web-dev-qa-db-fra.com

Quel type de modèle dois-je utiliser pour mes mots de passe?

J'ai beaucoup de comptes et jusqu'à il y a quelque temps, j'utilisais un mot de passe universel pour chacun d'eux. En ce moment, j'ai un mot de passe différent pour chaque compte en fonction du nom du site Web auquel je me connecte. J'utilise un modèle et la différence entre les modèles est le nom de domaine du site Web.

Je ne veux pas stocker mon mot de passe dans une sorte de gestionnaire de mots de passe. Je veux juste avoir un motif à l'esprit et composer le mot de passe en fonction de celui-ci (et un morceau de papier caché dans un endroit sûr de la maison au cas où je serais vraiment stupide et j'oublie le motif).

  1. Pourriez-vous me suggérer de bons modèles? Je peux donc en obtenir un ou un mélange pour créer un meilleur modèle pour mes mots de passe.

  2. Existe-t-il une meilleure façon de stocker les mots de passe mais d'y accéder si vous devez vous connecter à partir d'un autre ordinateur/appareil?

43
Chris

Aucun . Utilisez une application de gestion des mots de passe pour générer un mot de passe long et aléatoire pour chaque site.

Assurez-vous que vous n'utilisez pas votre mot de passe principal (ou une dérivation de votre mot de passe principal) ailleurs.

Si vous ne faites pas confiance aux gestionnaires de mots de passe en ligne ou commerciaux, utilisez-en un qui est open source et fonctionne avec des fichiers locaux.

Edit : Pour référence, Bruce Schneier a publié en 2014 une version assez complète (et très lisible) article de blog expliquant pourquoi utiliser tout type de modèle pour générer des mots de passe est une mauvaise idée.

86
Stephane

Si vous ne faites pas confiance aux gestionnaires de mots de passe, vous n'avez pas besoin de stocker l'intégralité du mot de passe dans le gestionnaire de mots de passe.

Vous pouvez diviser votre mot de passe en une partie facile à retenir dont vous vous souvenez (cela peut être le même pour tous les sites Web si vous le souhaitez) et un mot de passe long et aléatoire unique dans le gestionnaire de mots de passe.

Si quelqu'un a pu accéder à votre gestionnaire de mots de passe, il n'aura toujours pas la partie du mot de passe dont vous vous souvenez dans votre tête.

40
JonnyWizz

La génération aléatoire est le seul modèle que vous voulez - vous pouvez même tiliser des dés (Wikipedia), ou pour des chaînes de lettres aléatoires plus courtes (Wikipedia à nouveau).

Si vous ne voulez pas les oublier et ne faites pas confiance à un gestionnaire de mots de passe notez-les ! (Schneier. com). Je considérerais une certaine forme d'obscurcissement ici afin qu'un voleur occasionnel volant votre portefeuille ne puisse pas simplement se connecter à votre compte Paypal (par exemple), même si cela est difficile à bien faire.

9
Chris H

1) Si vous ne faites pas confiance aux gestionnaires de mots de passe en ligne, vous pouvez utiliser des gestionnaires hors ligne comme keepass2, mais vous devrez rendre votre fichier accessible n'importe où et la violation serait là. Si vous ne voulez vraiment pas faire confiance aux gestionnaires de mots de passe ... apprenez vos mots de passe.

2) Il existe plusieurs types de modèles qui peuvent être utilisés pour générer des mots de passe. Ils ne sont pas toujours sûrs, donc les générés sont meilleurs. Un article a été publié à ce sujet sur NakedSecurity ici , ils présentent différents schémas possibles.

7
zr_ifrit

Je voudrais vous référer à ce XKCD :

enter image description here

Si vous ajoutez par exemple un nom de site à la fin d'un mot de passe comme celui-ci (et s'il vous plaît n'utilisez pas "correcthorsebatterystaple" maintenant), ce serait très sécurisé.

Ce qui compte vraiment, c'est la longueur. Donc, si c'est long et facile à retenir, c'est parfait.

Une suggestion si vous rencontrez des problèmes avec les gestionnaires de mots de passe: stockez le fichier du gestionnaire de mots de passe sur quelque chose comme Dropbox. De cette façon, vous pouvez y accéder de n'importe où, et c'est toujours sûr.

7
Tomas

Vous pouvez utiliser une stratégie de génération de mot de passe basée sur le hachage. Vous combinez un mot de passe principal avec le nom du site (et ses exigences de complexité) pour générer un mot de passe unique au site.

Il présente certains avantages et inconvénients par rapport à un gestionnaire de mots de passe:

  • Il n'y a pas de base de données cryptée que vous puissiez perdre/se faire voler et attaquer
  • Vous devez vous souvenir des paramètres utilisés pour que l'approche fonctionne pour les sites ayant des exigences de complexité différentes
  • Une mauvaise implémentation, comme prendre 8 caractères à partir d'un hachage md5, peut réduire considérablement l'espace de clés.
  • Les cas où vous êtes obligé de changer votre mot de passe sont difficiles à gérer

Il existe quelques outils qui peuvent être utilisés:

  • fonctions de hachage normales (vous devez éviter cela), par exemple Le exemple présenté ici (Ce poste a également les forces et les faiblesses de l'approche)
  • Des outils pour automatiser le processus, comme supergenpass (MD5 basé par défaut, ce qui n'est pas idéal, un hachage plus lent rend la récupération de votre mot de passe maître plus difficile si un mot de passe généré + le nom du site est connu d'un attaquant) (Bien que vous devrait probablement avoir un mot de passe maître qui est suffisamment long et aléatoire pour être difficile à utiliser par force brute) (il en existe d'autres, comme le mot de passe maître, voir ci-dessous)

(Via Matty: mot de passe principal semble utiliser une bien meilleure façon de générer des mots de passe que n'importe lequel des autres mentionnés précédemment)

6
Gert van den Berg

Utilisez un Password Card .
Voici un exemple:

. (Ou, plusieurs points de départ et chemins d'accès par mot de passe.) Vous n'avez pas à faire confiance aux gestionnaires de mots de passe logiciels car la carte papier est votre gestionnaire de mots de passe et le hachage en bas est le "mot de passe principal". Vous devez toujours garder une trace de certaines informations (point de départ et chemin) distinctes du gestionnaire, donc même si vous perdez votre portefeuille, les mots de passe ne sont pas partis avec.

6
WBT

Je pense que "Off The Grid" ( https://www.grc.com/offthegrid.htm ) pourrait répondre à vos besoins. Il est basé sur une grille générée aléatoirement et une méthode basée sur le nom de domaine pour générer le mot de passe à partir de cela. Les pages de ce site décrivent la façon "standard" d'utiliser la grille, mais il y a aussi des suggestions sur la façon dont vous pouvez la modifier, donc même si quelqu'un s'est emparé de votre grille et connaissait la méthode "standard", il ne le ferait toujours pas être en mesure de travailler sur vos mots de passe.

3
Paul Walker

Ce que je ferais, c'est utiliser une chaîne de base complexe pour le mot de passe comme AdasfbkSDUn7657AJDadadsag puis pour le site Web pour lequel je crée le mot de passe, j'ajouterais son nom au début. Si se souvenir du mot de passe semble intimidant (ce qui devrait être le cas, utilisez un hors ligne gestionnaire de mots de passe).

Exemple de mot de passe pour - www.website.com

web_AdasfbkSDUn7657AJDadadsag
0
sayan

J'aime utiliser des citations populaires de films. Je prends la première lettre de chaque mot et je transforme chacun en une majuscule, une minuscule, un symbole ou un chiffre différent et j'essaie d'utiliser 4 de chacun et de les garder différents.

"De quel" pays dont je n'ai jamais entendu parler, parlent-ils anglais dans "quoi"?

devient "W @ 4c! 3% 7D ^ S9Iw?". J'aime ajouter une petite série de symboles et de lettres dont je me souviens si elle est trop courte. comme 456 avec décalage tenu tous les autres. "W @ 4c! 3% 7D ^ S9Iw? $ 5 ^"

0
Ken Brockert