Meilleures pratiques de mot de passe


30

Compte tenu des récents événements avec un «pirate» qui a appris et réessayé les mots de passe des administrateurs de sites Web , que pouvons-nous suggérer à tout le monde concernant les meilleures pratiques en matière de mots de passe?

  • utiliser des mots de passe uniques entre les sites (c'est-à-dire ne jamais réutiliser un mot de passe)
  • les mots trouvés dans le dictionnaire sont à éviter
  • envisager d'utiliser des mots ou des phrases d'une langue autre que l'anglais
  • utilisez des phrases de passe et utilisez la première lettre de chaque mot
  • l33tifying n'aide pas beaucoup

Veuillez suggérer plus!


4
Le conseil trois contredit le conseil deux.
Oddmund

@Oddmund: Pas si vous utilisez à la fois l'anglais et le non-anglais. Ie One en espagnol est uno, alors utilisez OneUno. Ou mot-split: la moitié du mot vient de l'anglais, l'autre moitié d'une autre langue. Le football en espagnol est fútbol, ​​alors utilisez le futball. Et puis rechute à partir de là.
Kevin M

@Oddmund: Non. L'utilisation de mots d'une langue (non anglaise) ne signifie pas qu'ils se trouvent dans un dictionnaire (non anglais)
user1092608

Réponses:


25
  • Utilisez des mots de passe qui ne sont pas composés de mots ou de noms courants. Les attaques par dictionnaire utilisent des dictionnaires contenant des millions de mots et sont très rapides.

  • Utilisez des mots de passe longs. J'ai tendance à utiliser des phrases de passe . Je choisis une phrase, une phrase ou une rime et je trouve un moyen d'utiliser un bon nombre de caractères non alphanumériques pour que mes mots ne soient pas des mots du dictionnaire.

  • N'utilisez pas le même mot de passe pour plusieurs services de connexion. Prenez le temps de trouver une formule pour choisir les mots de passe. Cela vous permet d'utiliser de nombreux mots de passe différents que, en cas d'oubli, vous pourrez peut-être recréer avec quelques essais et erreurs.

  • Si vous devez, écrivez certainement un bon mot de passe sûr et long et cachez-le quelque part. C'est au moins mieux que d'utiliser un mot de passe faible et plus facile à retenir.

  • Si les suggestions ci-dessus s'avèrent ingérables, utilisez un gestionnaire de mots de passe avec un long mot de passe sécurisé, puis utilisez des mots de passe de caractères aléatoires pour tout le reste. Emportez le gestionnaire de mots de passe avec vous sur une clé USB cryptée (sauvegardée bien sûr).


Est-ce que quelqu'un sait pourquoi mon utilisation du gras dans les «phrases secrètes» ne semble pas fonctionner? Ça a l'air bien dans l'aperçu quand je suis en mode édition .. bizarre.
Arnold Spence

utilisez-vous deux étoiles ou une seule? Essayez un seul ...
Mikeage

1
@Mikeage: un astérisque = italique; deux = gras. Je suggère d'essayer <b> ou <strong>; Je soupçonne que l'intégrer dans un mot est source de confusion pour l'analyseur de SO.
derobert

1
J'essaierais de mettre un espace juste après "passer" pour que vous ayez à passer [un espace] [astérisque] [astérisque] phrases. Si cela ne fonctionne pas, essayez de mettre un espace entre le deuxième lot d'astérisques et le point.
pbz

3
+1 pour "écrire un bon mot de passe sûr et long et le cacher". Dans les années 1980, quelqu'un a commencé à avertir les utilisateurs de NE PAS écrire leurs mots de passe, ce comportement était bloqué, et nous sommes tous plus mal lotis à cause de cela.
Portman

7

J'ai rencontré plusieurs problèmes avec les phrases secrètes:

  • De nombreux sites ont une limite supérieure à la longueur du mot de passe - comme 20 caractères - c'est idiot, mais que pouvez-vous faire.
  • D'autres sites n'autorisent pas les espaces dans les mots de passe.
  • Taper des textes longs à l'aveugle est sujet aux erreurs - surtout lorsque vous n'êtes pas bon dactylographe.
  • La saisie d'une phrase de passe de 50 caractères prend un peu plus de temps qu'un bon mot de passe de 15 caractères.

Ma solution à ce problème a été d'utiliser des mots de passe comme mnémonique pour le mot de passe réel. Par exemple, je pourrais choisir quelques lignes d'un grand poème de William Henry Davies (76 caractères):

Pas le temps de voir, quand les bois passent,
où les écureuils cachent leurs noix dans l'herbe.

Et je choisirais les premières lettres de chaque mot, créant le très bon mot de passe de 16 caractères suivant:

Nttswwwp,Wshtnig

L'utilisation de la poésie est particulièrement bonne, car elle est plus facile à retenir et lorsque vous êtes invité à changer le mot de passe, vous pouvez simplement choisir les quelques lignes suivantes d'un poème.


3
De plus, vous apprenez un nouveau poème à chaque changement de mot de passe et gagnez ainsi des points de culture. :)
Jonathan

4
Je me suis tiré une balle dans le pied avec celui-ci en utilisant les paroles des chansons. Tout d'abord, ma tendance à fredonner la chanson. Deuxièmement, avoir la chanson coincée dans ma tête pendant un mois d'affilée ...
Kara Marfia

4

Lorsque vous dictez un régime de mot de passe à d'autres, n'exigez pas seulement qu'ils utilisent un cas unique, plus long qu'un seuil, contiennent une casse mixte, des caractères spéciaux, etc. Si vous ne le faites pas, les utilisateurs noteront les mots de passe ou trouveront d'autres moyens peu sûrs de les "mémoriser".


L'enseignement des gestionnaires de mots de passe est un mauvais exemple pour l'utilisateur non technique moyen. Vous échangez une mauvaise pratique (écrire des mots de passe) contre une légèrement meilleure, mais toujours une mauvaise pratique (les stocker électroniquement). Une vulnérabilité dans un gestionnaire de mots de passe (comme un mot de passe maître faible, un exploit à distance, etc.) peut entraîner une catastrophe.
spoulson

En d'autres termes, je ne stockerais pas de mots de passe de grande valeur dans un gestionnaire de mots de passe, comme les identifiants bancaires, etc.
spoulson

Je ne suis pas d'accord avec vous sur le fait que même Bruce Schneier recommande l'utilisation d'un gestionnaire de mots de passe avec un mot de passe fort plutôt que l'utilisation de mots de passe faibles qui sont réutilisés et / ou mélangés entre les sites.
Martin C.

@spoulson: la confiance aveugle dans la technologie est toujours dangereuse. Je pense personnellement qu'un coffre-fort de mot de passe hautement crypté (avec un bon pwd, pensez-vous) est tout aussi sécurisé qu'une invite de connexion. Si vous faites confiance au fournisseur du système d'exploitation pour renforcer la connexion, vous pouvez également faire confiance à l'auteur des gestionnaires de mots de passe. Les règles de la paranoïa .. ne font confiance à personne .. etc ... mais au final cela revient toujours à un
acte

2
Schneier va jusqu'à recommander de les écrire: schneier.com/blog/archives/2005/06/write_down_your.html
Will M

4

Si vous avez du mal à vous souvenir des mots de passe, utilisez du texte bien connu. Choisissez une phrase, utilisez la n e lettre de chaque mot comme mot de passe, conservez la ponctuation. (Par exemple, le mot de passe généré à partir des 1 ères lettres de la première phrase de cette réponse pourrait être "Iyhtrp, uswkt."). Vous pouvez le rendre plus fort en changeant certains en majuscules et en ajoutant des caractères spéciaux.


C'est une très bonne méthode!
Techboy

3

N'utilisez pas de mot de passe, c'est là que vous vous trompez en premier lieu. Utilisez soit une collection aléatoire de caractères (8 minimum) ou une phrase secrète. Vous pouvez trouver une formule pour générer une phrase secrète différente pour chaque site, par exemple ILikeStackOverflowOnions ou ILikeServerFaultOnions; cela vous protège contre les étrangers, mais pourrait toujours causer des problèmes si le site réel est piraté et que les mots de passe ne sont pas salés, ou si l'administrateur était corrompu en premier lieu.


1+ Mais pourquoi pas d'espaces ou de ponctuation dans la phrase secrète? Cela leur ajoute de la force à mon humble avis, comme "J'aime les olives et serverfault.com!" qui devrait être un mot de passe assez fort mais extrêmement rapide et facile à taper et à retenir ^^ (certains systèmes vraiment anciens ou obscurs froncent les sourcils sur les espaces dans les mots de passe - dites-leur d'aller en enfer;)
Oskar Duveborn

Eh bien oui, les espaces sont bien sûr un plus, tout comme la ponctuation. Mais j'ai trouvé qu'il y a des sites très peu gênants et peu sûrs qui n'accepteront pas les mots de passe avec ponctuation, j'ai eu une fois une banque qui n'en avait pas :-(
Adam Gibbins

1
@Oskar Duveborn: Notez qu'au lieu d'utiliser la ponctuation dans le mot de passe, vous pouvez simplement l'allonger; mathématiquement, le résultat (nombre de mots de passe possibles) est le même. Vous pouvez même utiliser des PW avec uniquement des caractères en minuscules, si vous les rendez un peu plus longs.
sleske

Ouais, je suis juste dans la ponctuation pour faciliter le souvenir d'une phrase pour les gens. Les avantages d'un mot de passe plus long ne sont qu'un bonus;) J'ai également eu une banque qui n'a pas pris de place, il y a trois ans. Ces jours-ci, c'est bien. Et les anciens systèmes Unix ont 8 caractères maximum mais, comme vous ne pouvez pas voir ce que vous tapez, vous pouvez toujours prétendre que vous tapez le mot de passe entier à 30 caractères là aussi;)
Oskar Duveborn

3

Changez régulièrement de mot de passe. Là où je travaille, c'est un cycle de 30 jours. C'est un PITA, mais il atténue la valeur des mots de passe piratés dans une fenêtre de temps limitée. En plus d'une stratégie de mot de passe AD complexe, il doit contenir au moins 8 caractères, contenir des symboles supérieur, inférieur, numérique et.

Pour compléter, nous utilisons un service de gestion de mot de passe en libre-service. Il fournit un Windows GINA personnalisé qui fournit des fonctionnalités permettant à l'utilisateur de réinitialiser son mot de passe s'il l'oublie, ou de le déverrouiller s'il l'a raté trop souvent. L'application de gestion des mots de passe nécessite que l'utilisateur s'inscrive au service, fournisse un tas d'informations personnelles seulement qu'il saurait, qui sera ensuite utilisé comme questions lorsque l'utilisateur doit réinitialiser le mot de passe / déverrouiller son compte.


3
L'application de modifications de mot de passe basées sur le temps est généralement considérée comme une très mauvaise pratique. Je peux presque garantir que les derniers chiffres des mots de passe de la plupart des gens contiendront le mois ou l'année de leur dernière configuration.
Andrew

3

Je crois que les mots de passe doivent être générés, plutôt que pensés par l'utilisateur. Cela évite tous ces problèmes stupides avec des mots de passe faciles à deviner.

J'aime utiliser pwgen , qui génère des listes de mots de passe comme

Bai4phei Gohh7Too cee3Iegh eegh7Aiy kaing6Mu ohBi0woo oH7bieRo Opai1Vov
sahpee6Y joo3iKe4 iegai4Ae chi1Akee se2vaDoo Xivae4ew eN4aquoh ahMaeye1
Ci3mie2e Oosh3aiy pueX1OoF uXee7chi theo4doT ied6Haeg Pey3beer viZeish2 
Itoogoa3 RaeD6woh IeJ9guLo Afuozii9 equahGh7 ui9uaJae qui4Geis Eikib2ko 
Ua7viequ iedieY9Y Deihae1u uu6aR7xa ThooG6mu HeiZ7jai choo7ohM jael0Lai 
Beelae6s wu0uTieK eiX8equu uPeeS2ub WaiceeP1 tha2Ohz1 xeiroh9E Eak6leiy 

mais vraiment n'importe quel programme de génération pw fera l'affaire. Un avantage de pwgen est qu'il essaie de rendre les mots de passe (quelque peu) mémorables, en incluant quelques voyelles.


C'est comme ça que je le fais. Générez un tas de mots de passe et choisissez celui qui n'a pas de caractères ambigus, comme 1, l I, etc.
John Gardeniers


2
  1. Utilisez des mots de passe forts.
  2. Ne réutilisez pas les mots de passe.
  3. En contrepartie de # 2, utilisez un outil comme PwdHash face à des comptes disparates écrasants.


2

Utilisez un outil comme SuperGenPass pour générer des mots de passe uniques pour tous les sites Web pour lesquels vous disposez d'une connexion.


+1 pour simplement générer des mots de passe, plutôt que d'avoir un million de règles idiotes pour les créer.
sleske

2

Hak5 vient de faire un épisode démontrant un outil de Remote Exploit qui prend un certain nombre de chaînes et génère un dictionnaire de toutes les combinaisons, supérieure, inférieure, orthographe de leet, etc. d'autres informations que vous connaissez sur la cible. Le dictionnaire qu'il génère peut être utilisé comme entrée pour forcer brutalement un mot de passe faible.

Moralité: évitez d'utiliser des informations personnelles dans votre mot de passe


1
De l'autre côté des choses, il y a quelque temps, je travaillais sur un site où l'une des exigences de mot de passe du client était "ne peut pas être une forme de mot de dictionnaire" (leet, etc.) donc j'ai dû construire un générateur similaire qui identifierait toutes les différentes variantes qui étaient interdites et qui étaient suffisamment rapides pour s'exécuter dans un cycle de publication lorsqu'ils ont changé leur mot de passe.
GalacticCowboy

Bon point, plus vous limitez les choix, plus les choix possibles seront clairs.
spoulson

1
Je ne sais pas si @spoulson implique la même chose, mais: si vous interdisez activement tout mot d'un dictionnaire, ne limitez-vous pas fondamentalement le nombre de mots de passe possibles? Et donc, en théorie, faciliter la recherche du mot de passe?
Arjan

L'idée est de supprimer les modèles reconnaissables dans un mot de passe qui peut être attaqué par un dictionnaire ou facilement mémorisé par un tiers. La suppression de la possibilité de créer des mots de passe faibles n'affaiblit pas le schéma de mots de passe.
spoulson le

@Ajran: Oui, bien sûr, vous avez raison, interdire les mots de passe "faibles" réduit effectivement la longueur de bits des mots de passe (d'une longueur maximale donnée). Cependant, cela n'a d'importance que si vous interdisez réellement une partie non négligeable de l'espace de mot de passe, ce qui, espérons-le, n'est pas le cas.
sleske

2

Si vous connaissez des mots ou des phrases dans une langue autre que l'anglais , vous pouvez les utiliser dans le cadre de votre mot de passe. Par exemple, j'utilise couramment des mots japonais dans le cadre de mes mots de passe, ce qui repousse les attaques par dictionnaire tout en me permettant de m'en souvenir (par opposition aux mots de passe générés aléatoirement).


2
Ne présumez pas que les personnes qui attaquent vos mots de passe ne parlent que l'anglais. Ne présumez pas qu'un attaquant qui ne parle que l'anglais n'ajoutera pas d'autres dictionnaires de langue à son pirate de mot de passe.
pages

2

J'ai commencé à utiliser Password Safe , conçu à l'origine par Bruce Schneier, pour stocker tous les mots de passe Web. J'ai une phrase de passe très forte sur le mot de passe sécurisé, et tous les autres mots de passe sont générés automatiquement et ne sont jamais réutilisés sur les sites Web.

Le logiciel possède également des fonctionnalités telles que l'expiration des mots de passe, etc.

Je considère cela (étant donné le mot de passe sécurisé fort ) comme la meilleure approche de compromis et la plus sécurisée pour les mots de passe de sites Web.


1

Pour la famille et les amis, je dis généralement que c'est cool d'utiliser des choses comme les noms d'animaux domestiques et le nom de jeune fille de la mère tant que les deux choses suivantes se produisent:

  • concaténer au moins deux noms (ex: nom de jeune fille de la mère + nom de l'animal)
  • incorporer des majuscules et des caractères spéciaux.

OK pour les applications à faible sécurité, je suppose. Mais vous ne voudriez pas le faire, par exemple pour un site bancaire en ligne.
David Z

mauvaise idée point final. C'est trop prévisible et encourage les mots de passe faibles partout. Le même conseil devrait être donné à la famille et aux amis que celui donné aux employés.
Judioo

@ i-moan J'ai tendance à être d'accord mais je l'utilise comme un pas dans la bonne direction. Si je peux les amener à utiliser cette approche par opposition à JUSTE en utilisant le nom des animaux ou quelque chose que je pense que c'est un pas dans la bonne direction
Christian Hagelid

Bons commentaires. Des choses qui sont faciles à retenir pour vous, mais mélangées un peu tellement impossibles à deviner pour les autres
Techboy

1

Lors de l'instauration de la période d'expiration du mot de passe obligatoire, choisissez un facteur de 7 plutôt qu'un bloc de jours (par exemple 30 ou 60 jours).

Le résultat de l'expiration de 30 jours peut être que l'utilisateur doit changer son mot de passe un jour férié ou un week-end, et peut avoir une surprise lorsqu'il entre au travail le lendemain.

Si vous deviez définir l'échelle d'expiration à un facteur de 7, cela garantirait que la date de modification du mot de passe tomberait le même jour de la semaine que la modification précédente.


En fait, la plupart des systèmes avec expiration ont deux dates d'expiration: Après la première, vous devez changer votre pw lors de la prochaine connexion. Ce n'est qu'après que la seconde a passé seulement un changement pw, l'expiration a lieu en fait. Donc, cela ne devrait normalement pas être un problème.
sleske

1

Si vous avez plusieurs sites pour la même base d'utilisateurs, je dois fortement suggérer une forme de connexion unique (comme Shibboleth). Lorsque les utilisateurs ont des mots de passe différents pour plusieurs sites, ils ont généralement du mal à s'en souvenir. Un ou deux mots de passe sont facilement mémorisés par la plupart des gens, trois l'utilisateur peut les écrire dans un endroit secret. S'il y en a plus de quatre, l'utilisateur peut très bien les écrire sur un post it et l'appliquer au bureau ou au moniteur.

Les mots de passe n'ont pas besoin d'être trop complexes, mais ils doivent être suffisamment complexes pour empêcher la première ou la deuxième tentative. Tant que votre système / vos sites ont une sorte de mesure de sécurité qui limite le nombre de tentatives de connexion, les mots de passe n'ont pas besoin d'être trop complexes.

Par exemple, si vos systèmes ont une limite de 3 tentatives d'ouverture de session par heure, alors un mot de passe de base tel que "Cindy65" est plus que suffisamment complexe. Bien que le pirate puisse savoir que le vrai nom de l'utilisateur est Cindy, il ne saurait jamais qu'elle est née en 1965. Ses tentatives seraient naturellement "cindy", " l astname", "Cindy", L astname ", bien que par cela fois qu'il est bloqué.

Bien que cela puisse être un cas simpliste et un simple mot de passe, c'est tout ce qui est vraiment nécessaire si vous, l'administrateur, avez tout configuré correctement côté serveur. Nous pouvons également demander des mots de passe légèrement plus complexes et faciles à retenir, comme une combinaison aléatoire de clés. Les symboles et les majuscules sont également très utiles.

Nous devons simplement nous rappeler que plus nous rendons la tâche difficile à l'utilisateur, plus il est probable qu'il l'écrira en public.

Une chose que j'aime toujours demander à mes utilisateurs est d'écrire leur nom concaténé avec le nom d'un médicament sur lequel ils se trouvent, la nourriture préférée, le nom du meilleur ami, etc. Cette combinaison de mots du dictionnaire, bien que simpliste, est presque impossible à déchiffrer.

Exemples: CindyProzac, WilliamCodene, JoePetertherabbit

Bonne chance.


0

Ne l'écrivez pas. Et si vous le faites, mettez-le dans un coffre-fort. Et n'écrivez pas ce combo non plus.


2
À quand remonte la dernière fois que quelqu'un est entré par effraction dans une maison et a volé un mot de passe? Pour les utilisateurs à domicile, écrire un mot de passe est souvent le PLUS SÉCURISÉ, car il encourage des mots de passe forts, uniques et difficiles à retenir.
Portman

Je suis d'accord avec Ben - surtout pour un environnement de travail
Techboy

0

Si les exigences de sécurité sont vraiment strictes, j'essaierais d'éviter d'utiliser des mots de passe dans la mesure du possible. Pensez à utiliser l'authentification basée sur la clé ssh, les certificats clients sur les cartes à puce, etc. Il faut beaucoup de compétences et de budget pour que cela fonctionne correctement, donc une évaluation des risques appropriée doit être effectuée.

Si vous décidez de vous en tenir aux mots de passe, je suivrais les conseils de capar et de lexu.


0

Les restrictions sur la longueur du mot de passe sont idiotes. (Restreindre les mots de passe à 6 à 8 caractères est courant, mais n'a aucun sens sur les systèmes modernes).

Le fait d'exiger de fréquents changements de mot de passe encourage les utilisateurs à noter leurs mots de passe et à en choisir des plus simples. Il s'agit d'un compromis entre les menaces et vous devez déterminer quelle menace est la plus pertinente.

Exiger qu'un utilisateur contienne des "caractères spéciaux" dans un mot de passe de 8 caractères exactement, au lieu d'autoriser un mot de passe de 30 caractères composé uniquement de lettres, n'a aucun sens.

Ne donnez pas aux utilisateurs un mot de passe évident et demandez-leur de le changer. Ils ne le feront pas. Soit exiger qu'ils le changent lors de la première connexion, sélectionnez un mot de passe fort pour eux sachant qu'ils vont l'écrire, ou faites-leur en choisir un solide devant vous.


0

Nous formons nos utilisateurs à choisir des mots de passe et à utiliser la première lettre de chaque mot.
WTOUTPPAUTFLOEW - ajoutez un zéro ou 3 (leetifying), faites varier le verrouillage des majuscules plusieurs fois et vous avez quelque chose qu'aucun dictionnaire ne sélectionnera jamais, mais il est toujours facile de s'en souvenir.

Cependant - assurez-vous simplement de ne pas changer leur mot de passe en une phrase de passe basée sur le slogan / la déclaration de vision de l'entreprise, etc.


-1

Pour éviter ce qui est arrivé à cet administrateur de site Web et en supposant que vous ayez accès à un shell Unix ou à Cygwin, vous pouvez utiliser

$ echo -n *password* | md5sum -

d1b13e9abbe4edb1b07317241969376e -

et vérifiez cette valeur par rapport à une base de données MD5, comme http://gdataonline.com/ . Assurez-vous qu'il n'y figure pas.

En outre, voici un exemple d'un dictionnaire MD5 plus brut que j'ai obtenu en recherchant simplement cette valeur de hachage (avertissement: gros fichier): https://secure.sensepost.com/sp-hash/jebwy


1
Oui, c'est le moyen idéal de soumettre de nouveaux hachages à leur file d'attente de travail afin qu'à un moment donné, une simple recherche Google pour le hachage révèle le mot de passe. Je déconseille fortement de soumettre des hachages à de tels sites.
serverhorror

2
Votre hachage est "jeffa" btw ...
serverhorror
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.