Copie de Créer et gérer ses mots de passe de façon sécurisée : KeePass

Un article de Wiki URFIST.

(Différences entre les versions)
Version du 26 juin 2015 à 09:32 (modifier)
Yasmine-urfist (Discuter | Contributions)

← Différence précédente
Version actuelle (2 octobre 2015 à 08:29) (modifier) (défaire)
Yasmine-urfist (Discuter | Contributions)
(Ajouter un caractère aléatoire de la phrase)
 
(7 révisions intermédiaires masquées)
Ligne 21 : Ligne 21 :
* Transférer vos données d'identification vers KeePass. * Transférer vos données d'identification vers KeePass.
* Remplacer vos mots de passe actuels par des mots de passe uniques et optimaux. * Remplacer vos mots de passe actuels par des mots de passe uniques et optimaux.
- 
=Le stage= =Le stage=
==Mots de passe : bonnes et mauvaises pratiques== ==Mots de passe : bonnes et mauvaises pratiques==
Ligne 28 : Ligne 27 :
* Choisissez un mot de passe qui n’a pas de lien avec vous * Choisissez un mot de passe qui n’a pas de lien avec vous
* Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur Internet), encore moins sur un papier facilement accessible (https://nakedsecurity.sophos.com/2012/11/21/prince-william-photos-password/) * Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur Internet), encore moins sur un papier facilement accessible (https://nakedsecurity.sophos.com/2012/11/21/prince-william-photos-password/)
- 
* Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle * Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle
* Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis * Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis
- 
- Deux méthodes pour choisir vos mots de passe : - Deux méthodes pour choisir vos mots de passe :
* La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am * La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am
* La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A * La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A
- 
==Tester les mots de passe : quel est votre niveau de sécurité actuel?== ==Tester les mots de passe : quel est votre niveau de sécurité actuel?==
- Testez le niveau de securité de votre mot de passe : - Testez le niveau de securité de votre mot de passe :
* Lancez votre navigateur, rendez vous sur : https://www.grc.com/haystack.htm ou sur https://howsecureismypassword.net/ * Lancez votre navigateur, rendez vous sur : https://www.grc.com/haystack.htm ou sur https://howsecureismypassword.net/
Remarque : N’essayez pas votre vrai mot de passe mais le plus ressemblant Remarque : N’essayez pas votre vrai mot de passe mais le plus ressemblant
- 
==Les stratégies des mots de passes== ==Les stratégies des mots de passes==
- ''Une stratégie cohérente:'' - ''Une stratégie cohérente:''
Ligne 47 : Ligne 42 :
* Maximisez l'aléatoire : longueur / symbole * Maximisez l'aléatoire : longueur / symbole
* Ne pas mémoriser de mot de passe sur le navigateur * Ne pas mémoriser de mot de passe sur le navigateur
- 
- ''Quel gestionnaire de mot de passe?'' - ''Quel gestionnaire de mot de passe?''
* Nous allons choisir "KeePass Password Safe" * Nous allons choisir "KeePass Password Safe"
- 
- ''Quel <s>mot</s> phrase de passe pour le gestionnaire?'' - ''Quel <s>mot</s> phrase de passe pour le gestionnaire?''
* Une phrase de passe : un "mot" de passe très long * Une phrase de passe : un "mot" de passe très long
Ligne 57 : Ligne 50 :
* Difficile à deviner même pour quelqu'un qui vous connaît * Difficile à deviner même pour quelqu'un qui vous connaît
* Facile à retenir et à saisir sans erreur * Facile à retenir et à saisir sans erreur
- 
==Créer une “phrase de passe” avec Diceware== ==Créer une “phrase de passe” avec Diceware==
- 
===La méthode Diceware=== ===La méthode Diceware===
Qu'est ce que Diceware? Qu'est ce que Diceware?
Ligne 77 : Ligne 68 :
* 8 mots devraient être complètement sécurisé jusqu'en 2050. * 8 mots devraient être complètement sécurisé jusqu'en 2050.
=> '''Nous avons choisis une phrase avec 6 mots''' => '''Nous avons choisis une phrase avec 6 mots'''
- 
'''Comment faire ?''' '''Comment faire ?'''
* Lancer (un ou plusieurs ) dés : 5 chiffres par mot * Lancer (un ou plusieurs ) dés : 5 chiffres par mot
Ligne 89 : Ligne 79 :
1 1 6 2 6 1 1 6 2 6
-5 5 3 3 1 +5 5 3 3 1
- +
3 6 1 6 4 3 6 1 6 4
* Choisissez votre liste , selon la langue que vous souhaiter (Nous avons choisis la version anglaise) * Choisissez votre liste , selon la langue que vous souhaiter (Nous avons choisis la version anglaise)
Ligne 111 : Ligne 101 :
'''Remarque:''' '''Remarque:'''
Il existe un nombre minimal de caractère (avec les espaces) dans les phrase, sinon tout recommencer Il existe un nombre minimal de caractère (avec les espaces) dans les phrase, sinon tout recommencer
- 
5 MOTS => 14 / 6 MOTS => 17 / 7 MOTS => 20 / 8 MOTS => 22 5 MOTS => 14 / 6 MOTS => 17 / 7 MOTS => 20 / 8 MOTS => 22
Ligne 121 : Ligne 110 :
* Dans l'image 5,3 => 5 , donc le caractère sera ajouté dans le 5eme mot * Dans l'image 5,3 => 5 , donc le caractère sera ajouté dans le 5eme mot
* Dans notre phrase : SPOUT * Dans notre phrase : SPOUT
- 
- Lancer deux dés pour choisir le caractère à ajouter - Lancer deux dés pour choisir le caractère à ajouter
* Lancement du premier dé : 6 * Lancement du premier dé : 6
Ligne 127 : Ligne 115 :
[[Image:diceware2.png|300px]] [[Image:diceware2.png|300px]]
* Dans l'image 6,2 => = , donc le caractère qui sera ajouté est “=” * Dans l'image 6,2 => = , donc le caractère qui sera ajouté est “=”
-  
- Lancer un dé pour choisir l’endroit du mot - Lancer un dé pour choisir l’endroit du mot
* Lancement du dé : 4 * Lancement du dé : 4
* Le caractère sera ajouté après le 4 caractère du mot trouvé ''SPOUT'' * Le caractère sera ajouté après le 4 caractère du mot trouvé ''SPOUT''
-  
=> Votre phrase de passe: '''eagle lang radii alley spou=t launch''' => Votre phrase de passe: '''eagle lang radii alley spou=t launch'''
 +Remarque :
 +* Vous pouvez tester votre phrase de passe sur le site : https://www.grc.com/haystack.htm
 +( Remarque : n’oubliez pas de ne pas tester votre vraie phrase de passe mais une phrase qui y ressemble, changez quelques caractères.)
 +
==Les fonctionnalités du logiciel KeePass== ==Les fonctionnalités du logiciel KeePass==
 +'''Tutoriel: [[Tutoriels/Keepass]]'''

Version actuelle

Article en cours de rédaction

Sommaire

[modifier] Description du stage

  • Formateur: Iannis Aliferis
  • Durée: 3h

[modifier] Objectifs

Après cette formation, vous serez capable de :

  • Gérer la totalité de vos mots de passe avec le logiciel libre KeePass ;
  • Créer des mots de passe optimaux, uniques pour chaque site web ;
  • Protéger vos données KeePass avec une phrase de passe adéquate ;
  • Justifier le bien fondé de cette approche.

[modifier] Contenu

  • Mots de passe : bonnes et mauvaises pratiques, quels enjeux ?
  • Tester les mots de passe : quel est votre niveau de sécurité actuel ?
  • Créer une phrase de passe pour vos données KeePass.
  • Les fonctionnalités du logiciel KeePass.
  • Transférer vos données d'identification vers KeePass.
  • Remplacer vos mots de passe actuels par des mots de passe uniques et optimaux.

[modifier] Le stage

[modifier] Mots de passe : bonnes et mauvaises pratiques

Les recommandations de ANSSI( http://www.ssi.gouv.fr/guide/mot-de-passe/)

  • Utilisez un mot de passe unique pour chaque service
  • Choisissez un mot de passe qui n’a pas de lien avec vous
  • Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur Internet), encore moins sur un papier facilement accessible (https://nakedsecurity.sophos.com/2012/11/21/prince-william-photos-password/)
  • Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle
  • Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis

- Deux méthodes pour choisir vos mots de passe :

  • La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am
  • La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A

[modifier] Tester les mots de passe : quel est votre niveau de sécurité actuel?

- Testez le niveau de securité de votre mot de passe :

Remarque : N’essayez pas votre vrai mot de passe mais le plus ressemblant

[modifier] Les stratégies des mots de passes

- Une stratégie cohérente:

  • Utiliser un un gestionnaire de mot passe
  • Un mot de passe unique pour chaque service
  • Maximisez l'aléatoire : longueur / symbole
  • Ne pas mémoriser de mot de passe sur le navigateur

- Quel gestionnaire de mot de passe?

  • Nous allons choisir "KeePass Password Safe"

- Quel mot phrase de passe pour le gestionnaire?

  • Une phrase de passe : un "mot" de passe très long
  • Personne d’autre ne doit la connaître
  • Suffisamment longue pour être sure
  • Difficile à deviner même pour quelqu'un qui vous connaît
  • Facile à retenir et à saisir sans erreur

[modifier] Créer une “phrase de passe” avec Diceware

[modifier] La méthode Diceware

Qu'est ce que Diceware? Diceware est une méthode pour la création de ‘’’phrases de passe’’’ qui utilise des dés pour sélectionner des mots au hasard dans une liste spéciale appelée la liste de mots Diceware. Chaque mot de la liste est précédée d'un numéro à cinq chiffres. Tous les chiffres sont compris entre un et six, vous permettant d'utiliser les résultats de cinq jets de dés pour sélectionner un mot dans la liste.

[modifier] Caractéristiques de la méthode Diceware

  • Simple à apprendre
  • Très sure
  • Composée d’une série d’instruction
  • Transparente
  • Libre et gratuite

[modifier] Méthodologie de la méthode Diceware

[modifier] Le nombre de mots de la phrase de passe

- Choisissez le nombre de mots de votre phrase

  • 5 mots sont cassable avec un millier d'ordinateurs équipés de processeurs graphiques haut de gamme.
  • 6 mots peuvent être cassable par une organisation avec un budget très important, comme l'agence de sécurité d'un grand pays.
  • 7 mots et plus longues sont incassables avec toute technologie connue, mais peut-être dans la gamme de grandes organisations vers 2030.
  • 8 mots devraient être complètement sécurisé jusqu'en 2050.

=> Nous avons choisis une phrase avec 6 mots Comment faire ?

  • Lancer (un ou plusieurs ) dés : 5 chiffres par mot
  • Écrire les résultats par groupe de cinq

2 4 1 1 5

3 5 6 5 5

5 1 2 4 4

1 1 6 2 6

5 5 3 3 1

3 6 1 6 4

2 4 1 1 5 : eagle

3 5 6 5 5 : lang

5 1 2 4 4 : radii

1 1 6 2 6 : alley

5 5 3 3 1 : spout

3 6 1 6 4 : launch

=> La phrase provisoire de passe est eagle lang radii alley spout launch

Remarque: Il existe un nombre minimal de caractère (avec les espaces) dans les phrase, sinon tout recommencer 5 MOTS => 14 / 6 MOTS => 17 / 7 MOTS => 20 / 8 MOTS => 22

[modifier] Ajouter un caractère aléatoire de la phrase

- Lancer deux dés pour choisir le mot

  • Lancement du premier dé : 5
  • Lancement du deuxième dé : 3

  • Dans l'image 5,3 => 5 , donc le caractère sera ajouté dans le 5eme mot
  • Dans notre phrase : SPOUT

- Lancer deux dés pour choisir le caractère à ajouter

  • Lancement du premier dé : 6
  • Lancement du deuxième dé : 2

  • Dans l'image 6,2 => = , donc le caractère qui sera ajouté est “=”

- Lancer un dé pour choisir l’endroit du mot

  • Lancement du dé : 4
  • Le caractère sera ajouté après le 4 caractère du mot trouvé SPOUT

=> Votre phrase de passe: eagle lang radii alley spou=t launch Remarque :

( Remarque : n’oubliez pas de ne pas tester votre vraie phrase de passe mais une phrase qui y ressemble, changez quelques caractères.)

[modifier] Les fonctionnalités du logiciel KeePass

Tutoriel: Tutoriels/Keepass