Accéder au contenu.
Menu Sympa

technique - Re: RE: [TECH] Solution pour mot de passe et passphrase

Objet : Liste pour les discussions techniques (liste à inscription publique)

Archives de la liste

Re: RE: [TECH] Solution pour mot de passe et passphrase


Chronologique Discussions 
  • From: Nicolas VINOT <nvinot AT april.org>
  • To: laurent dapp <dapp_laurent AT hotmail.com>
  • Cc: technique AT april.org
  • Subject: Re: RE: [TECH] Solution pour mot de passe et passphrase
  • Date: Tue, 08 Apr 2014 14:14:41 +0200

Le mardi 08 avril 2014 11:44:39 laurent dapp a écrit :
> trouver un moyen simple et efficace pour mémorisé ces mots de passe.

Ça résume effectivement très bien la problématique.
Et la réponse à cette problématique est donc tout aussi évidente : un mot de
passe simple et efficace à mémoriser est aujourd'hui un mot de passe non
fiable,
120 bits d'entropie (conseillé pour une sécu correcte) étant hors de portée
de
mémorisation d'un humain standard.
On ne peut malheureusement plus avoir à la fois quelque chose de simple et
mémorisable et en même temps sécurisé.

> -Diceware, Oblige la mémorisation du mot de passe
On est d'accord, c'est ni efficace ni sécurisé

> -KeePassX, Oblige l'installation du soft sur l'ordinateur
De mémoire, ça peut tourner sur une clef USB sans problème.

> -Protections physiques, doit être installé sur la machine hôte.
Les YubiKeys se branchent comme de simples clefs USB et ne nécessitent aucun
driver spécifique (elles sont vues comme un clavier standard).
Les HOTP/TOTP sont des modules avec un écran LCD qui présente un nombre à
recopier à la place de ton mot de passe. Il existe aussi une application sur
smartphone (Google Authenticator).

> Toutes ces protections ne sont valables qu'à une condition, que nous
> n'utilisions que notre ordinateur personnel et uniquement celui-ci (ce qui
> peut être valable aussi dans une entreprise).
HOTP/TOTP et YubiKey sont tout à fait adaptés à la mobilité :)

> Que faites vous lorsque vous cherchez à vous connecté a votre compte de
> messagerie lorsque vous êtes en vacance, sur une machine publique, a un
> dîné
> chez des amis, que votre ordinateur tombe en panne ?Vous n'avez pas de
> coffre
> fort, pas de lecteur d'empreinte, pas d'extension sur le navigateur etc...

La réponse est simple :

* Pour une sécu convenable au vu des actualités du moment, tu ne peux pas
faire confiance à une machine tierce. Donc tu ne te connectes que depuis des
postes que tu maîtrises entièrement. Si tu dois *VRAIMENT* te connecter quand
même sur un truc pas à toi, tu passes par des systèmes comme Tails pour
contourner une éventuelle compromission de la machine en question. Donc tu as
accès à ton coffre-fort (sans extension Firefox sous peine de baisser la sécu
de Tails).

* Pour de la sécu « à l'ancienne » (ie. en faisant un peu abstraction de
TAO/NSA/Prism/Lustre/GCHQ et des malwares potentiels/probables sur la machine
de la famille Michu), les fuites de données qui arrivent tous les 4 matins
sur
les services en ligne
nécessitent :
* d'avoir un mot de passe suffisamment robuste pour éviter d'être
cassé en
10min par bruteforce des hashs leakés (au mieux)
* d'avoir un mot de passe par service pour éviter d'être à poil si
les
pass leakés sont en clair (au pire)
Dans les 2 cas, c'est non mémorisable (trop complexe à retenir dans le 1er
cas, trop à retenir dans le 2nd)
Et donc tu devras à nouveau passer par un gestionnaire de mots de passe :)

Pour une sécu par mot de passe, tout autre solution met tes clients en
situation de risque vis-à-vis de leur sécurité. On ne peut pas être simple et

sécurisé dans ce type de protection.

Si tu veux du sécurisé *ET* du simple, juste tu n'utilises pas de mot de
passe
et tu passes en authentification forte par token physique :)

Librement,
--
Nicolas

Protégez votre vie privée, chiffrez vos communications
GPG : EFB74277 ECE4E222
OTR : 922C97CA EC0B1AD3

Attachment: signature.asc
Description: This is a digitally signed message part.




Archives gérées par MHonArc 2.6.16.

Haut de le page