Prenons un jeune enfant (en âge de fréquenter l'école primaire) qui commence à collecter des mots de passe pour les services en ligne. Comment un parent (ou équivalent) peut-il les aider à gérer leurs mots de passe?
Un exemple pour rendre les choses plus claires: Ma fille pourrait vouloir se connecter à http://scratch.mit.ed à partir de plusieurs emplacements/appareils pour montrer ses projets à la famille. Elle a également quelques adresses e-mail, dont une qu'elle utilisera probablement bientôt (sous supervision). Bien que son propre appareil soit connecté, elle peut avoir besoin de l'accès d'autres personnes.
Jusqu'à présent, je m'en occupe: je connais son mot de passe et son identifiant (pseudonyme), et je les stocke dans mon KeePass. C'est approprié à ce stade, mais ce n'est pas très utile si elle en a besoin sans moi (à moins d'envoyer des informations de connexion en texte clair à ses grands-parents, par exemple). Il devrait également y avoir une solution qui ne nécessite pas que je détienne ces informations, du point de vue du respect de la règle générale de confidentialité de vos informations de connexion. La mémorisation d'un mot de passe maître vraiment fort est probablement un peu trop demander, et elle risque de perdre tout stockage physique.
J'aime planifier à l'avance, donc aller de l'avant: Quelle est la meilleure approche à adopter pour un jeune enfant assez brillant, pour assurer la sécurité des connexions et former de bonnes pratiques avant les comptes les plus importants?
Peut-être que la leçon pour les enfants devrait être moins sur la façon d'utiliser les outils pour gérer un mot de passe, et plus sur la compréhension de l'importance de la gestion des mots de passe?
Laissez-les écrire leurs mots de passe dans un cahier. Amusez-vous à concevoir une méthode d'obscurcissement en cas de perte du portable. Enseignez-leur les sauvegardes - en gardant une copie dans un endroit sûr. D'après mon expérience, les enfants et les personnes âgées se ressemblent beaucoup en ce qui concerne la (mauvaise) gestion des mots de passe
Jusqu'à ce qu'ils soient suffisamment qualifiés pour gérer leur propre base de données de mots de passe, j'ai également conservé les connexions des enfants dans un "KeePass familial". C'est le même où les membres âgés de la famille sont - parce que les gens meurent et parfois vous devez récupérer des choses pour des personnes autrement incapables. Le calcul de la confiance/des risques est différent dans un groupe familial que dans un cercle professionnel ou social. Il existe également une différence entre le partage de l'accès à un mot de passe et le partage d'un mot de passe.
C'est génial que vous y pensiez tôt. Bonne chance!
Mémoriser un mot de passe maître vraiment fort est probablement un peu trop demander
Je ne suis pas d'accord! J'ai une fille qui, vers 7 ans, a pu rapidement mémoriser un mot de passe très fort en utilisant la méthode Diceware à utiliser dans un gestionnaire de mots de passe. Cette méthode sélectionne plusieurs mots aléatoires dans un dictionnaire (généralement) composé de 7 776 mots. Un simple 9 mots est log2(77769) ≈ 116 bits.
Si vous utilisez un gestionnaire de mots de passe qui prend en charge le renforcement des mots de passe avec un algorithme comme PBKDF2, vous pouvez réduire davantage la longueur du mot de passe. Utilisation de 262.144 (218) itérations de hachage, vous pouvez augmenter la sécurité d'un mot de passe à 6 caractères pour vous connecter2(77766) + 18 ≈ 96 bits. Un exemple de mot de passe:
octopus handrail chasing hull shy ambition
Ce n'est pas difficile à retenir! Cela prend un peu de pratique et ce n'est pas aussi facile que de mémoriser un mot de passe faible avec seulement un ou deux mots ou le nom d'un animal de compagnie, mais c'est quelque chose qu'un enfant, même un jeune enfant, est capable de faire. Certains gestionnaires de mots de passe prennent en charge plusieurs mots de passe maîtres équivalents, ce qui vous permet de conserver un mot de passe de sauvegarde jusqu'à ce que vous soyez sûr que votre fille n'oubliera pas le sien. Ensuite, vous pouvez révoquer votre propre mot de passe afin que vous n'ayez pas besoin d'avoir un accès inutile à ses mots de passe.
et elle risque de perdre tout stockage physique.
Si vous ne souhaitez pas synchroniser la base de données de mots de passe, vous pouvez utiliser un gestionnaire de mots de passe sans état. Il s'agit d'un gestionnaire de mots de passe qui utilise une combinaison d'un identifiant pour le service auquel vous souhaitez vous connecter, ainsi qu'un seul mot de passe maître fort. Un gestionnaire de mots de passe sans état fonctionne en hachant une concaténation de votre mot de passe principal et de l'identifiant de service. Il a cependant quelques inconvénients:
Vous ne pouvez pas changer le mot de passe d'un site sans changer l'identifiant ou le mot de passe principal.
Si votre mot de passe principal est compromis, tous les mots de passe de votre site le sont également.
Le mot de passe maître doit être suffisamment solide pour résister aux attaques par lui-même.
Si le recours à un périphérique de stockage pour conserver la base de données de mots de passe est tout simplement inacceptable, les gestionnaires de mots de passe sans état sont absolument la solution. Ils peuvent être très sûrs s'ils sont utilisés correctement.
"Se connecter à partir de plusieurs appareils" si vous ne les possédez pas, est une habitude qui devrait être arrêtée pour des raisons de sécurité générale.
Une fois que vous possédez tous les appareils dans le scénario, une méthode que j'ai vue pour les jeunes qui était utile est d'éviter de traiter complètement les mots de passe: tilisez le processus "mot de passe oublié".
Si l'appareil appartient et que l'accès aux e-mails se trouve sur l'appareil, il vous suffit de demander un lien de réinitialisation de mot de passe et de l'utiliser. Rien à retenir.
Une autre méthode consiste à utiliser un en ligne, gestionnaire de mot de passe familial (LastPass a cette fonctionnalité, par exemple). Cette fonctionnalité est conçue spécifiquement pour ce problème, mais elle a un coût, et vous pourriez ne pas aimer le stockage cloud et la synchronisation multi-appareil. Mais l'avoir et le gérer pour votre enfant en vaut la peine.
Vous pouvez également enseigner un modèle de mot de passe fort. Oui, les modèles ont une vulnérabilité inhérente et évidente, mais c'est une méthode qui peut être considérée pour votre évaluation personnelle des risques.
Je suis moi-même fan du processus de "réinitialisation du mot de passe".
Maintenant, je ne sais pas si j'ai raison, mais je pense que l'enseignement des techniques mnémoniques de base aux enfants me semble une merveilleuse idée. C'est une compétence qui l'aidera toute sa vie et aidera également à éviter d'écrire des mots de passe et des mots de passe à faible entropie. Considérez un mot de passe charabia à 10 chiffres tel que 1kej@!lej2
. Cela pourrait être facilement mémorisé si vous venez de créer une histoire en utilisant des caractères du mot de passe. Les conseils de Schroeder semblent également bons pour être honnêtes. Vous pouvez également lui apprendre à temps "comment générer des mots de passe avec une entropie suffisante" et utiliser un gestionnaire de mots de passe. Jusque-là, les mnémoniques devraient faire l'affaire pour les enfants. Ils ont une imagination débordante.
EDIT: La réponse que j'ai écrite est fausse. La partie mnémonique est correcte mais le mot de passe que j'ai choisi n'est pas suffisamment long ou facile à mémoriser. Cette question va dans le problème des mathématiques et de l'utilisabilité dans détail . Une bien meilleure méthode est celle écrite par Forest dans sa réponse.