Differences

This shows you the differences between two versions of the page.

--- privacy:passwords [2023/10/21 18:56] – ↷ Page moved from passwords to privacy:passwords fred
+++ privacy:passwords [2025/01/29 19:36] (current) – removed fred
@@ Line 1: / Line 1: @@
-====== Gestion des phrases de passe ======
-:!: J'utilise indépendamment "mot de passe" et "phrases de passe" dans le texte ci-dessous. L'idée est juste de pointer sur un "mécanisme permettant de demander une information que seul vous devriez connaître". :!:
-//A priori//, même la plateforme sur laquelle vous vous connectez ne doit pas connaître ce mot de passe ; elle est juste sensée appliquer une fonction qui applique, pour une chaîne de caractères, un résultat alphanumérique, qui deviendra l'empreinte de cette chaîne de caractères.
-Cette fonction est appelée "[[https://fr.wikipedia.org/wiki/Fonction_de_hachage|fonction de hachage]]".
-Ainsi, la plateforme sur laquelle vous vous connectez doit juste savoir que X@Y.org est associé à un mot de passe dont l'empreinte est ABCDEFGH, sans avoir à enregistrer ce même mot de passe.
-Ceci limite déjà la surface d'attaque possible, puisqu'avoir accès à la base de données ne donne pas pour autant le mot de passe associé à chaque compte connu. Cependant, cette fonction de hachage :
-  - Ne doit pas avoir de collisions (deux mots de passe ont la même empreinte : cela signifie qu'en entrant le mot de passe B à la place du A, vous pourriez quand même montrer patte blanche),
-  - Ne doit pas permettre de recomposer le mot de passe initiale à partir de son empreinte,
-  - Ne doit pas être trop rapide à calculer, sans quoi un attaquant pourrait tenter de trouver une combinaison, simplement en essayant plusieurs associations, notamment grâce à la puissance de calcul de nos machines actuelles.
-Il est impossible d'avoir une bonne gestion de mots ou phrases de passe sans l'aide d'une application.
-Les machines tendent à avoir une puissance de calcul de plus en plus grande, et il devient de plus en plus facile de trouver un mot de passe, surtout s'il a été utilisé ailleurs.
-De même, se baser sur un service en ligne peut être considéré comme une mauvaise pratique, dans la mesure où ce même service pourrait lui-même être piraté ou victime d'une fuite de données (Par exemple, la [[https://www.theverge.com/2022/12/28/23529547/lastpass-vault-breach-disclosure-encryption-cybersecurity-rebuttal|fuite rencontrée par LastPass fin 2022]]).
-Le site [[https://haveibeenpwned.com/|Have I been Pwned]] permet de vérifier si une adresse s'est retrouvée dans la nature. Ainsi, en entrant une ancienne adresse, je peux constater qu'elle a été piratée dans le cadre de trois fuites de données :
-  - La "Collection #1" qui date de 2019, et qui a vu fuiter 773 millions de combinaisons,
-  - Une faille DropBox de 2012,
-  - Exploit.in, qui date de 2016.
-On peut aussi y trouver des failles LinkedIn (2016, puis 2021), Deezer (fin 2022), Gravatar (octobre 2020), ... Ce qu'il faut retenir, c'est qu'**au plus on utilise une adresse e-mail comme identifiant de connexion à une plateforme, au plus la probabilité grandit que cette adresse soit exposée**.
-===== Conclusions =====
-  * Choisissez un [[password-manager|gestionnaire de mot de passe]],
-  * Autant que possible, [[hide-my-email|masquer votre adresse email]].