risque vis-à-vis de leur sécurité. On ne peut pas être simple et 
 
sécurisé dans ce type de protection.

Si tu veux du sécurisé *ET* du simple, juste tu n'utilises pas de mot de 
passe  
et tu passes en authentification forte par token physique :)

Librement,
-- 
Nicolas

Protégez votre vie privée, chiffrez vos communications
GPG : EFB74277 ECE4E222
OTR : 922C97CA EC0B1AD3

Attachment: signature.asc
Description: This is a digitally signed message part.