Comment discuter avec un utilisateur à propos de son mot de passe (court, simple etc.)?

Bonjour,

j’ai quelques utilisateurs, âgés, qui par simplicité utilisent un mot de passe court, et globalement simple. C’est juste un mot, probablement dans le dictionnaire.

Comment je pourrai aborder ce sujet sans fâcher, avec quelques arguments, sans trop bousculer.

Personnellement, si le mot passe fuite ou est découvert, le compte mail va être compromis, et ça m’ennuie.

Et, cet utilisateur est un ascendant… (même ma grand-mère a un meilleur mot de passe).

Sans pour autant discuter de pourquoi j’ai connaissance des mots de passes, parce que ça me permet d’aider en cas de soucis, et j’hésite pas à supprimer les emails qui sont du fishing.

Je vous remercie

Hello,

Le problème est bien là, un mot de passe complexe ne se retient pas, encore moins pour des personnes âgées…

On a beau tourner le PB dans tous les sens et on arrive toujours à quelque chose de compliqué.

J’ai opté pour une « technique » qui vaut ce qu’elle vaut et qui part du principe qu’on a besoin essentiellement de mots de passe pour les services Internet que l’on utilise. Firefox dispose nativement d’un coffre à mots de passe, coffre que l’on peut sécuriser avec un mot de passe principal.

Du coup je propose à mes utilisateurs d’utiliser des mots de passe forts, proposés par Firefox, lors de la connexion à un nouveau service. Ce mot de passe fort aléatoire est, par définition, impossible à retenir naturellement. Au final on a bien un mot de passe fort différent pour chaque service.

Quant au mot de passe principal qui permettra de déverrouiller le coffre fort de Firefox alors je leur propose d’utiliser un mot de passe long, composé de 3 mots « normaux », séparés par un caractère de leur choix et suivi d’un dernier caractère « spécial » (pas une lettre) comme un sigle ou un chiffre. Exemple : « retraite;campagne;raclette12 » ce qui fait un mot de passe de 28 car. de long… Ce genre de mot de passe se retient en général très bien !

Ainsi, quand on lance son navigateur, Firefox demande le mot de passe principal et ainsi, tous les mots de passe de tous les services sont accessibles pour la session en cours.

Voilà !

Oui, c’est aussi à la fin la soultion FireFox que je préconise

Pour aborder le sujet sans bousculer ou effrayer c’est pas simple, et c’est pas une question d’âge, moi je fais au cas par cas en étant très prudent.

Par contre lorsqu’on me pose la question, et pour ajouter de l’eau au moulin des « petites combines » pour le compromis force du mot de passe / facilité à le retenir, voilà ce que je conseille:

• partir d’une ou plusieurs chaines de caractères qu’on connaît déjà par cœur et qui ne servent plus (donc encore bien ancrées en tête mais obsolètes, c’est important): une plaque d’immatriculation, un numéro de compte en banque, de téléphone, de carte bancaire, une clé CD de jeu vidéo ou logiciel (bon ok celle là s’adresse à une ou deux générations très précises :D)
• on peut aussi y ajouter une phrase qu’on apprécie, une ligne d’un poème d’une chanson ou d’une comptine, mais toujours quelque chose qu’on connait déjà (et si c’est très long on ne garde que la première lettre de chaque mot par exemple)
• il y a aussi la méthode plus visuelle du « chemin » sur le clavier: on pose un ou deux doigts de chaque main dans une position de départ sur des touches puis on suit un mouvement dans un sens choisi, cette méthode a l’avantage de donner accès facilement à beaucoup de chiffres (main droite sur le pavé numérique) et de caractères spéciaux, on peut aussi compliquer la chose avec shift pour un caractère sur deux
• se trouver une « règle » simple à retenir pour combiner ces valeurs, c’est la seule chose qu’on aura à mémoriser et qui permettra si on l’oublie de retrouver son mot de passe: une majuscule par mot, un chiffre à la place des espaces, un caractère spécial au début et/ou à la fin, ou un mouvement pour la dernière méthode

Le truc avec les mots de passe Firefox, c’est que c’est (il me semble) stocké en clair sur la machine, dans un fichier avec du texte. C’est pour cette raison que je ne recommande jamais cette solution, mais difficile de trouver quelque chose de simple pour une personne âgée pour le coup.

Non, les mots de passe ne sont pas stockés en clair… mais l’algorithme de chiffrement utilisé par FF est jugé pas assez costaud par l’ANSSI, si j’ai bien compris.

Néanmoins et, après m’être posé le problème dix mille fois dans ma tête je pense que c’est quand même mieux que les solutions suivantes :

• marquer ses mots de passe quelque part: combien ont des carnets avec nom du service, login et password,
• utiliser le même mot de passe partout,
• systématiquement utiliser le « j’ai perdu mon password » pour en créer un nouveau à chaque connexion,
  M. ou Mme Michu peuvent très facilement avoir plus de 15 comptes à gérer (banques, assurances, sécu., caf, impôts, retraite, mutuelle, mail, opérateur mobile, opérateur internet, énergies, …)…

Après, oui on peut faire mieux mais c’est toujours plus compliqué et pas très accessible pour le commun des mortels.

Voili, voilou…

Mes mots de passe les plus critiques sont dans ma tête.
Puis, ceux critiques sont sur des carnets, et offusqués, et ce n’est pas simple parfois de faire le lien entre le mot de passe, le login, et le service. Puis parfois ça ne ressemble pas à un mot de passe.

Le reste, c’est avec KeepassX, ou dans Thunderbird ou Firefox.

Je pense quand même que le carnet est une bonne chose, ça évite de l’avoir sur un post-it sur l’écran, et si quelqu’un tombe sur ledit carnet, c’est probablement qu’il y a une situation plus grave.

Reste que pour certaines personnes, elles considèrent qu’un email ce n’est pas grand chose (alors que ça sert pour récupérer des accès à des services plus ou moins critiques).

Je dois quand même arriver à convaincre d’utiliser le système avec mot de passe principal, de Thunderbird et Firefox, et un moyen pour se connecter en dehors, depuis une machine de confiance (ça aussi, c’est un concept délicat).

Merci

Je n’ai pas trouvé d’information á ce sujet sur le site de l’ANSSI, mais en Allemagne Firefox était considéré comme sûr en 2019 :
https://www.cyberveille-sante.gouv.fr/cyberveille/1473-firefox-est-le-navigateur-recommande-par-lagence-de-securite-informatique

La référence que j’avais de l’ANSSI n’est plus disponible ‹ err404 › mais tu as raison dans le sens où on ne trouve rien sur le site de l’ANSSI qui déconseille cette pratique.

Je crois qu’ils sont stockés en clair uniquement s’il n’y a pas de mot de passe principal.

Ça me rappelle ce post que j’avais commit il y a ~1 an.
https://linuxfr.org/users/fpolux/journaux/resolution-de-l-annee-2021-changez-votre-mot-de-passe

Sinon, il reste l’authentification à 2 facteurs. Je parle pas de devoir ressortir le téléphone à chaque fois (c’est assez chiant), mais plus d’avoir une clé U2F qu’on branche quand le logiciel demande (ou qu’on laisse dans le port USB, comme ce que je fais).

Ça protège des attaques et je pense que c’est plus abordable pour le commun des mortels, vu que tu peux expliquer que c’est comme les clés de sa porte. Donc même si le mot de passe est pourri, il faut un objet physique pour rentrer sur les systèmes.

C’est pas miraculeux, mais c’est mieux que rien. À vue de nez, j’imagine que le risque pour une personne âgée lambda, ça va être un proche plus que les services secrets, et que c’est assez difficile de se protéger de ça.

Moi, j’utilise des Yubikeys (pour leur support de pkcs11 pour mes clés SSH), mais si le but est d’avoir juste de l’U2F/du webauthn, j’ai entendu du bien des Solokeys aussi (qui ont le bon goût d’avoir un firmware libre).

Personnellement j’utilise Bitwarden qui a une branche ouverte qui peut etre auto-hébergé.

Un mot de passe a retenir bien long et fort et les autrzs sont tous des généré.

Je pense que d’une part il faut refuser les mots de passe dans un dico ou constituée d’un prenom et d’une date. Sinon ben à la fin les gens auront d’autres soucis: mail par reçu car considéré comme spam, comptes piratés…

Selon la personne on peut:

• soit expliquer comment avoir une phrase de passe forte et avoir des passes différents sur chaque site (différentes méthodes). Perso, je conseille en général 3 mots + personnalisation avec le nom de l’app/site
• soit proposer de prendre un support de référence comme un livre (et d’entourer 3 mots), de sorte à pouvoir retrouver sa phrase de passe. OU le carnet si la personne souhaite faire l’impasse sur le risque cambriolage/intrusion d’un proche.

Le coffre fort de mot de passe, nécessite logiquement de savoir le sauvegarder (ce qui n’est pas à la portée de n’importe qui).

Il y a bien évidemment plein de variantes à ces techniques.

NB: à noter que nos outils devraient avoir des infos didactiques pour bien définir sa phrase de passe. Mais les upstream ne font en général pas cet effort .

Pour ma part, je recommande la pass phrase (et le site https://www.palabrasaleatorias.com/mots-aleatoires.php si on est en manque d’idée) avec cette image pour l’explication.
Et Firefox pour l’enregistrement des mots de passe,
Keepass si on commence à bien maitriser (et sauvegarder le fichier),
ou le carnet (pour ma mère :p) qui rajoute des caractères/mots bidons (selon une procédure qu’elle seule maîtrise) pour éviter la possible exploitation du mot de passe.

Pour info, la CNIL a lancé une consultation sur la gestion des mots de passe fin d’année passée et publiera en conséquence les guides et bonnes pratiques dans le début de cette année (cf. https://www.cnil.fr/fr/mots-de-passe-ouverture-dune-consultation-publique-sur-la-nouvelle-recommandation-de-la-cnil). On verra si ça exclue bien ça :

#My2Cents

Mes remarques sur ce sujet

Contrairement aux idées reçues, les personnes qui ont le plus d’usage «numérique» ont un certain âge et sont retraitées. Ce sont également ces mêmes personnes qu’on retrouve dans une multitude d’organisations associatives ou non. La raison en est simple. Elles ont du temps pour faire, contrairement à un·e actif, surtout si iel est parent.

Ce qui veut dire qu’au delà des savoir-faire de «je sais créer un mot de passe avec une bonne entropie», «je n’utilise pas le même mot de passe pour tous mes usages numériques», «je change régulièrement mon mot de passe», «je sais conserver d’une façon sûre et sécurisée mes mots de passe»… il manque «je sais conserver et partager de façon sûre et sécurisée les identifiants numériques de mon organisation».

Ensuite, ce que je constate depuis déjà quelques années est le rapprochement entre des pratiques individuelles de la vie de tous les jours, et des pratiques collectives dans les organisations. En effet, pendant des années les pratiques numériques étaient plutôt liées à votre environnement professionnel. Aujourd’hui, cela est différent. Les pratiques numériques sont d’abord individuelles et liées à la Bigtech. Puis, ensuite, ces pratiques s’intègrent, par porosité, et mal la plupart du temps, dans des contextes collectifs qui peuvent être professionnel ou militant, peu importe.

Pour preuve, il peut paraître stupéfiant que l’immense majorité des étudiants juste sortis du système scolaire de 12 années n’ont pour seule pratique qu’un compte @gmail.com . Littéralement, cela signifie «appartenir à google». Mais, c’est une réalité à laquelle les universités ou les écoles d’ingé sont confrontées. À tel point, que la plupart d’entre elles sont contraintes de proposer une identification fournie par google ou microsoft pour faciliter l’accès à leur système d’information. On pourrait cartographier cela à l’aide d’un outil très simple et que vous connaissez tous. Je veux parler de dig. Si ça vous semble intéressant, on peut faire un fil séparé ?

Ainsi, la question aujourd’hui, au delà du login|mdp|2FA TOTP HOTP, …biométrie, etc, serait «avec quel tiers fournisseur d’identité je souhaite m’identifier ?» Peut-être que je suis déjà hors sujet, mais au fond, quels sont les choix ? Franceconnect, Educonnect, ou googleID MicrosoftID? Ou un openId Chatons fédéré ?

[edit] à titre perso et pro j’utilise des yubikey parce qu’elles font preuve d’une robustesse incroyable sur mon porte-clef. J’en ai une qui a quasiment 15 ans et qui est toujours parfaitement fonctionnelle malgré des épisodes de plongée en eau profonde ou d’exposition aux rayonnement thermonucléaire de notre soleil. À un détail prés. La plupart des algo de chiffrement sont deprecated. Arf, l’obsolescence programmée par la sécurité est un truc de dingue

• User is prompted to choose an available FIDO authenticator that matches the online service’s acceptance policy.

Comment savoir si les « online service’s » que j’accède accepte FIDO authentifocator via une (des ) SoloKeys ?

Comment tu utiliserais dig pour déterminer que le service permet de s’authentifier via Google (par exemple), ou un autre service tiers.

C’est quoi DIG ?

Le forum a mangé mon message :

Coucou,

Le Sun, 27 Feb 2022 08:03:15 +0000,
« info@ajcom.ch via CHATONS » forum@chatons.org a écrit :

C’est quoi DIG ?

Un outil pour faire des requêtes DNS. Un exemple d’utilisation :
https://www.bortzmeyer.org/dns-code-postal-lonlat.html

François