Le 17 avril dernier, Sony a subi un piratage et un vol des données personnelles de 100 millions d’utilisateurs du service en ligne de la Playstation comprenant des mots de passe, des données personnelles et bancaires. Alors que le Playstation network vient tout juste d’être remis, partiellement, en service, Sony invite ses utilisateurs à enregistrer un nouveau code confidentiel.
Après ce vol, il est également fortement conseillé aux internautes qui utilisent systématiquement le même mot de passe d’en changer et d’en choisr de différents, notamment pour les sites sensibles (banque, sites marchands…).
Par curiosité, je me suis amusé à comptabiliser le nombre de mots de passe que j’utilise sur les différents sites qui en demandent un.
Il y a le premier, un code de 4 lettres tout bête, entré il y a 15 ans sur les premiers forums et sites auxquels je me suis inscrit. Puis un second, de 4 chiffres (ma date de naissance) utilisé une fois quand j’ai eu un doute sur le sérieux de l’administrateur d’un site. Plus tard, certains sites ont exigé 6 caractères minimum, j’ai donc enregistré un troisième mot de passe. Puis j’ai appris qu’il fallait mélanger des lettres, des chiffres et des caractères spéciaux, j’ai changé les mots de passe des sites les plus sensibles.
À la suite d’un problème sur l’un de ces sites, il m’a fallu de nouveau changer et différencier les codes. Comme je ne pouvais plus les retenir, je les ai noté dans un fichier codé.
Et puis il y a tous les sites, les applications, les logiciels, qui imposent des codes farfelus que l’on ne peut pas changer.
Au final, j’utilise aujourd’hui régulièrement 21 mots de passes différents pour une cinquantaine de sites.
Les précédentes notes de la série « Les geeks à travers l’histoire » :
prems! toujours aussi bon!
5 mots de passe pour moi. Tous une déclinaison du même. Pour le reste, ils sont stockés sur ma boîte mail (mails de confirmation)et enregistrés par mon navigateur pour aller plus vite.
Je ne compte pas le jeu en ligne auquel je joue, qui fait que je retiens une dizaine de noms de comptes et de mots de passe (multicomptes quand tu nous tiens)
Sinon, y’a aussi lastpass pour gérer un peu plus facilement tous ces mots de passe (Mais faut faire confiance).
21 !!!
a voui quand même, je ne suis qu’a 8-9 mot de passe différents utilisé tous les jours ou presque.
En tout cas très sympa la news, j’aime beaucoup le décalage numérique entre le PSN et une grotte :).
Merci encore pour ces bon moments de patate !
Plop 🙂
Un petit module tout simple mais hyper efficace pour générer des mot de passe pour firefox : PasswordMaker (http://passwordmaker.org/)
Même avec un keylogger, impossible de connaitre le mot de passe, tout simplement parce qu’il n’est pas enregistré sur l’ordi mais généré à chaque fois qu’on entre le mot de passe principal, vous me direz, le mot de passe principal peut être keyloggué, certes, mais encore faut-il que celui qui aura récupéré le mot de passe principal ais aussi les réglage du module 😉
– l0l0 –
PS : J’en suis à 136 MDP tous composé au minimum de 15 chiffre et lettre (maj/min) le tout choisi aléatoirement
😛
– l0l0 –
Avec Mozilla 4, je ne m’inquiète plus de la perte de la liste de mes mots de passe enregistrées dans le navigateur si l’ordinateur tombe en panne. Mozilla Sync permet d’enregistrer les marque-pages et les mots de passe (entre autres) qui sont stockés et chiffrés sur les serveurs Mozilla. On peut y accéder depuis n’importe quel PC avec un code obtenu lors de l’enregistrement.
Avec 118 mot de passe, ça me facilite la vie.
Personnellement j’utilise Keepass : c’est gratuit, c’est open source et c’est pratique.
http://keepass.info/
J’avoue utiliser essentiellement mes chiffres relatifs à mon année de naissance. Ceux qui me connaissent peuvent facilement entrer dans des forums auxquels je participe.
J’ai tellement peur de perdre la mémoire que je reste vieux jeu dans ce sens et ne cherche pas à aller plus loin.
http://wp.me/pERCo-4rK
je ne peux même pas compter. c’est l’ENFER. je rêve que ma webcam fasse reconnaissance de rétine. voilà !
Personnellement, j’utilise autant de mots de passe différents que j’utilise de sites. Mais avec une méthode permettant de n’en oublier aucun.
Ma méthode : je pars d’un nom commun utilisé comme base, qui est transformé par ajout de symboles et de chiffres, puis personnalisé par rapport au site visité.
Pour exemple, on va prendre le mot ‘patates’. Après des transformations 1337 simples, on obtient ‘P4Tat35’. À ceci, on ajoute deux ou trois symboles et caractères spéciaux : ‘P4T$ùat35’. Voilà une base déjà bien sécurisée.
Mais comme on ne veut pas utiliser le même mot pour tous les sites, on va ajouter encore deux caractères propre à chacun. Pour l’actu en patates, les deux lettres qui me viennent à l’esprit en premier sont ‘a’ et ‘p’. Voilà donc le résultat : P4T$ùat3Ap5
J’utilise ceci depuis quelques années et je défi quiconque de me pirater où que ce soit ^^. il faudrait pour cela : trouver le mot de base (bonne recherche dans les dicos de toutes les langues existantes), tomber sur les bonnes transformations, intercaler où il faut les caractères spéciaux, deviner les deux lettres propres à chaque site, et enfin bien les placer avec la bonne casse. Bonne chance !
Si c’est un mot de passe geek, ça doit être 42…
ou bien THX1138
(comprenne qui pourra)
Pas facile de gérer ses identifiants sur la web !
Mais l’essentiel est de choisir des mots de passe solides, difficiles à cracker ou deviner : longs, composés de chiffres, majuscules et caractères spéciaux, et surtout non-issus de dictionnaires !
Comme le dit un autre commentaire, il faut faire confiance aux générateurs de mdp, ce n’est pas évident, voire pas recommandé du tout… L’alternative c’est de tester en ligne ses mots de passe usuels avec Panoptipass (http://www.panoptinet.com/panoptipass), ça donne déjà une bonne idée de la fiabilité !
1 mot de passe par site généré par un générateur de mot de passe, et sauvegardé/synchronisé a distance par google chrome. (Firefox 4 le fait aussi de base). Très pratique quand on a plusieurs ordis…
@lehippie
Il faut se méfier, la transformation LEET seule n’est pas une méthode efficace pour échapper aux hackers qui fonctionnent avec des dictionnaires. Car maintenant les dictionnaires de hacking intègrent les mêmes mots en LEET.
Mais avec les autres modifications que tu cites, cela suffit effectivement.
Ta caverne d’AB, on dirait un gigantesque cul de pierre posé sur l’herbe. Ca donne pas vraiment envie d’entrer dedans.
J’utilise le plug-in last pass dans mon navigateur et il me génère un mot de passe sécurisé pour chaque site qu’il rempli automatiquement lorsque j’y vais. Il y a plus de 90 mots de passe dedans…
Est-ce risqué de leur confier autant de mot de passe, je le pense, mais je ne peux plus m’en passer.
Bien sur, celui de ma banque n’y est pas…
Personnellement au moins une quinzaine de mots de passe différents composés de chiffres et lettres. Exemple : j’ai manger 55 vaches à midi –> jam55vam. C’est le seul moyen facile que j’ai trouvé de me rappeler d’un mot de passe complexe
Une cinquantaine de sites ?
Ben dis-donc 🙂
Pour ma part, quand j’étais petit, j’ai du subir des cous de piano.
J’ai un niveau certes effroyablement bas, mais par contre, pour taper un mot de passe à plus d’une douzaine de signes, main gauche et main droite alternées plus d’une fois selon un petit riff que Keith Richard aurait pas dédaigné et à une vitesse que Éric Clapton il en serait vert de rage.
Il me suffit juste de positionner mes mains à une certaine hauteur au dessus du clavier, de viser deux (2) touches pour démarrer (une main gauche, une main droite) discrètement et de taper à fond les manettes.
Même si un mec me regarde faire, il comprend pas, car les alternances des mains (et des doigts) sont impossibles à voir (vu d’en haut, on ne sait pas quel doigt de quel main est en train de taper une touche).
Donc, j’ai juste à savoir quelle est la première et quelle est la deuxième touche, je fais tratatararatataratratratatata et c’est marre.
Héhé.
Très drôle BoYoB, d’autant qu’il s’agit d’un endroit venteux…
Je vais être mauvaise langue, mais la BD montre bien le point faible du mot de passe,
Quel est le nom de jeune fille de votre mere, c’est une information publique, qui peut être obtenue avec un peu de » social engineering » (en français on dirait barratin d’escroc) beaucoup plus facilement que le mot de passe. et que souvent les proches de la victime connaisse.
Donc si le mot de passe est protégé par une question aussi bête autant ne pas avoir de mot de passe.
Sinon je tourne avec
-Un mot de passe en chiffre pour mes boites mails
-Un mot de passe fourre tout que j’utilise partout ou c’est pas bien important
-Un mot de passe pour les machines du boulots
-Un mot de passe à changer tous les 6 mois pour certains serveurs pro sensibles (je le change en même temps sur tout les serveurs concernés)
-Un mot de passe à la con mais qui respecte toute les règles idiote que l’on veut nous imposer (c’est celui-là que j’avais sur le playstation network)
-Un mot de passe pas sur du tout que j’utilise toujours sur un site vieux de 10 ans
Je crois que j’en oublie un ou deux mais ça donne une idée,
Bien sur avec tout ça je varie les comptes utilisateurs, donc même si on sait que mon compte sur lemonde est toto et que le mot de passe est tarata, et bien le mot de passe est peut être le même sur le figaro mais mon compte là bas est tata 😉
@Cédric, le multi compte c’est de la triche et tricher C’EST MAL !
@ lehippie et @ Tony
Je ne connaissais pas le LEET du coup j’ai consulté Wikipédia et je m’aperçois que le système que j’utilise en propre pour mes différents mots de passe est sensiblement le même ! lol Je rajoute aussi des chiffres et des caractères spéciaux. Mes mots de passes sont codés en fonction du pseudo que j’utilise et du moment dans l’année ou dans ma vie où j’ai créé mon compte. J’intègre des évolutions au fur et à mesure en amalgamant ma date de naissance, de lieu ou mes codes carte bancaires successifs (du coup je me souviens encore des mes anciens code de carte bancaires).
Ce qui est fastidieux c’est de taper ces mots de passe compliqués sur son téléphone portable :S
Je plussoie l’utilisation de Keepass, notamment sa forme portable sur clé USB.
En tant que webmaster, je gère une pléthore de comptes serveurs, bases de données, paramètres FTP, htaccess, comptes mails et j’en passe.
Tout est dans mon Keepass en crypté, classé de façon pratique. De temps en temps, je crée un export du fichier de Keepass et je me l’envoie par mail, il est bien au chaud dans ma boite ou dans mon Google Docs. Personne ne peut l’utiliser puisqu’il est crypté.
Si je perds ma clé, je récupère mon fichier copie et je l’importe dans une nouvelle installation de Keepass.
@ XXX
Entièrement d’accord pour la question de sécurité ! Et d’ailleurs quand vous appelez votre banque et que pour des « raisons de sécurité », ils vous demande vos dates et lieu de naissance, ça vous fait pas marrer aussi ? Parce que moi OUI !
Je trouve ce dessin particulièrement intéressant, psychanalytiquement parlant 😀
question secrète : « quel est le nom de la femme de chambre »
Moi j’utilise toujours le meme mot de passe, sauf la premiere lettre que j’adapte suivant le site. Je fais commencer par y pour mon mot de passe yahoo ….
@Inoceram : 42 oui … mais quelle est la question ?
Gaffe !
Ta date de naissance est sur ta fiche Wikipédia…
pas de sélection de jeux cette semaine ??
Dommage comment on s’occupe ce soir, nous ? 🙂
J’oublie très souvent le mot de passe, que je dois utiliser sur des sites que je visite, pour déposer une réclamation, commander des ouvrages anciens…J’essaie de noter sur un « parchemin » que j’égare…Heureusement, je peux solliciter la mémoire de mon disciple, effectuer les démarches nécessaires.
Et comme l’écrit lehippie plus haut, mes variations sont en rapport avec le site ou le logiciel du moment.
L’Actu en Patates, je commence par un « a » à la main gauche et un « p » à la main droite (ou une touche à droite, en dessous, au dessus etc), je décide par quelle main commencer et c’est parti.
Pas besoin de réfléchir, mon mot de passe, je l’ai sous les yeux (de part 2 lettres seulement).
Je ne peux que conseiller l’utilisation de générateurs/gestionnaires de mots de passe, seule alternative valable si on veut un minimum de sécurité et un maximum de confort.
Personnellement j’use et j’abuse de 1Password (Payant), fonctionne sur Mac, Windows, iOS et Android. Stock tout dans un fichier crypté (protégé par un mot de passe maître) qu’on peut stocker sur Dropbox pour une synchronisation entre ses différents appareils.
Et bien sûr il rempli les identifiants dans les navigateurs.
Désolé pour cette page de pub (je ne touche rien) et merci Martin pour ce super blog !!!
C’est préférable, et fortement conseillé. Même s’il est vrai que ca n’est pas très pratique. La liste est souvent longue.
juste pour apporter une petite précision : SONY s’est à nouveau fait piraté.
Sauf que cette fois ce ne sont pas les données des utilisateurs qui étaient visées , mais des » points » convertibles en argent réel
( uniquement valable pour acheter des jeux en ligne. Système utilisé un peu partout de nos jours , mais connu surtout sur Wii et DS )
autre petite précision : Sony a fait courir la rumeur que ce sont des membres isolés du groupe Anonymous qui serait à l’origine de ce piratage.
Et comme par hasard, quelques jours après , un tchat en ligne du groupe Anonymous qui discutait du piratage de Sony , a lui-même été victime d’un piratage.
Une véritable sitcom.
Très bon dessin comme souvent martin.
N’ayant que 2 mots de passe sur la totalité de mes mails, comptes et tutti quanti
serais je complètement inconscient?
ah oui au fait celui qui consultera mes mails et autres informations n’y trouvera que des choses bien ordinaires comme la plupart d’entre nous….
allez, dormez tranquille, personne n’utilisera votre compte pour poster des messages!!
Martin,
Ai-je les yeux mal tournés, ou votre caverne est-elle une représentation inconsciente et surdimensionnée d’une l’intimité féminine face à d’Ali Baba?
Pauvre Ali Baba qui demande à cette montagne de « s’ouvrir » après avoir invoqué l’argent (avec sa carte bancaire) puis le statut social (sur Facebook)…
Qui plus est, la question relative à son nom de jeune fille rajoute une louche: Ali Baba pense à sa mère !
Tss tss… Sigmung, Jung et Lacan doivent apprécier 🙂
(moi aussi. C’est excellent comme toujours)
@lepsy : il n’y a pas que les yeux que tu as mal tournés…
Pour Windows :
Keepass (http://keepass.info/), c’est bien pratique pour ça comme petit logiciel. Gratuit et simple d’utilisation.
On peut même faire des « scripts ». Par ex dire que lorsque la fenêtre / l’onglet contient le mot « yahoo » et qu’on fait les touche « ctrl alt a » hop ça va renseigner utilisateur / mdp correspondants à yahoo.
Vraiment très très très pratique.
Pour Mac : keepass existe aussi mais une « vieille » version, donc moins bien.
Rien trouvé d’équivalent en gratuit, mais en payant il y a 1Password.
J’adore cette série de dessins, avec un gros faible pour la statue Facebook 🙂
Et oui, pas de sélection de jeux du dimanche ? Question, Martin/Monsieur Vidberg, tu/vous as/avez d’autres projets d’illustration de jeux, après Casse toi pov’ con ? (et tu/vous préfères/préférez que tes/vos lecteurs te/vous tutoient ou vouvoient ? Non, parce que le doute rend un peu pénible la rédaction et la lecture de ce post)
Un peu d’autopromo honteuse au passage : http://al-et-daryl.blogspot.com
c’est bon pour la mémoire ! 🙂
Très bon article.
Pour en revenir aux outils, keepass & consors, aussi efficacent soient-ils, cela ne résous toujours pas le problème de fond : la multiplication des mots de passe à retenir ou stocker, proportionnellement au nombre de sites…
Vivement que les solutions de fédération percent enfin : se créer un compte unique sur un fournisseur d’authentification central (type OpendID) ; il ne restera alors plus qu’à repasser sur les 150 sites web pour associer son compte à un compte d’authentification central… Facebook et quelques autres sont à la page, c’est un début.
Et pour assouvir sa parano, on peut aussi coupler ca à de l’authentification forte (mot de passe + un nombre qui change toutes les minutes). Plus de crainte de se loguer sur ses sites favoris depuis n’importe où 😉
Perso, j’utilise PIP, chez Verisign.
Ma méthode : prendre un mot de passe de 8 caracteres assez compliqué (quelqu’un plus haut l’a expliqué) et ajouter à la fin la lettre du site. Exemple, mon mot de passe de base va etre « password » => P4ssW0rd.
Pour facebook : P4ssW0rdf
Pour hotmail : P4ssW0rdh
etc…
J’ai des chiffres, des majuscules, des minuscules et si quelqu’un vole ce mot de passe il ne pourra l’utiliser que sur un seul site, à moins qu’il devinne le système! Et j’ai deux adresses mail, une vraie et une que je n’utilise que pour l’inscription sur les réseaux sociaux, les forums,…
entre les codes qu’on choisit et ceux qu’on nous impose (digicodes, CB…) on file tout droit vers la surchauffe !
adrien : justement, keepass (et d’autres) permettent de multiplier les password sans avoir à les retenir.
L’utilisation d’OpenID n’est pas plus sécurisée, que le fait d’utiliser un de ces logiciels (bon ok un de ces bons logiciels, car certains peuvent laisser à désirer), et il y a d’autres inconvénients à l’utilisation de ce système : facilité de connaître à quels sites tu es inscrits par ex.
Je me suis fait la même réflexion ! Mais, pour moi, c’est une vue de face… L’histoire du « prénom de jeune fille de votre mère » n’a fait que renforcée ma première impression…
*renforcer…
Pour ma part, 377 mots de passe différents (je viens de les comptabiliser …) de 6 à une trentaine de caractères, tous dans Keepass avec un super mot de passe + une clé d’ouverture de fichier hébergé sur une autre clé USB !
Le tout naturellement, sauvegardé en double en lieux sûrs !
A tous ceux qui préconisent des solutions comme keepass ou autres, est-ce que je comprends mal, ou le jour où quelqu’un obtient votre config, il a accès à TOUS vos comptes d’un seul coup ?
En plus, le jour où ça ne marche plus (je sais j’ai de l’imagination) vous perdez tout d’un coup
Je réitère mon alerte auprès des gestionnaires du système de blog du monde : en actualisant la page j’ai accès à l’adresse mail renseignée par l’auteur du dernier commentaire, quel qu’il soit !!! « Bug » de circonstance…!
Moi aussi je conseille Keepass !
Le cryptage permet de vraiment sécuriser ses données. Nettement mieux que le cryptage d’un document Word ou Excel.
Pour ceux qui pense que les documents Word ou Excel sont protégés lorsqu’on met un mot de passe : les documents MS Office sont extrêmement facile à pirater et à ouvrir quel que soit le cryptage
Keepass sans aucune hésitation ! Et puis les autres sont peut être pas mal aussi mais celui là est le seul dont la résistance a été certifié par les agences de sécurité !
http://www.ssi.gouv.fr/site_rubrique54_certificat_cspn_2010_07.html
un site = un mot de passe
jamais utilisé deux fois le même mot de passe.
Les moins importants sont gardés sur mes boîtes emails, les communs dans des fichiers cryptés, et les plus importants listés sur deux support physiques IRL uniquement.
Merci de m’avoir rappelé l’existence de Keepaas, je vais le tester de suite 😉
J’ai l’esprit mal placé ou y a-t-il du travail pour Freud? Le passage secret qui propose « quel est le nom de jeune fille de votre maman » évoque un sexe de femme.
@ attention :
Et quand sur Rue89 vous envoyez un mail à un « voisin », il est stipulé que celui-ci ne voit pas votre adresse mail.
En effet, s’il ne regarde pas le « header ». Là, l’adresse est écrite en plein.
Merci Rue89 (qui nie).
Pire, si vous répondez à la personne, elle recevra votre réponse à son adresse mail personnelle sans passer par Rue89, avec donc la votre en clair.
« Répondre » ne renvoie pas au serveur de Rue89, mais à votre adresse directement (c’est logique, elle est inscrite en clair comme « adresse réponse » dans le « header » justement.
Merci Rue89, que j’ai contacté mais qui s’en fout.
Google et Facebook, c’est de la gnognotte à côté.
Visiblement, Ali Baba est une source d’inspiration récurrente: http://vidberg.blog.lemonde.fr/2008/07/17/le-cac-40-voleur/
I’m commenting to let you know what a great discovery my child undergone studying yuor web blog. She mastered a lot of issues, including what it’s like to possess a great coaching mood to have others really easily fully understand several complicated topics. You actually exceeded her expected results. Thanks for producing those practical, healthy, educational and as well as unique thoughts on that topic to Sandra.