Sécuriser ses passphrases

Comment mettre en place une politique de mots de passe sécurisés.

Pour protéger certaines données, qu’il s’agisse de courriers ou de documents, vous avez souvent besoin de « passwords ». Attention à ne pas tomber dans certains écueils.Une règle de base : Plus un « mot de passe » est court et moins il y aura d’imagination dans le choix des caractères, plus il sera facile à cracker.

La variété des caractères

Des sites proposent aujourd’hui des réglages par défaut vous obligeant, au moment du choix de votre password, à entrer un ou plusieurs caractères numériques. Mais c’est à vous que cette idée doit arriver automatiquement en mémoire. Et pas que pour les chiffres, les caractères spéciaux sont aussi recommandés. idem pour les majuscules.

Un petit exemple

« Demain dès l’aube à l’heure où… » pourrait ainsi se transorfmer en d3m41n,d3sl’Aub3;4l,h3ur30u…

Si vous vous basez sur les 96 touches que vous offre le clavier :

0123456789AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSs
TtUuVvWwXxYyZz <SP>! »#$%&'()*+,-./:;<=>?@[]^_`{|}~

il faudra 83,5 jours pour craquer un password de 8 caractères, comme « B33r&Mug » au vu du nombre de combinaisons que peuvent tester les robots. Alors qu’en utilisant seulement les chiffres et les lettres, 62 caractères, votre password peut être découvert en 60 heures.

Plus c’est long…

Oui, bon, d’accord, elle est facile… mais c’est vrai ! Plus votre password sera long, plus vous multipliez le nombre de combinaisons possibles. Vous me direz que oui, mais ensuite, c’est difficile à retenir. Bon, sauf « demain dès l’aube… » qui est déjà dans tous les bons dictionnaires de passwords sous toutes les formes possibles, donc tu l’oublies.

C’est vrai qu’une succession de chiffres et de lettre de manière aléatoire peut être difficile sans enregistrer ses codes quelquepart (ce à quoi je me refuse, mais on parlera bientôt ici de keepass et ses alternatives), il font dont trouver quelques procédés mnémotechniques.

Les paroles de chansons, par exemple, peuvent être une bonne alternative si on décide de ne pas choisir un extrait de refrain des Beatles, tout autre morceau archiconnu. Réfléchissez ! Il y a forcément un morceau que vous adorez, dont vous vous souviendrez facilement et qui ne serait pas connu du grand public, du dialecte local, un morceau d’un groupes de potes…

Kakamou…

Kamoulox !

Une autre alternative peut aussi être le kamoulox, une série de mots sans queue ni tête.

Exemple :

« je photocopie du sable et je promène un Bee Gees »
j3ph0t0c0p13dusAbl3,
j3pr0m3n31BG

Hacking social

On a beau assez le répéter, je ne le fais que pour la forme sinon ce billet ne serait pas complet, évitez bien entendu les prénoms de vos enfants, votre adresse, vos passions… Sinon il sera très facile pour quelqu’un qui vous connaît, ne serait-ce qu’un peu, de deviner.

Bien entendu, évitez de mettre la même passphrase, aussi sécure soit-elle, sur tous vos comptes. A chaque porte son verrou, donc à chaque compte sa clé bien distincte.

  • Les liens qui vont bien

Oubliez les mots de passe, pensez phrases de passe
En combien de temps vos passwords sont-ils vulnérables ?
Et si tu chiffrais tes dossiers avec Truecrypt ?
Et si tu chiffrais tes mails avec GPG ?

 

Il était une fois : google reader

Il était une fois, le cloud 1.0

Miaou Bonjour tout le monde ! Ce n’est pas Jujusete aux commandes de ce post mais garfieldairlines, qui a été demandé en guest-blog pour vous parler de Google Reader. Et c’est avec joie que je vais vous conter l’histoire de Google Reader et de ses utilisateurs qui râlent.

Il était une fois, le cloud 1.0

Eh oui, retour quasiment (déjà !) 10 ans en arrière, facebook n’existait pas, MSN était en plein boom grâce à l’installation de Messenger par défaut sur windows XP et Google innovait en lancant plein de services.

Car oui à l’époque il Google était un moteur de recherche… et puis c’est tout. Puis petit à petit il a commencé avec ses labs à se divertir, en lançant des produits sympas concernant internet (de près ou de loin) : Gmail, Google News et surtout Google Reader.

À l’époque comme le disait feu Steve Jobs, c’était une révolution ! Une page web qui listait les nouvelles de tous vos sites préférés, et accessible de n’importe quel ordinateur, c’était génial !

Oui mais voilà, c’était du cloud avant tout le monde (et ça, c’est la seconde révolution effet kisskool). Mais à l’époque il n’y avait quasiment pas de pannes, ni de fermeture de services, donc les gens s’en foutaient.

Et le cloud 1.0 est devenu 2.0

Car maintenant messieurs, mesdames, mesdemoiselles allez-y le cloud est à tous les étages ! De votre vie personnelle (facebook), professionnelle (Office 365 machin), et même vos jeux (ceci mérite d’ailleurs un post de blog en entier tellement il y a de quoi dire), rien n’y échappe !

Mais le problème c’est que en sous-traitant vos données vers des serveurs dont vous ne savez ni où ils sont, ni ce qu’ils sont et encore moins ce dont ils font avec vos données, et surtout gratuitement il y a des risques.

Et ces risques sont on ne plus nombreux : le piratage, la revente de vos données, l’utilisation de votre adresse mail pour vous balancer du spam, l’entreprise qui décide unilatéralement de supprimer voire de censurer vos données et surtout, la suppression du service.

Et c’est ce que vivent les utilisateurs de Google Reader, ils balancent aveuglément leur données paske c’est pratique, paske c’est simple et paske c’est gratuit ; et entre-temps Google fait son traditionnel ménage de printemps et décide de virer des trucs. Vu que c’est gratuit et qu’il y a pas de pubs c’est pas très bankable pour tonton Google, et donc il décide de fermer le service.

Terminus, tout le monde descends. Et l’utilisateur peut encore s’estimer heureux qu’il a eu une notification de fermeture de service (même si elle est froide et jetée comme ça à l’utilisateur) et surtout qu’il peut exporter toutes ses données en XML.

Ah car Google, c’est pas une association de charité ?

Et puis quoi encore ? Si un service ne lui rapporte rien (ou même si il lui rapporte quelquechose) il est libre de le fermer à tout moment. Et on l’a vu avec les labs, wave ou knol. Il ne faut pas oublier que Google est un entreprise et que son but est de ramasser de la thune, de l’oseille, du fric, du pèz, du cash. Et beaucoup. C’est la seule chose qui le préoccupe.

D’ailleurs avec la fermeture de Google Reader, je prédis une fermeture prochaine de feedburner (ce qui fera encore plus mal), dans le but de forcer les sites webs à publier leur nouvelles sur Google+. Et le but ultime ? Une prison dorée made for and by Google, où ils pourront faire des stats de avec qui tu as partagé, quand tu l’as lu, si tu l’as lu, et si t’as cliqué et si tes amis ont cliqué. Mmmh que de bonnes statistiques pour des annonceurs !

Mais je m’en fous, donne-moi un plan B !

D’accord d’accord. Il existe de nombreux (et excellents) lecteurs « lourds » (et même sous licence libre) pour Linux et Windows® ; comme par exemple RSSOwl ou Liferea, ce n’est pas le choix qui manque. Une simple recherche sur Google DuckDuckGo où c’est votre ordinateur qui récolte lui même les dernières nouvelles, et elles restent dans votre ordinateur.

Mais vu que l’utilisateur de Google Reader souhaite accéder à ses flux de partout, et que je présuppose qu’il ne souhaite pas râler une seconde fois car je cite : « gnignigni cloud de merde qui va encore fermer mon lecteur de flux RSS », il ne reste qu’une seule solution : héberger vos flux RSS sur votre propre serveur.

À ce moment j’ai donc deux solutions en stock pour toi. Ils s’appellent TinyTinyRSS ou RSSLounge. Mais comme je l’ai dit, il vous faut votre propre serveur, et en cas de panne il n’y aura que vous sur qui gueuler dessus (ou plus rarement celui qui héberge votre serveur). Bien sûr, c’est payant, mais c’est le prix de la sûreté de ne pas avoir un service qui ferme et surtout, c’est le prix de votre vie privée.

Mais si vous insistez l’auteur du magnifique webcomic hmm-la-bd qui est Mogmi a déniché un récapitulatif des alternatives à Google Reader qui se trouve… Sur un Googe Docs