Question:
Combien de mots de passe sont bons pour la sécurité?
CykaBlyat
2017-11-18 03:46:19 UTC
view on stackexchange narkive permalink

Je me demande donc combien de mots de passe suffisent pour sécuriser mes données car en ce moment j'ai 1 mot de passe dur pour la banque & mail (> 10 caractères + chiffres etc.) et 1 mot de passe moyen pour les jeux et 1 pour les sites louches . Je les garde tous mémorisés et non sur papier / dans un document. Est-ce assez?

Je pense que keepassx devrait être parfait pour se souvenir de nombreux mots de passe sophistiqués pour de nombreux sites.
Non bien sûr, c'est loin d'être suffisant
`function assezPasswords (numAccounts, numPasswords) {return numAccounts === numPasswords);`
@corsiKa `assezMots de passe (10, 42)`
@mb21 uhhhh `Mots de passe appropriés (comptes) {valide = [];accounts.forEach (a => {if (! valid.includes (a.pass) && entropyBits (a.pass)> 40) valid.push (a.pass);});renvoie valid.length === accounts.length;} `: doctorPERFECT:
@mb21 cela voudrait dire que vous devez avoir plusieurs mots de passe pour un compte, ce qui peut ne pas être une bonne chose.
Les mots de passe ne suffisent pas, peu importe le nombre que vous en avez.Utilisez 2fa.
Sept réponses:
Anders
2017-11-18 03:50:36 UTC
view on stackexchange narkive permalink

Non, ce n'est pas suffisant. Utiliser le même mot de passe pour votre messagerie et votre banque est une mauvaise idée. Si votre fournisseur de messagerie est compromis, cela signifie que l'attaquant aura accès à votre compte bancaire, et vice versa. Vous ne le voulez pas.

Utilisez un mot de passe par site. Vous ne pourrez pas tous les mémoriser, mais ne vous inquiétez pas. C'est à cela que servent les gestionnaires de mots de passe.

Si vous voulez que cela soit expliqué dans une vidéo présentant une pieuvre animée, l'Electronic Frontier Foundation est là pour vous.

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/69029/discussion-on-answer-by-anders-how-many-passwords-is-good-for-security).
Joe
2017-11-18 03:53:43 UTC
view on stackexchange narkive permalink

Un mot de passe pour la banque et la messagerie.

Un mot de passe moyen pour les jeux .

Un pour s .

Ne réutilisez pas les mots de passe!

C'est une très mauvaise pratique - si quelqu'un découvre l'un de vos mots de passe, ils ont accès à plusieurs de vos autres comptes. C'est particulièrement mauvais lors de la réutilisation des mots de passe entre les comptes de messagerie et les comptes bancaires, comme le montre le commentaire de @ Jeutnarg.

Moins de 10 caractères est trop faible. Optez pour quelque chose de plus élevé, au moins> 15.

Utilisez un mot de passe unique et fort pour chaque compte et utilisez un gestionnaire de mots de passe tel que Dashlane ou LastPass pour ne jamais oublier vos mots de passe. Votre mot de passe principal pour ces gestionnaires de mots de passe doit être très fort; si ce mot de passe principal est découvert, tous vos mots de passe sont connus.

Je peux recommander LastPass, leurs comptes gratuits sont dotés de fonctionnalités et les applications mobiles sont excellentes
En parlant spécifiquement de banque et de courrier, vous devez éviter fortement d'avoir une seule confirmation d'accord de mot de passe ET l'accès.Comme dans, certains services (les banques pour une) envoient des e-mails de vérification de l'intégrité lorsqu'ils détectent une connexion à partir d'une adresse inconnue ou des changements importants sur les comptes.Si vous utilisez le même mot de passe pour le courrier électronique et ce service, vous risquez de sacrifier cette protection / notification.
Et tant que vous y êtes, vous devez activer l'authentification à deux facteurs sur les sites Web qui la prennent en charge * en particulier * si vous réutilisez les mots de passe.
Je déconseille fortement d'utiliser le même mot de passe pour les e-mails et les comptes bancaires.
David Foerster
2017-11-18 20:49:32 UTC
view on stackexchange narkive permalink

Zéro est le bon nombre de mots de passe. Idéalement , le système d’authentification connaîtra votre identité sans aucune preuve active de votre part pour dériver un jeton d’accès . (En théorie des calculs, ce type de système hypothétique s'appelle un oracle. )

Malheureusement, personne n'a encore proposé une telle méthode d'authentification, nous prenons donc le meilleur nombre de mots de passe suivant : un . Vous utilisez un seul mot de passe pour déverrouiller tous vos jetons d'accès qui sont souvent mais pas nécessairement des mots de passe (pensez aux fichiers clés par exemple). Maintenant, en général, vous ne voulez pas utiliser le même jeton d'accès pour tous les systèmes d'authentification au cas où l'un d'entre eux serait volé et utilisé abusivement pour vous faire passer pour d'autres systèmes. C'est pourquoi vous générez un jeton d'accès différent (par exemple un mot de passe) pour chaque système d'authentification indépendant .

Le système qui gère et déverrouille d'autres jetons d'accès en fonction de votre un seul password est appelé un porte-clés avec le cas spécial populaire d'un magasin de mots de passe qui est un porte-clés pour un seul type de jetons d'accès, les mots de passe. Il existe quelques bonnes applications de stockage de mots de passe que vous pouvez configurer et utiliser. Voir les autres réponses pour quelques exemples.

tim
2017-11-18 05:27:47 UTC
view on stackexchange narkive permalink

Comme d'autres réponses l'ont souligné, la réutilisation des mots de passe est mauvaise, car tout compte qui utilise un mot de passe réutilisé peut être compromis.

Cela étant dit, il peut être acceptable que vous réutilisiez les mots de passe pour certains services. Plus précisément, il peut être bon de réutiliser des mots de passe pour des sites douteux ou des comptes jetables dont vous ne vous souciez pas du tout, tant que vous êtes conscient qu'ils seront compromis.

Pour une configuration sécurisée, vous devez vous souvenir au moins des mots de passe suivants:

  • Mot de passe système: le mot de passe de votre utilisateur racine local.
  • Password Manager: le mot de passe de votre gestionnaire de mots de passe. Cela peut alors prendre en charge tous les mots de passe que vous utilisez pour les services Web.
  • Mot de passe de cryptage: le mot de passe utilisé pour crypter votre disque (il ne doit certainement pas être le même que le mot de passe du système ou du gestionnaire de mots de passe).

Idéalement, c'est tout ce dont vous avez besoin. En pratique, vous souhaiterez peut-être accéder aux services sur d’autres ordinateurs, et vous ne voudrez peut-être pas faire confiance à ces ordinateurs pour gérer une clé USB contenant les données de votre gestionnaire de mots de passe ou avec le mot de passe de votre gestionnaire de mots de passe Web.

C'est là que vous devez peser personnellement la convivialité par rapport à la sécurité.

Devez-vous accéder à votre messagerie à partir d'ordinateurs non approuvés? Et si tel est le cas, votre messagerie est-elle liée à des comptes importants (auquel cas accéder à votre compte de messagerie équivaut probablement à accéder à ces comptes importants)? Si tel est le cas, vous aurez peut-être besoin d'un mot de passe supplémentaire dont vous devrez vous souvenir pour votre compte de messagerie (et vous voudrez peut-être créer un deuxième compte de messagerie pour séparer les problèmes).

Si vous devez accéder à des jeux à partir d'ordinateurs non approuvés, vous pourriez également vouloir un mot de passe séparé pour cela. Selon l'importance de ces comptes pour vous, le mot de passe doit être plus ou moins complexe.

Il en va de même pour tout autre mot de passe que vous pourriez avoir besoin d'entrer dans un ordinateur non approuvé sur lequel vous n'avez pas la possibilité d'utiliser un gestionnaire de mots de passe en toute sécurité. Vous pouvez essayer de classer ces comptes en fonction de leur criticité et, si nécessaire, réutiliser les mots de passe pour les comptes pour lesquels une compromission du compte ne vous dérange pas trop.

Je n'ai pas utilisé de gestionnaire de mots de passe mais ne devrait-il pas être possible d'exporter uniquement un mot de passe spécifique?Vous pouvez donc copier uniquement les fichiers de données du gestionnaire de mots de passe pour les mots de passe que vous devez utiliser ailleurs sur votre clé USB et laisser les autres à la maison?
@MichealJohnson oui, vous pouvez exporter certains mots de passe dans un porte-clés plus petit.
Damon
2017-11-18 16:26:26 UTC
view on stackexchange narkive permalink

Le partage de mots de passe fonctionne jusqu'à ce qu'un site soit compromis ou jusqu'à ce que vous réussissiez à être hameçonné. À ce stade, vous êtes en difficulté.

L'attaquant connaît maintenant votre nom d'utilisateur que vous utiliserez probablement sur un autre site également et (un hachage salé de? Espérons-le !? ) votre mot de passe. Avec un peu de chance, ils parviennent à trouver le mot de passe réel à partir du hachage, maintenant vous êtes vraiment en difficulté, car ce même mot de passe fonctionne sur de nombreux sites. Dans tous les cas, même s'ils ne parviennent pas à trouver un autre site sur lequel vous l'avez utilisé, le mot de passe ira dans leur dictionnaire de mots de passe connus. Si rien d'autre, cela rend la recherche par force brute un peu moins brutale la prochaine fois.
Dans le cas d'un hameçonnage réussi, vous n'avez pas mis un compte en jeu, mais plusieurs.

Ecrire des mots de passe sur papier est mauvais (même si j'avoue que je l'ai fait pendant quelques décennies), les mémoriser est plus sûr mais ne fonctionne pas vraiment bien. Bon sang, j'oublie même régulièrement le code PIN à 4 chiffres de ma carte bancaire car je n'en ai besoin qu'une fois par an. Allez voir à quel point vous pouvez vous souvenir d'une chaîne de 12 caractères raisonnablement aléatoire.

Tant qu'un ordinateur est impliqué, cela ne vous coûte vraiment rien pour faire les choses correctement. Par exemple, KeePass associé à l'extension Web Kee (fonctionne sur plusieurs navigateurs de haut niveau) générera - et mémorisera - des mots de passe suffisamment forts pour chaque site individuel. Et, dans un navigateur, cette combinaison est une configuration "juste fonctionne". Ne vous inquiétez plus jamais, ne perdez plus jamais une pensée sur ce problème. Cela fonctionne également pour d'autres programmes (non-navigateur), à peine moins confortables (copier-coller, pas de remplissage automatique).

Les mots de passe générés sont de bien meilleure qualité que tout mot de passe que vous pourriez générer vous-même ou dont vous pourriez vous souvenir avec succès. Ainsi, non seulement cela résout le problème de partage, mais cela rend également impossible le forçage brutal de votre mot de passe. Sauf bien sûr, le CIO d'un site particulier est un idiot complet, comme c'est le cas avec par ex. le portail de mon assurance maladie (Axa). Alors qu'ils insistent sur l'identification postale pour une sécurité supplémentaire, ils rejettent un mot de passe aléatoire de 256 bits, insistent sur des règles idiotes et ont un analyseur qui rejette toujours certains mots de passe conformes à leurs règles stupides. Vous vous retrouvez donc, vous l'avez deviné, 50% des utilisateurs choisissant Fuckyou! 1 . Ce qui, vous l'avez bien deviné, est conforme à leurs règles stupides.

Mais hélas, il y a des choses que vous ne pouvez pas changer. Vous devez cependant vous adresser aux problèmes que vous pouvez modifier.

Écrire un mot de passe sur un morceau de papier n'est pas la pire des choses que vous puissiez faire.Je le fais lorsque je change un mot de passe pour lequel je ne peux pas utiliser de gestionnaire de mots de passe, jusqu'à ce que j'aie appris le nouveau mot de passe.(J'adore les changements de mot de passe réguliers forcés.) Bien sûr, je garde un œil attentif sur le morceau de papier.Choisir un mot de passe beaucoup plus simple juste pour que vous vous en souveniez est probablement pire.
Je sais exactement où se trouve ma feuille de papier.2000 miles de distance.
PePePlusPlus
2017-11-20 03:15:16 UTC
view on stackexchange narkive permalink

Il ne s'agit pas du nombre de mots de passe. J'ai un mot de passe de base, quelque chose de très difficile à déchiffrer comme "Y3DYFR34" que je mémorise simplement et un suffixe que j'ajoute à la base. Donc mon mot de passe pour stackoverflow serait "Y3DYFR34_stackoverflow" et mon mot de passe pour l'email serait "Y3DYFR34_email".

  • Protège des vidages de mots de passe
  • Facile à mémoriser
Veuillez vous inscrire sur ce [site Web gratuit de faible qualité] (https://www.itisatrap.org/firefox/its-a-trap.html) Parce que je ne vais vraiment pas essayer de changer le suffixe du mot de passe que vous fournissez à "stackoverflow "et essayez de vous connecter à votre compte… _ (aucun des centaines de sites Web sur lesquels vous vous inscrivez ne sera jamais compromis pour voler les mots de passe saisis, ni enregistrer le mot de passe en texte clair) _
Pour clarifier ce que Ángel a écrit: cela ne vous protège pas des vidages de mots de passe.C'est une très mauvaise idée.Vous obtenez le pire des deux mondes: quelqu'un qui déchiffre l'un de vos mots de passe les déchiffre tous, mais vous ne gagnez pas la commodité de pouvoir utiliser le même mot de passe sur différents sites.
Si un vidage de mot de passe a l'un de vos comptes utilisant ce style de mot de passe (disons celui de Stack Overflow), rien n'empêche quelqu'un de trouver ce que vous faites et d'essayer le mot de passe partout, en remplaçant le nom de chaque site Web. Si vousvoulez vraiment différencier vos mots de passe réutilisés sur différents sites Web (sérieusement, ne réutilisez pas les mots de passe), puis trouvez au moins une méthode d'abréviation ou de synonyme unique et utilisez-la (par exemple, sover, eletters), mais vous ne devriez pas avoir à le faire.
"Y3DYFR34" n'est pas difficile à craquer, ma machine le ferait en environ 5 minutes.
@ Ángel est-ce que le lien est en fait une page de phishing, ou est-ce réellement Mozilla?Firefox le bloque, mais certains liens à l'intérieur semblent authentiques
@Ooker C'est un site de test de phishing générique géré par Mozilla.Il vous informe simplement des dangers du phishing et ne volera pas vos données.Firefox est probablement conçu pour le bloquer afin que vous puissiez voir si la protection contre le phishing du navigateur fonctionne correctement.Dans votre cas, cela a fonctionné.
Woah ... Laissez clarifier certaines choses car cela me semblait vraiment une très bonne idée. Le suffixe "stackoverflow" est en effet stupide mais je l'ai utilisé comme exemple pour mieux expliquer ma méthode, des abréviations ou des synonymes uniques sont bien sûr censés être utilisés.Et qui analyserait toutes les données lors d'un vidage de mot de passe, je pensais que le processus de vol de compte était à peu près automatisé? "Y3DYFR34" est en effet trop simple mais je n'ai pas dit que vous ne pouvez pas utiliser une base plus dure comme "_B86FvXCn7eP? W + m".
@PePePlusPlus le fruit à portée de main est en effet des personnes utilisant exactement le même mot de passe (même si pour une attaque automatisée, remplacer "stackoverflow" par "gmail" serait trivial).Mais les attaquants peuvent également le regarder.Croyez-vous que cette abréviation est suffisamment résistante?Il existe des systèmes qui le font automatiquement en utilisant un hachage ou un hmac._That_ est sûr (il repose sur la résistance de pré-image de hachage), mais votre schéma ne l'est probablement pas.
@Gilles pas seulement quelqu'un qui compromet un site légitime et craque ses mots de passe, vous devez également prendre en compte les sites avec une intention malveillante!https://www.xkcd.com/792/
Abhinaw Anand
2017-11-18 18:10:06 UTC
view on stackexchange narkive permalink

Si vous utilisez le même mot de passe pour tous vos sites, il pourrait être compromis. Vous devez également utiliser des majuscules minuscules, des caractères alphanumériques et spéciaux , et il doit être supérieur à 15 chiffres.

Vous pouvez créer n'importe quel type de combinaison pour le mot de passe.

Je peux voir où vous voulez en venir, mais cela ne répond pas à la question.La réponse ne suggère vraiment que des lignes directrices pour un bon mot de passe, et elle répète ce qui a déjà été expliqué dans d'autres réponses.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...