Changeons nos mot de passe
on n’utilises pas de mot de passe ici …
Je n’ai jamais trop compris l’utilité des changements réguliers de mots de passe.
Je pense que cela ne fait pas de mal de changer les mot de passe régulièrement et pourquoi pas aussi de seed 2fa.
Une fois par an, pour des services critiques ne me parait pas déconnant.
Mais je ne suis pas non plus expert, si vous avez un avis différent, je suis preneur de votre argumentation
En fait ça a du sens si les mot de passes sont faible ou que les utilisateurs sont susceptibles de les donner. Dan le cas ou les mot de passes sont fort et ne sont jamais communiqués a un tiers (et tous différents) ça n’apporte pas grand chose, ce serait même contre productif (tendance a les faire tous deriver d’un même algorithme, utilisation de mot de passes plus faibles etc…)
Bref ça a du sens dans les grosses organisations mais pour une personne seule qui respecte déjà les recommandations de l’ANSI ça n’a pas forcément énormément de sens.
Un petit outil pour calculer la force d’un mot de passe: https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/. Sinon a la main vous pouvez faire:
[temps en secondes] = ([taille de l’alphabet] ^ [nombre de symboles]) / [nombre d’essais par secondes]. Si l’ordre de grandeur est la dizaine d’années une attaque par force brute n’est pas faisable en pratique (mais d’autres attaques existent).
Donc c’est bien ce qui me semble, c’est une pratique d’un autre temps car de nos jours :
- On mets en place des politiques de mots de passe afin d’éviter les mots de passe faibles et limiter le nombre de tentatives.
- On active systématiquement le 2FA (pour notre part on a fait le choix d’utiliser des clés OnlyKey qui sont open source).
- On détecte les anomalies.
C’est dans ce cadre là qu’un outil de SSO offre l’avantage de centraliser tout ça et de permettre de gérer ça dans les outils qui ne le gèrent pas directement.
De plus concernant la force des mots de passe, je suis du même avis que l’ANSI, vaut mieux privilégier la longueur que la complexité. Il faut surtout ne pas négliger la façon de les stocker et les algo de chiffrement utilisés, notamment pour se prémunir des attaques de type rainbow tables.
les politiques ne permettent malheureusement pas d’empêcher la réutilisation de password (d’un site a l’autre) ou les mot de passes triviaux. « Passw0rd » passe probablement ta politique mais reste extrêmement faible car présent dans tout les dictionnaires.
Elles ont l’air pas mal ces clefs, il faudra que je regarde de plus près.
Tu dira ça au Figaro (pour prendre le dernier gros a avoir eu des problèmes). En tant que développeur je suis d’accord (et j’y prête une attention particulière) mais en tant qu’utilisateur je n’y peut rien (j’ai pas la main sur comment font les sites que j’utilise)
Oui excellente remarque, c’est une des raisons pour lesquelles les 2FA est obligatoire. A noter cependant qu’avec Keycloak tu peux blacklister des mots de passe et donc bannir les cas triviaux.
On pousse l’utilisation du 2FA jusqu’à la commande sudo
par exemple.
nos prod tournent avec des clefs ssh , et passphrase : la , pour attquer , good luck.
(les mots de passe … mouaihh…)
On parle principalement des accès aux outils : monitoring, gitlab, …etc. L’accès SSH est effectivement protégé par clé ssh et même ainsi tu ne peux pas garantir la sécurité à 100%, notamment :
- en cas de vol d’un laptop si la clé n’a pas de passphase ou une passphrase faible ou chargée automatiquement par un agent,
- en cas de contamination de la machine utilisateur à l’aide d’un trojan.