Les petits conseils de Google sur la sécurité des mots de passe

Les petits conseils de Google sur la sécurité des mots de passe

On ne le répétera jamais assez : prudence

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

31/05/2013 3 minutes
38

Les petits conseils de Google sur la sécurité des mots de passe

La sécurité dépend le plus souvent des mots de passe que vous choisissez. La vie moderne implique de plus en plus régulièrement de recourir à des services en ligne, provoquant de fait une accumulation des comptes. Pour ne pas être trop ennuyés, les utilisateurs choisissent alors fréquemment les mêmes identifiants. Google y va de ses petits conseils pour rappeler l’importance du choix des mots de passe.

 

Face à la multiplication des comptes utilisateurs, beaucoup choisissent un mot de passe simple qu’ils réutilisent ensuite un peu partout. Il s’agit d’une erreur double : un mot de passe trop simple est aisé à deviner, et sa réutilisation peut provoquer de véritables catastrophes face à des pirates un peu malins. De fait, lorsque Google aborde le sujet, c’est principalement pour répéter des règles qui restent encore trop peu suivies.

Taille et complexité des mots de passe 

Le premier conseil est crucial : utiliser des mots de passe différents pour chaque service important pour lequel il existe. Dans le cas où l’utilisateur se ferait pirater un compte, ses identifiants ne pourraient pas être utilisés pour les autres services.

 

Le deuxième conseil est également crucial : augmenter la complexité des mots de passe. N’utilisez pas des mots de passe tels que « pupuce », « 123456 », le prénom d’un de vos enfants ou encore votre date de naissance. Préférez non seulement les termes beaucoup plus long, voire éventuellement des phrases complètes, mais enrichissez les surtout de minuscules, de majuscules, de chiffres et de caractères spéciaux, tels que ceux de la ponctuation. Dans une analyse de 2009 portant sur 32 millions de mots de passe, 54 % seulement contenaient des chiffres et à peine 3,7 % contenaient des caractères spéciaux.

 

La complexité du mot de passe est d’ailleurs cruciale pour un compte comme celui de Google. De tels identifiants protègent désormais un véritable océan de données. Si vous êtes un aficionado des services de l’entreprise, votre compte est une clé pour un grand nombre de données personnelles. Le constat est le même pour un compte Microsoft ou Apple, sans parler de tout ce qui touche à l’administratif, aux impôts et ainsi de suite.

Un endroit sûr pour stocker les identifiants 

Pour lutter contre la pauvreté des mots de passe, Google indique ne pas voir de problème inhérent à leur stockage sous une forme ou une autre : seule condition, que l’emplacement soit sûr. S’il s’agit d’un petit carnet, cachez-le bien. Si vous préférez une forme numérique, utilisez l’un des multiples gestionnaires de mots de passe existant, sous la forme d’une application, du type Dashlane, ou d’une extension pour le navigateur.

 

Enfin, lorsque cela est possible, activez l’option de récupération du mot de passe. Il peut s’agir d’un numéro de téléphone ou d’une adresse email supplémentaire. Cela permet de garder la main sur son compte, même lorsque la sécurité est compromise. Notez que même si Google ne l’aborde pas (et c’est étonnant), un nombre croissant de services proposent une identification à deux étapes. Chaque fois que c’est possible, nous vous conseillons de l’activer.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Taille et complexité des mots de passe 

Fermer

Commentaires (38)


-Vlad- Abonné
Le 31/05/2013 à 15h 24

KeePass <img data-src=" />


tAran
Le 31/05/2013 à 15h 29

Il est toujours bon de le rappeler, tout le monde n’a pas la culture informatique des membres de PCI


Lafisk
Le 31/05/2013 à 15h 30

Venant de Google … j’aurais bien une petite blague à faire mais bon trop gros passera pas ici


Florent_ATo
Le 31/05/2013 à 15h 32

Si la sécurité des mots de passe vous intéresse, je vous invite à lire un très bon article de Ars Technica sur le sujet:http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-you…



A mettre en concordance avec:http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-win…



Sachant que de plus en plus de mots de passe (résolu) sont présents sur le net: http://arstechnica.com/security/2012/08/passwords-under-assault/









Lafisk a écrit :



Venant de Google … j’aurais bien une petite blague à faire mais bon trop gros passera pas ici







On est ‘dredi et en fin de journée. Fonce <img data-src=" />



Unapophis
Le 31/05/2013 à 15h 33

Et en guise de rappel, ce très bon post (qui date de 2 ans déjà…)



http://forum.pcinpact.com/topic/157193-bien-gerer-ses-mots-de-passe/



Edit : le lien…


Dez
Le 31/05/2013 à 15h 40

Et l’incontournable xkcd sur la question !

http://xkcd.com/936/


Gamble
Le 31/05/2013 à 15h 50

Ils n’abordent pas la double authentification parce qu’ils devraient peut-être citer un certain propriétaire de brevet, non ?


ludo0851
Le 31/05/2013 à 15h 51







Dez a écrit :



Et l’incontournable xkcd sur la question !

http://xkcd.com/936/





Il me parait juste ce comic mais ce suis pas informaticien.

Il est vraiment juste? (je suppose qu’on doit prendre pls mots pour pas qu’un “dico” donne le bon mdp tt de suite)



zarg
Le 31/05/2013 à 15h 52

Au passage le site des impôts propose cette année un système de mot de passe avec des conseils:



“Il doit cependant être composé d’une série de chiffres et de lettres, sans espaces ni caractères accentués, et comporter 8 caractères au minimum et 20 caractères au maximum”



Donc pas de caractère spécial et 20 caractères maximum !!


Unapophis
Le 31/05/2013 à 15h 53







Dez a écrit :



Et l’incontournable xkcd sur la question !

http://xkcd.com/936/







Lis le tout début du deuxième article cité par Florent_ATo <img data-src=" />



carbier Abonné
Le 31/05/2013 à 15h 53







-Vlad- a écrit :



KeePass <img data-src=" />





+1



pour le mot de passe, plus c’est long, plus c’est bon :-)



le problème est de retenir ce mot, voici des idées :

http://spiraledigitale.com/les-mots-de-passe-protegent-notre-vie-numerique-ou-so…


Lazare
Le 31/05/2013 à 16h 00







ludo0851 a écrit :



Il me parait juste ce comic mais ce suis pas informaticien.

Il est vraiment juste? (je suppose qu’on doit prendre pls mots pour pas qu’un “dico” donne le bon mdp tt de suite)







oui son calcul est correct :



il part du principe qu’il y’a environs 2^11 (2048) mots courant en anglais



donc il y a de 2^44 (17 600 milliards) concaténation de 4 mots pris au hasard



ludo0851
Le 31/05/2013 à 16h 02







Lazare a écrit :



oui son calcul est correct :



il part du principe qu’il y’a environs 2^11 (2048) mots courant en anglais



donc il y a de 2^44 (17 600 milliards) concaténation de 4 mots pris au hasard





<img data-src=" />



Lazare
Le 31/05/2013 à 16h 04







damien_spirale a écrit :



pour le mot de passe, plus c’est long, plus c’est bon :-)





non :



“123456789012345678901234567890” n’est pas un bon mot de passe.



“Tous les êtres humains naissent libres et égaux en dignité et en droits. Ils sont doués de raison et de conscience et doivent agir les uns envers les autres dans un esprit de fraternité.” n’est pas non plus un bon mot de passe



“2N(Wxbn]8-5K” aurait été un bon mot de passe si je ne l’avais pas mis dans ce commentaire.



en parlant de longueur, je ne parlais pas que de chiffre mais de mix alphanumérique ^^


5h31k
Le 31/05/2013 à 17h 04







Lazare a écrit :



non :



“123456789012345678901234567890” n’est pas un bon mot de passe.



“Tous les êtres humains naissent libres et égaux en dignité et en droits. Ils sont doués de raison et de conscience et doivent agir les uns envers les autres dans un esprit de fraternité.” n’est pas non plus un bon mot de passe



“2N(Wxbn]8-5K” aurait été un bon mot de passe si je ne l’avais pas mis dans ce commentaire.





Désolé de te contredire mais je trouve que tes 2 premiers mots de passes sont aussi difficile à trouver que le dernier. Je m’explique.

Image que le site ne propose que des chiffres comme mot de passe (qui a dis banque ?) alors ce sera la longueur de ton code qui sera en jeu. Comme nous plaçons souvent le “0” avant le “1” et c’est le cas inverse dans ton mot de passe, alors il a une change d’être plus difficile à trouver. Mais il est surtout beaucoup plus résistant au BruteForce car sa longueur est conséquente.



Dans le cas du 2nd cas, le mot de passe joue aussi sur la longueur et la capacité de pouvoir mettre des accents. Toujours en mode BruteForce, ce mot de passe sera réellement long à trouver.



Dans le 3e cas, le mot de passe est vraiment mauvais car il est impossible de le retenir, il contient des caractères spéciaux, des chiffres et des lettres mais ne peux pas se lire. Dans ce cas c’est un mauvais mot de passe. Pour un bon mot de passe nous pouvons trouver : “Tulifane+5”. Il est prononçable, on connais comment faire facilement tout les éléments et reste très difficile à trouver en BruteForce.



Pour conclure je dirais que le “hack” d’un compte n’est pas souvent du au mot de passe par sa complexité mais plutôt dans le hack si ingénieure sociale voir même hack de la base de données (ce qui dans tous les cas est plus rapide que du BruteForce face à une bonne application).



Ricard
Le 31/05/2013 à 17h 09



Notez que même si Google ne l’aborde pas (et c’est étonnant), un nombre croissant de services proposent une identification à deux étapes.



Ils ont peur de payer des royalties à Dotcom.<img data-src=" />


zaknaster
Le 31/05/2013 à 17h 32

+1 pour le 2 step verification que j’utilise régulièrement sur mon compte Google et depuis longtemps !

En plus d’un password multiterme pour Chrome, et des passwords différents pour tous mes comptes importants, je crois ça va <img data-src=" />


Winderly Abonné
Le 31/05/2013 à 17h 40







Dez a écrit :



Et l’incontournable xkcd sur la question !

http://xkcd.com/936/





À noter qu’il est possible de mettre des espaces dans les mdp google.

Je n’y suis par exemple pas arrivé avec hotmail. <img data-src=" /> <img data-src=" />



Venant de la part d’une société qui lit les emails de ses ‘clients’ pour envoyer de la pub ciblée, je trouve ça gonflé de donner des leçons


zaknaster
Le 31/05/2013 à 18h 19







daroou a écrit :



Venant de la part d’une société qui lit les emails de ses ‘clients’ pour envoyer de la pub ciblée, je trouve ça gonflé de donner des leçons





Oui, les ingénieurs lisent d’ailleurs tous les mails, un par un <img data-src=" />



matroska
Le 31/05/2013 à 18h 36

Un/des mots de passes complexes c’est le truc le PLUS important ! Moi perso pour les stocker j’utilise mSecure sur Android par ailleurs crypté AES256 + DropBox de tout ça… <img data-src=" />


TroudhuK Abonné
Le 31/05/2013 à 19h 17

Petits conseils de Google =&gt; ça me donne plutôt envie de ne pas les suivre :)



Ils faut choisir un mot de passe dur contre :




  • les attaques informatiques (recherche par dico et force brute)

  • les coups d’œil indiscrets quand on le tape, ou les mots de passe facile à trouver si on connait la personne (date de naissance etc)



    Par contre comme l’explique très bien le xkcd inutile de choisir un machin de barbare et de le crypter dans un logiciel etc., mieux vaut l’avoir en tête.


Anonyme
Le 31/05/2013 à 19h 29







Lafisk a écrit :



Venant de Google … j’aurais bien une petite blague à faire mais bon trop gros passera pas ici







Google ont une sale réputation niveau sécurité ?



im4t4tion
Le 31/05/2013 à 19h 31

Comme pour beaucoup de choses le problème est l’utilisateur et le machin qui lui sert de cerveau !



2 solutions pour avoir des mots de passes secure:




  • Créer des mdp aléatoires du style “zKiz1+df84f01s4” …. et donc passer par un gestionnaire de mot de passe !

    Avec les inconvénients qui vont avec



  • Connecter deux neurones entre eux et faire preuve d’ingéniosité ! Oe c’est possible de créer des mots de passes long et impossible à cracker pour chaque site et service sans rien avoir à retenir !

    Je vous laisse trouver une solution <img data-src=" />


Anonyme
Le 31/05/2013 à 19h 31







daroou a écrit :



Venant de la part d’une société qui lit les emails de ses ‘clients’ pour envoyer de la pub ciblée, je trouve ça gonflé de donner des leçons







Oui ils lisent les milliards de mails transitant par gmail chaque jour bien sur <img data-src=" />



Jeru
Le 31/05/2013 à 19h 45







zarg a écrit :



Au passage le site des impôts propose cette année un système de mot de passe avec des conseils:



“Il doit cependant être composé d’une série de chiffres et de lettres, sans espaces ni caractères accentués, et comporter 8 caractères au minimum et 20 caractères au maximum”



Donc pas de caractère spécial et 20 caractères maximum !!





Dans la boite ou j’étais (multinationale americaine) on m’ imposais 8 caractères maximum… <img data-src=" />



TheKillerOfComputer Abonné
Le 31/05/2013 à 20h 21

J’allais le dire…



C’est bien gentil de nous dire d’avoir des mots de passe compliqués etc… mais voilà, les services web et même les jeux vidéos deviennent de plus en plus restrictifs. Il n’y a pas si longtemps, j’avais des mots de passe à 20 caractères minimum parfois davantage…



Mais voilà, par exemple UPlay où j’en avais un de ceux-là s’est mis à jour voici plusieurs mois, résultat : Je me suis cassé la tête à comprendre pourquoi mon password ne fonctionnait plus pendant 2 jours et j’ai même gueulé contre eux, pour réaliser qu’ils ont réduit à 16 caractères maximum.



Pareil, il fut un temps où on pouvait enregistrer les mots de passe sur les jeux vidéo. Par exemple, Eve Online le permettait, très pratique pour disposer de gros mots de passe tout en ayant plusieurs comptes.



Là aussi, changement voici quelques années : on n’enregistre plus. Terminé. Je dois donc soit opter pour un password facile à retenir et à taper, soit faire du copier/coller en permanence depuis Keepass ou un fichier texte. Là le lanceur a été mis à jour ce mois-ci donc plus le choix, mais j’avais même conçu une macro car ça me fatiguait de faire ça à chaque fois ! Je me suis lâché contre eux d’une telle force que j’ai même eu droit à un avertissement avant un ban…



Des gros passwords ? Moi je veux bien, mais cessez de saboter mes efforts en ce sens, merci.


Lafisk
Le 31/05/2013 à 20h 37







daroou a écrit :



Venant de la part d’une société qui lit les emails de ses ‘clients’ pour envoyer de la pub ciblée, je trouve ça gonflé de donner des leçons







Je trouvais ça gros, mais tu l’as dis à ma place ;)



zaknaster
Le 31/05/2013 à 20h 38







ff9098 a écrit :



Google ont une sale réputation niveau sécurité ?





Difficile de le prétendre, malgré les petits trolls qui essaient <img data-src=" />



Overnumerousness
Le 31/05/2013 à 21h 05







Dez a écrit :



Et l’incontournable xkcd sur la question !

http://xkcd.com/936/









ludo0851 a écrit :



Il me parait juste ce comic mais ce suis pas informaticien.

Il est vraiment juste? (je suppose qu’on doit prendre pls mots pour pas qu’un “dico” donne le bon mdp tt de suite)









Lazare a écrit :



oui son calcul est correct :



il part du principe qu’il y’a environs 2^11 (2048) mots courant en anglais



donc il y a de 2^44 (17 600 milliards) concaténation de 4 mots pris au hasard









ludo0851 a écrit :



<img data-src=" />









Non, son calcul sort de nulle part. Pourquoi dire qu’il y a 2048 mots courants dans la langue anglaise ? Pourquoi pas plutôt 4096, 8192 ou j’en passe ?

Qu’il choisisse telle ou telle approximation pourquoi pas, à condition qu’il l’assume et l’explicite. Dans le dessin, le résultat est sorti du chapeau, point barre.



Je me permets de copier/coller une critique que j’avais faite du dessin et qui n’avait pas fait réagir à l’époque :



“Sur le calcul de l’entropie et l’estimation de la durée pour craquer le mdp, j’émets des doutes également.



Le premier mot de passe utilise des lettres minuscules (26 possibilités), majuscules (x2), des chiffres (+10) et un & (+1, je suppose qu’aucun autre caractère spécial n’est utilisé). Soient 63 possibilités/caractère.

Il y a 11 caractères =&gt; en prenant une source équiprobable cela me donne log(63^11)/log(2) = 65,75 bits !



Alors ok, prendre une source équiprobable n’est peut-être pas très réaliste. Mais je me demande quelle distribution de probas a utilisé l’auteur pour obtenir son résultat ! S’il a utilisé les probas conditionnelles comme Shannon en son temps (proba d’obtenir un a après un a, proba d’obtenir un b après un a, etc), je me demande quel résultat il a pris pour obtenir la proba d’un 4 après un b ou d’un d après un 4 !



Dernier argument, probablement moins convaincant : dans une base de données de quelques dizaines de milliers de mots (liste non exhaustive d’une langue mais qui englobe une grande partie du langage courant), en choisir 4 de façon équiprobable donne une entropie de… log(10000^4)/log(2) =53 bits, et notre second mot de passe devient plus facile à repérer que le premier ”



Overnumerousness
Le 31/05/2013 à 21h 06

edit : suppression doublon


nabalzbhf
Le 31/05/2013 à 21h 15







ff9098 a écrit :



Google ont une sale réputation niveau sécurité ?







Oui ils donnent les failles aux script kiddies après 7 jours <img data-src=" />



http://www.theverge.com/2013/5/30/4379004/google-to-make-critical-zero-day-explo…



Bordeldemerde
Le 31/05/2013 à 22h 38
totophe
Le 01/06/2013 à 00h 47



Notez que même si Google ne l’aborde pas (et c’est étonnant), un nombre croissant de services proposent une identification à deux étapes. Chaque fois que c’est possible, nous vous conseillons de l’activer.







  • Attention si l’activation du “2 Steps Auth” est un must, elle ne dispense pas d’un mot de passe plus compliqué.



  • Au sujet de la longueur des mots de passes vs la complexité des mots de passes, il est plus important d’avoir un long mot de passe qu’un mot de passe court contenant des caractères spéciaux. En effet, avec les puissances de calcul actuel, il devient tout à fait possible et très rapide de faire du “Brute Force Cracking” sur des mots de passes de 7, 8, 9 caractères.



  • Avec la langue française, il est quand même assez facile de réaliser des longues phrases qui peuvent comporter des majuscules, des minuscules, des chiffres, des charactères spéciaux comme par exemple les 5 virgules que comportent cette phrase qui pourrait faire un bon mot de passe un peu long à taper cependant.



    My two cents


totophe
Le 01/06/2013 à 00h 50

Et si on parlait aussi des “Rainbow Table” ? Whohow, fête du slip…


fred42 Abonné
Le 03/06/2013 à 12h 07







nabalzbhf a écrit :



Oui ils donnent les failles aux script kiddies après 7 jours <img data-src=" />



http://www.theverge.com/2013/5/30/4379004/google-to-make-critical-zero-day-explo…





Quand la faille est déjà activement exploitée. Ils pensent non sans raison que dans ce cas, il est important que les utilisateurs puissent se protéger si possible avec des mesures de contournement.