Re: Sécurité informatique : mots de passe
On Wed, Apr 10, 2024 at 06:29:21PM +0300,
Alex PADOLY <debian@padoly.besaba.com> wrote
a message of 51 lines which said:
> Je souhaiterais savoir ce que DEBIAN recommande en termes de mots de passe :
Je ne crois pas que Debian, organisation qui développe un système
d'exploitation, ait des recommandations particulières pour les mots de
passe.
On peut suivre les recommandations de l'ANSSI
<https://cyber.gouv.fr/bonnes-pratiques-protegez-vous> :
Utilisez un mot de passe différent pour chaque accès (messagerie,
banque en ligne, comptes de réseaux sociaux, etc.) : en cas de
compromission de l’un de vos comptes, cela évitera l’effet boule de
neige.
Créez un mot de passe suffisamment long, complexe et inattendu :
de 8 caractères minimum et contenant des minuscules, des
majuscules, des chiffres [conseil discutable, cf. celui du NIST]
et des caractères spéciaux [sic].
Ne communiquez jamais votre mot de passe à un tiers : aucune
organisation ou personne de confiance ne vous demandera de lui
communiquer votre mot de passe.
Utilisez un gestionnaire de mots de passe : pas simple de retenir tous
ses codes de connexion ! Heureusement des outils de type « coffres
forts de mots de passe » existent. Ces derniers mémorisent tous vos
mots de passe et vous permettent d’en générer de manière aléatoire.
Ou du NIST (en anglais) <https://pages.nist.gov/800-63-FAQ/#q-b06> :
Are password composition rules no longer recommended?
A-B06:
SP 800-63B Section 5.1.1.2 paragraph 9 recommends against the use of composition rules (e.g., requiring lower-case, upper-case, digits, and/or special characters) for memorized secrets. These rules provide less benefit than might be expected because users tend to use predictable methods for satisfying these requirements when imposed (e.g., appending a ! to a memorized secret when required to use a special character). The frustration they often face may also cause them to focus on minimally satisfying the requirements rather than devising a memorable but complex secret. Instead, a blacklist of common passwords prevents subscribers from choosing very common values that would be particularly vulnerable, especially to an online attack.
Composition rules also inadvertently encourage people to use the same password across multiple systems since they often result in passwords that are difficult for people to memorize.
> On voit apparaitre des sociétés qui vous proposent de gérer les mots de
> passes de leurs clients.....
Ayez confiance (avec la voix du serpent dans le Livre de la Jungle).
> Enfin, comment expliquez-vous que des sociétés qui ont des moyens beaucoup
> plus importants
> qu'un particulier se fassent voler des données.
Il y a beaucoup de raisons différentes. Cela peut être la négligence
(après tout, aucune entreprise n'a jamais fait faillite, aucun PDG n'a
jamais été viré pour une fuite de données : cela n'encourage pas à
faire attention). Cela peut être l'ignorance (on rencontre encore des
gens déconseillant les gestionnaires de mots de passe, ou demandant un
changement tous les N mois). Cela peut être que l'attaquant était
particulièrement compétent. Cela peut être que la société avait
tellement de process et de règles rigides que les employés ne
faisaient plus d'efforts. Etc.
Reply to: