====== Gestion des phrases de passe ====== :!: J'utilise indépendamment "mot de passe" et "phrases de passe" dans le texte ci-dessous. L'idée est juste de pointer sur un "mécanisme permettant de demander une information que seul vous devriez connaître". :!: //A priori//, même la plateforme sur laquelle vous vous connectez ne doit pas connaître ce mot de passe ; elle est juste sensée appliquer une fonction qui applique, pour une chaîne de caractères, un résultat alphanumérique, qui deviendra l'empreinte de cette chaîne de caractères. Cette fonction est appelée "[[https://fr.wikipedia.org/wiki/Fonction_de_hachage|fonction de hachage]]". Ainsi, la plateforme sur laquelle vous vous connectez doit juste savoir que X@Y.org est associé à un mot de passe dont l'empreinte est ABCDEFGH, sans avoir à enregistrer ce même mot de passe. Ceci limite déjà la surface d'attaque possible, puisqu'avoir accès à la base de données ne donne pas pour autant le mot de passe associé à chaque compte connu. Cependant, cette fonction de hachage : - Ne doit pas avoir de collisions (deux mots de passe ont la même empreinte : cela signifie qu'en entrant le mot de passe B à la place du A, vous pourriez quand même montrer patte blanche), - Ne doit pas permettre de recomposer le mot de passe initiale à partir de son empreinte, - Ne doit pas être trop rapide à calculer, sans quoi un attaquant pourrait tenter de trouver une combinaison, simplement en essayant plusieurs associations, notamment grâce à la puissance de calcul de nos machines actuelles. Il est impossible d'avoir une bonne gestion de mots ou phrases de passe sans l'aide d'une application. Les machines tendent à avoir une puissance de calcul de plus en plus grande, et il devient de plus en plus facile de trouver un mot de passe, surtout s'il a été utilisé ailleurs. De même, se baser sur un service en ligne peut être considéré comme une mauvaise pratique, dans la mesure où ce même service pourrait lui-même être piraté ou victime d'une fuite de données (Par exemple, la [[https://www.theverge.com/2022/12/28/23529547/lastpass-vault-breach-disclosure-encryption-cybersecurity-rebuttal|fuite rencontrée par LastPass fin 2022]]). Le site [[https://haveibeenpwned.com/|Have I been Pwned]] permet de vérifier si une adresse s'est retrouvée dans la nature. Ainsi, en entrant une ancienne adresse, je peux constater qu'elle a été piratée dans le cadre de trois fuites de données : - La "Collection #1" qui date de 2019, et qui a vu fuiter 773 millions de combinaisons, - Une faille DropBox de 2012, - Exploit.in, qui date de 2016. On peut aussi y trouver des failles LinkedIn (2016, puis 2021), Deezer (fin 2022), Gravatar (octobre 2020), ... Ce qu'il faut retenir, c'est qu'**au plus on utilise une adresse e-mail comme identifiant de connexion à une plateforme, au plus la probabilité grandit que cette adresse soit exposée**. ===== Conclusions ===== * Choisissez un [[password-manager|gestionnaire de mot de passe]], * Autant que possible, [[:hide-my-email|masquer votre adresse email]].