Tester la résistance de votre mot de passe

Le mot de passe est une des grandes vulnérabilités du net. Même à force de répéter qu’il faut que le mot de passe soit long, unique, avec des majuscules et minuscules  avec des chiffres et des caractères spéciaux… rien n’y fait, on apprend de temps en temps que tel ou tel compte s’est fait hacké comme celui de l’AFP en 2013 qui a tout de même provoqué une dépréciation de 136 milliards de dollars de capitalisation! *** (source lemonde.fr). Il est clair, que les pauvres internautes que nous sommes n’ont pas forcément les mêmes responsabilités, mais il faut tout de même prendre quelques précautions.  J’ai refait un état des lieux pour tester la force d’un mot de passe.

Une des techniques pour accéder à un compte et d’essayer toutes les formules possibles d’un mot de passe s’appelle ça la force brute, où un programme va tester toute une série de mots de passe qu’il possède dans une bibliothèque. Dans cette bibliothèque on a les mots de passe les plus connus comme les noms de chien, prénom, 123456, abcdef…, puis les variantes avec les noms date d’anniversaire, les dico…

Déjà en bref  évitons  

  • 123456 et toutes les variantes.
  • bonjour, hello, test, google…
  • abcdef, aaaaaa, a1b2c3d4,
  • titi2000.
  • azerty et querty .
  • admin password .

Après allons sur le  site  comparitech.com privacy-security-tools password-strength-test et faisons un test avec notre mot de passe (par précaution, on utilisera une variante de notre vrai mot de passe et je n’ai pas besoin de dire pourquoi.

 

Mot de passe à 1 caractère : temps pour craquer le mot de passe entre 1 et 9 nanoseconde

Il faut entre 1 et  9 nono secondes pour craquer le mot de passe :  On s’aperçoit déjà que si on met un mode de passe comme « à » c’est déjà 9 fois plus compliqué qu’un le mot de passe « 1 »

Mot de passe à 2 caractères :temps pour craquer le mot de passe entre 10 nonosecondes  et 1 microsecondes :

Le mot de passe « àù » mérite la mention spéciale avec 1 microsecondes soit 0,0000001 seconde contre le mot de passe « 11 » avec 10 nanosecondes. On a déjà une première indication que si on mets des mots de passe avec des accents, c’est déjà mieux.

Mot de passe à 3 caractères  : entre 100 nanosecondes et 80 microsecondes

Mot de passe à 4  caractères  : entre zéro secondes et 7 millisecondes

On apprend que si on répète une série de caractère, que le truc met moins de temps à trouver le mot de passe exemple « 1111 »

Mode de passe à 5 caractères : entre rien et 1 seconde

« àùéùè » est déjà une bonne facture pour un mot de passe, mais ce n’est pas suffisant encore, car une seconde c’est peu.  Evitons bien sûr le mot de passe « 12345 »

Mode de passe à 6 caractères : entre rien et 23  minutes!

«  »é »‘(-è » » est déjà un départ au bon mot de passe, car 7 minutes c’este bien, mais il faudra se souvenir d’une telle séquence ». Mais évitons des mots de passe comme « azerty ». Un bon compromis serait »Th12@i » qui nécessite 21 secondes à craquer.

On peut conclure tout de même qu’un mot de passe à 6 chiffres bien choisi permet déjà d’avoir une bonne sécurité surtout pour des sites qui se bloque pendant 5 minutes si on mets 3 mots de passe consécutifs faux ou qui nous propose un captcha .

Mode de passe à 7 caractères : 2 jours!

Bien choisi ça monte jusqu’à 2 jours. L’histoire ne dit pas combien de mot de passe un système de craquage de mot de passe essaye par secondes. mais si c’est 1000 mots de passe par seconde c’est déjà astronomique. Cela dit 1000 mots de passe par seconde sur un serveur, ça commence à être peinible pour le serveur.

Mode de passe à 8 caractères :  5 minutes à 5 ans!

7 mois pour un mot de passe du style  » Th_-ù1p » est un must, mais qui va taper un mot de passe pareil ! Un mot de passe plus facile à retenir comme « 3run0ùé » ça met 17 heures, mais un mot de passe comme titi2000 c’est 5 minutes et « Titi2000 » c’est 6 heures. I

Mode de passe à 9 caractères :  dix mil ans!

« Th-ù1p »à@ » 10 000 ans bingo, mais « Titi20000 » c’est 2 semaines

Mode de passe à 10 caractères :  180 mil ans!

« Th-ù1p »à@t » 180 000 ans, mais toto200000 c’est 4 jours!  » et pire 0123456789 c’est 1 secondes

Mode de passe à 11 caractères :  c’est bon jusqu’à 35 millions d’années

« DanielRoget » c’est 24 ans, « Dan1elR0g&t » c’est 2 miilions d’année et « Th-ù1p »à@t& » c’est 35 millions d’années

Mode de passe de 12 caractères  entre 1000 ans et 7 milliards d’années

ThierryRoget c’est 1000 ans et « Th-ù1p »à@t&* » c’est 7 milliard d’années

Autre site qui fait la même chose  howsecureismypassword.net

Avec cette démonstration, vous pouvez peut-être envisager de penser à un mot de passe plus correct.  Reprenons mon mot de passe thierry1905 et créons plusieurs variantes.

  1. thierry1960 : instantané car 1960 est une année de naissance, on commence par les années quand on veut hacker un compte par la force brute.
  2. Thierry1960 : je mets une majucucule ! déjà dans ce cas je passe à une durée de 6 heures. Juste parce que j’ai changé une minuscule par une majuscule.
  3. ThierrY1960 : la durée est aussi de 6 heures, mais quelque part on peut sentir que ce mot de passe est un peu plus fort que le numéro 2
  4. ThierrY1905  : il est peu probable que l’internaute soit né en 1905, alors la probabilité passe à 3 mois pour craquer le mot de passe, mais trois mois ne sont pas suffisants et une petite modification pourrait apporter plus de sécurité.
  5. Thierry1905@ : j’ajoute  un caractère spécial @ et là c’est parfait, je passe la probabilité à 8 ans. (l’autre service donne 26 millions d’années)
  6. Th!erry1905@ : je change le « i » en « ! ». Un technique qui nous évite d’oublier le mot de passe car « ! » ressemble à « i ». Dans ce cas, je passe à 10 ans!
  7. Th!erry1960@ ! : notons que si on mettait 1960 au lieu de 1905, il faudrait 1 semaine pour craquer le mot de passe! On comprend mieux que 1960 est à exclure totalement.
  8. Th!erry1905@! : ajoutons un autre point d’exclamation à la fin du mot de passe  et là ça donne 336 ans. Cela dépasse, notre espérance de vie, c’est donc un mot de passe tout à fait sécurisé.
  9. un mot de passe unique par service, ajouter les deux premiers mot de l’url à la fin du mot de passe. Exemple pour votre compte gmail, votre mot de passe pourrait être Th!erry1905@!gm : on passe à 27 mille ans et un mot de passe unique par service. 

 Quelques précautions, si le hacker sait que je m’appelle thierry et ma date de naissance, il va peut-être aller plus vite. C’est pour cela qu’il faut absolument éviter que votre mot de passe ressemble à votre login. C’est encore plus sécurité. 

La tendance est aujourd’hui d’opérer une double authentification comme avec un compte gmail. A chaque login sur un nouveau pc ou après une période de 1 mois, vous être obligé de mettre un deuxième mot de passe qui est envoyé par sms.  Je conseille tout de même d’envisager ce genre d’opération.

 Anecdote : Si vous vous retrouvez sur un clavier « anglais » (qwerty), vous alllez peut-être galérer à trouver les touches d’acent.  

Sachez que malgré toutes ses précautions, tout n’est pas gagné, car le hacker peut très bien voler toutes la base de mot de passe d’un service, cela est arrivé à linkedin et twitter, il faudra donc changer régulièrement vos mots de passe. De plus si le hacker a installé un logiciel keylogger sur votre pc, vous êtes encore plus mal, car dans ce cas, il peut enregistrer en clair tout ce que vous tapez sur votre clavier!

Attention

Se déconnecter d’un seul coup de tous les comptes (enfin une grande partie)

ATTENTION AVANT DE VOUS RENDRE SUR LE SITE  LIRE LA SUITE

Le problème:   vous êtes chez un ami, vous êtes dans un cyber café, vous êtes même au bureau. Vous ne voulez pas que quelqu’un passe derrière vous et accède à tous vos comptes. La chose à faire est donc de se déloguer sur tous les comptes que vous avez visités. Le problème : ça prend du temps, vous pouvez ne pas vous souvenir de tous les comptes sur lesquels vous avez accédé…

La solution (un peu violente je dois dire)

Rendez vous sur http://superlogout.com/ : ATTENTION AVANT DE VOUS RENDRE SUR LE SITE  LIRE LA SUITE

En vous rendant sur ce site, vous allez être déconnecté automatiquement (sans avertissement) des comptes de la liste suivante.

AOL, Amazon, Blogger, Delicious, DeviantART, DreamHost, Dropbox, eBay, Gandi, GitHub, GMail, Google, Hulu, Instapaper, Linode, LiveJournal, MySpace, NetFlix, New York Times, Newegg, Photobucket, Skype, Slashdot, SoundCloud, Steam Community, Steam Store, ThinkGeek, Threadless, Tumblr, Vimeo, Wikipedia, Windows Live, Woot, WordPress, Yahoo!, YouTube,

Si vous voulez tester ce site, vous allez donc être déconnectés immédiatement de vos comptes, ce qui n’est pas forcément dangereux, mais c’est plutôt gênant. J’ai fait l’opération moi-même et j’ai dû me reloguer sur tous mes comptes. De toute façon, comme mon navigateur chrome a déjà été programmé pour retenir tous mes mots de passe, l’opération n’a pas être trop gênante.

Sanity check :

  • Une fois que vous avez fait l’opération, vérifiez tout de même que le navigateur a bien oublié les mots de passe.
  • Si vous êtes chez un ami, n’oubliez pas non plus que l’outil va aussi déconnecter les comptes de votre ami.
  • Facebook ne fait pas partie de la liste.
  • La liste des sites n’est pas exhaustive.
  • Le site n’efface pas les cookies, donc il faudra aussi faire un petit nettoyage de cookies si vous êtes parano. A cette fin, tous les navigateurs ont une option pour nettoyer les cookies. (ne faite pas ça chez votre ami).
  • Vous pouvez éviter toutes ses petites tracasseries, en navigant en monde incognito.

conclusion :

Outil plutôt sympa, mais on regrettera qu’il ne prévient pas avant de nettoyer.

 

 

Utilisateurs Google, 9 liens qu’il faut absolument mettre en favoris

A partir du moment où vous créez un compte google (gmail) une très grosse machine va se mettre en route sans que vraiment vous vous en rendiez compte. Tous vos faits et gestes vont être mis en mémoire par Google. C’est utile pour Google, car grâce à cela, vous aurez des publicités hyper ciblées pour votre plus grand bonheur de consommateur. Les paranos verront en cette option une menace à la liberté, mais personne aujourd’hui, n’est obligé à créer un compte Google, ni  un compte facebook. C’est aussi utile pour que vous puissiez aussi gérer votre indentité numérique et d’en définir les frontières. Sur ce point je pense que 0.01% des usagers google savent de quoi il s’agit.

Bref, Google joue la transparence et nous fournit  toutes les informations qu’il collecte sur nous et je trouve ça plutôt utile et parfois on est même très surpris des résultats et se faire une auto critique de notre vie numérique. Ma vie numérique est assez riche, c’est la conclusion que j’en ai après le passage en revue des liens suivent.

1) Les pubs que vous aimez

Pour commencer, vous pouvez déjà dire à Google quelles sont vos préférences en matière de publicité via le lien  google.com ads preferences. En effet, plutôt que de vous servir de la soupe qui ne vous intéresse pas, autant déjà dire à Google ce qui nous intéresse.

Je pourrais reprocher à ce service de ne pas pouvoir dire ce qu’on n’aime pas. Exemple « je n’aime pas le sport ».  Comme on est chez des puritains, on ne peut pas non plus dire qu’on aime les sites de nus artistique ce qui est dommage. Cela dit, même si on n’indique pas qu’on aime regarder les nus artistiques, google le sait de toutes façons.

Conseil : si vous jouez le jeu, il est préférable de remplir la fiche, ainsi vous aurez au moins de pub un peu moins ennuyeuses.

Pour les paranos : il est possible de supprimer ce paramètre.

2) Où étiez vous à telle heure l’année dernière?

C’est mon truc préféré, c’est génial, on sait au mètre près tous les endroits où l’on s’est trouvé depuis quelques mois, franchement, c’est top. On nage dans le bonheur. Je sais à combien de minute je me trouve de mon boulot et d’autres trucs géniaux. Bien sûr, je peux aussi savoir ça sur mon mobile (android).

https://maps.google.com/locationhistory

3) Ton historique de surf

C’est plutôt la base et l’origine de ce que fait de mieux google. Et j’apprends que j’ai fait plus de 4980 recherches sur google l’année passée. Tiens, je trouve que c’est peu ! J’ai déjà parlé longuement de l’historique de surf et de mon côté, je n’efface jamais mon historique, ça fait partie de mon Adn numérique.

historique de surf

4) Toutes les applications qui sont connectées a Google

Plutôt important, car cette fonction permet de superviser toutes les applications qui ont accès à nos applications Google. Il y a un truc que je ne fais plus depuis belle lurette (par exemple) c’est de connecter mon compte email à une quelconque application.  De toutes façons c’est plutôt avec Facebook que je me connecte avec mes comptes non stratégiques.

5) Tous tes mots de passe qui sont en mémoire

C’est utile et ça améliore ma productivité car tous mes mots de passe sont sauvegardés via  Smart Lock et si je synchronise tous mes appareils (mobile, tablette, et pc), il n’y a pas besoin de les taper ils sont disponibles partout. C’est pratique, mais je ne sais pas à quel point, c’est dangereux!

Avantage : via cette page, vous pouvez non seulement supprimer vos mots de passe pré enregistrés, mais aussi voir quel mot de passe vous avez mis pour chaque compte. Le fait de supprimer ce mot de passe dans cette base de données, vous devrez retaper vos mots de passe quand vous accéderez au site en question.

Inconvénient : faudrait pas que je me fasse piquer mon mot de passe google. C’est pour cela que la double authentification s’impose pour les comptes stratégiques.

Pour les paranos : il est possible d’inhiber cette fonction.

6) Ma page de contrôle du compte google

Bienvenue à la tour de contrôle, c’est, via cette page, que vous allez pouvoir découvrir une partie des autres pages décrites dans cet article. C’est tout de même le lien à mettre en mémoire obligatoirement.

7) Mon paneau de contrôle Dashboard

Tous les mois je reçois un compte rendu de mes activités google : on appelle ça « Google Account Activity ». Avec ça je sais à peu près tout sur mon activité google ,

  • Je sais mon nom !
  • Je connais le nombre d’appareils Androids qui sont connectés à mon compte.
  • Mon historique audio (quand je parle à mon ordinateur ou à mon mobile).
  • mon contacts dans gmail (8393 dont 797 dans mon carnet d’adresse).
  • Mes flux RSS au nombre de 15.
  • Le nombre de emails qui sont dans ma boîte mail (73 691 mails).
  • …/…
  • Le nombre de documents que j’ai sur google drive…
  • Mes 14011 photos, les 81 vidéos, mes 14 playlists, mes 10 sitemaps
  • Mes 9817 favoris (de ma barre de favori).

8) La synchronisation Google Chrome

Ave cette page, je sais que j’ai 16 applications, 33 extensions, 105 paramètres (???) mes 124 saisie automatique, les 719 Historiques de l’omnibox et mes thèmes, mes 9814 favoris, mes 635 mots de pass et mes 209 onglets ouverts.

Avantage : quand on change de PC, il suffit de s’identifier avec le navigateur chrome et hop, on retrouve sa configuration complète sans rien faire de plus.

9) Mon téléphone Android

gestionnaire d'appareils Android

C’est à partir de cette page qu’on peut faire des choses bien utiles

  • Faire sonner son mobile. Ce qui est utile pour retrouver le mobile qu’on a perdu à la maison. Généralement, j’appelle mon mobile à partir de mon téléphone fixe, mais je peux aussi le faire via devicemanager.
  • Bloquer le mobile : un truc que je n’ai jamais testé.
  • Effacer le mobile : un truc que je n’ai jamais fait non plus.  (enfin je pense que ça efface quelque chose).
  • Changer le nom du mobile, pour un truc moins style XT1032.
  • Voir le dernier endroit où le mobile a été géolocalisé.

Conclusion

Je conseille fortement de mettre en mémoire tous ses liens dans la barre de vos favoris. Le jour où vous voulez faire un suicide numérique, c’est avec tous ses pages que vous allez pouvoir gérer votre retour au monde analogique.  Vous allez pouvoir aussi supprimer pas mal d’information que vous ne jugerez pas utile. Ce que vous ne saurez pas : si vous effacer tous ses informations, rien ne vous dit que Google ne les gardes pas quand même.

 

 

Pin It on Pinterest