Comment discuter avec un utilisateur à propos de son mot de passe (court, simple etc.)?

Je n’ai pas trouvé d’information á ce sujet sur le site de l’ANSSI, mais en Allemagne Firefox était considéré comme sûr en 2019 :
https://www.cyberveille-sante.gouv.fr/cyberveille/1473-firefox-est-le-navigateur-recommande-par-lagence-de-securite-informatique

La référence que j’avais de l’ANSSI n’est plus disponible ‹ err404 › mais tu as raison dans le sens où on ne trouve rien sur le site de l’ANSSI qui déconseille cette pratique.

Je crois qu’ils sont stockés en clair uniquement s’il n’y a pas de mot de passe principal.

2 Likes

Ça me rappelle ce post que j’avais commit il y a ~1 an.
https://linuxfr.org/users/fpolux/journaux/resolution-de-l-annee-2021-changez-votre-mot-de-passe

Sinon, il reste l’authentification à 2 facteurs. Je parle pas de devoir ressortir le téléphone à chaque fois (c’est assez chiant), mais plus d’avoir une clé U2F qu’on branche quand le logiciel demande (ou qu’on laisse dans le port USB, comme ce que je fais).

Ça protège des attaques et je pense que c’est plus abordable pour le commun des mortels, vu que tu peux expliquer que c’est comme les clés de sa porte. Donc même si le mot de passe est pourri, il faut un objet physique pour rentrer sur les systèmes.

C’est pas miraculeux, mais c’est mieux que rien. À vue de nez, j’imagine que le risque pour une personne âgée lambda, ça va être un proche plus que les services secrets, et que c’est assez difficile de se protéger de ça.

Moi, j’utilise des Yubikeys (pour leur support de pkcs11 pour mes clés SSH), mais si le but est d’avoir juste de l’U2F/du webauthn, j’ai entendu du bien des Solokeys aussi (qui ont le bon goût d’avoir un firmware libre).

2 Likes

Personnellement j’utilise Bitwarden qui a une branche ouverte qui peut etre auto-hébergé.

Un mot de passe a retenir bien long et fort et les autrzs sont tous des généré.

Je pense que d’une part il faut refuser les mots de passe dans un dico ou constituée d’un prenom et d’une date. Sinon ben à la fin les gens auront d’autres soucis: mail par reçu car considéré comme spam, comptes piratés…

Selon la personne on peut:

  • soit expliquer comment avoir une phrase de passe forte et avoir des passes différents sur chaque site (différentes méthodes). Perso, je conseille en général 3 mots + personnalisation avec le nom de l’app/site
  • soit proposer de prendre un support de référence comme un livre (et d’entourer 3 mots), de sorte à pouvoir retrouver sa phrase de passe. OU le carnet si la personne souhaite faire l’impasse sur le risque cambriolage/intrusion d’un proche.

Le coffre fort de mot de passe, nécessite logiquement de savoir le sauvegarder (ce qui n’est pas à la portée de n’importe qui).

Il y a bien évidemment plein de variantes à ces techniques.

NB: à noter que nos outils devraient avoir des infos didactiques pour bien définir sa phrase de passe. Mais les upstream ne font en général pas cet effort :confused: .

IMG - 2021 - Phrase de passe
Pour ma part, je recommande la pass phrase (et le site https://www.palabrasaleatorias.com/mots-aleatoires.php si on est en manque d’idée) avec cette image pour l’explication.
Et Firefox pour l’enregistrement des mots de passe,
Keepass si on commence à bien maitriser (et sauvegarder le fichier),
ou le carnet (pour ma mère :p) qui rajoute des caractères/mots bidons (selon une procédure qu’elle seule maîtrise) pour éviter la possible exploitation du mot de passe.

Pour info, la CNIL a lancé une consultation sur la gestion des mots de passe fin d’année passée et publiera en conséquence les guides et bonnes pratiques dans le début de cette année (cf. https://www.cnil.fr/fr/mots-de-passe-ouverture-dune-consultation-publique-sur-la-nouvelle-recommandation-de-la-cnil). On verra si ça exclue bien ça :
image

#My2Cents

2 Likes

Mes remarques sur ce sujet :smile_cat:

Contrairement aux idées reçues, les personnes qui ont le plus d’usage «numérique» ont un certain âge et sont retraitées. Ce sont également ces mêmes personnes qu’on retrouve dans une multitude d’organisations associatives ou non. La raison en est simple. Elles ont du temps pour faire, contrairement à un·e actif, surtout si iel est parent.

Ce qui veut dire qu’au delà des savoir-faire de «je sais créer un mot de passe avec une bonne entropie», «je n’utilise pas le même mot de passe pour tous mes usages numériques», «je change régulièrement mon mot de passe», «je sais conserver d’une façon sûre et sécurisée mes mots de passe»… il manque «je sais conserver et partager de façon sûre et sécurisée les identifiants numériques de mon organisation».

Ensuite, ce que je constate depuis déjà quelques années est le rapprochement entre des pratiques individuelles de la vie de tous les jours, et des pratiques collectives dans les organisations. En effet, pendant des années les pratiques numériques étaient plutôt liées à votre environnement professionnel. Aujourd’hui, cela est différent. Les pratiques numériques sont d’abord individuelles et liées à la Bigtech. Puis, ensuite, ces pratiques s’intègrent, par porosité, et mal la plupart du temps, dans des contextes collectifs qui peuvent être professionnel ou militant, peu importe.

Pour preuve, il peut paraître stupéfiant que l’immense majorité des étudiants juste sortis du système scolaire de 12 années n’ont pour seule pratique qu’un compte @gmail.com . Littéralement, cela signifie «appartenir à google». Mais, c’est une réalité à laquelle les universités ou les écoles d’ingé sont confrontées. À tel point, que la plupart d’entre elles sont contraintes de proposer une identification fournie par google ou microsoft pour faciliter l’accès à leur système d’information. On pourrait cartographier cela à l’aide d’un outil très simple et que vous connaissez tous. Je veux parler de dig. Si ça vous semble intéressant, on peut faire un fil séparé ?

Ainsi, la question aujourd’hui, au delà du login|mdp|2FA TOTP HOTP, …biométrie, etc, serait «avec quel tiers fournisseur d’identité je souhaite m’identifier ?» Peut-être que je suis déjà hors sujet, mais au fond, quels sont les choix ? Franceconnect, Educonnect, ou googleID MicrosoftID? Ou un openId Chatons fédéré ?

[edit] à titre perso et pro j’utilise des yubikey parce qu’elles font preuve d’une robustesse incroyable sur mon porte-clef. J’en ai une qui a quasiment 15 ans et qui est toujours parfaitement fonctionnelle malgré des épisodes de plongée en eau profonde ou d’exposition aux rayonnement thermonucléaire de notre soleil. À un détail prés. La plupart des algo de chiffrement sont deprecated. Arf, l’obsolescence programmée par la sécurité est un truc de dingue :upside_down_face:

1 Like
  • User is prompted to choose an available FIDO authenticator that matches the online service’s acceptance policy.

Comment savoir si les « online service’s » que j’accède accepte FIDO authentifocator via une (des ) SoloKeys ?

Comment tu utiliserais dig pour déterminer que le service permet de s’authentifier via Google (par exemple), ou un autre service tiers.

C’est quoi DIG ?

Le forum a mangé mon message :

Coucou,

Le Sun, 27 Feb 2022 08:03:15 +0000,
« info@ajcom.ch via CHATONS » forum@chatons.org a écrit :

C’est quoi DIG ?

Un outil pour faire des requêtes DNS. Un exemple d’utilisation :
Blog Stéphane Bortzmeyer: On peut tout mettre dans le DNS, même les codes postaux

François

OK, merci

Pour observer des domaines utilisant un workspace google ou l’équivalent microsoft, le champs mx est un bon indicateur :

Un exemple avec l’université catholique de l’ouest uco.fr

$ dig mx uco.fr
0 uco-fr.mail.protection.outlook.com.

Un autre exemple pour un workspace google pour l’académie de Lyon

$ dig mx gs.ac-lyon.fr +short
10 alt3.aspmx.l.google.com.
1 aspmx.l.google.com.
10 alt4.aspmx.l.google.com.
5 alt2.aspmx.l.google.com.
5 alt1.aspmx.l.google.com.

Dans ce cas, il a fallu trouvé un sous-domaine gs de ac-lyon.fr avant d’interroger le champs MX de ce sous-domaine.

Une association lyonnaise intervenant dans l’éducation aux médias dans les écoles :

dig mx frequence-ecoles.org +short
5 alt2.aspmx.l.google.com.
10 alt3.aspmx.l.google.com.
1 aspmx.l.google.com.
5 alt1.aspmx.l.google.com.
10 alt4.aspmx.l.google.com.

Une fédération de parent d`'élèves que je connais bien pour y avoir eu des responsabilités pendant quelques années.

dig mx fcpe69.fr +short
1 aspmx.l.google.com.
5 alt1.aspmx.l.google.com.
10 alt4.aspmx.l.google.com.
5 alt2.aspmx.l.google.com.
10 alt3.aspmx.l.google.com.

Je précise que l’obtention de ces workspaces google ou de leur équivalent microsoft se fait par le programme philanthropique de google et microsoft porté par techsoup.org et solidartech.fr

J’ai pu observer en effet que taper un mot de passe, même relativement simple, pouvait être une tache ardue pour certaines personnes (précision de frappe, impossibilité de voir ce qu’on à taper, etc.). Dans cette optique, je me vois aussi mal leur mettre une barrière supplémentaire. Dans ce cas là, je pense que je tenterais de privilégier un autre facteur d’authentification, en tentant d’authentifier la machine (Kerberos j’ai trouvé ça magique d’un point de vue UX en entreprise), ou d’utiliser un dispositif d’authentification électronique, comme la Yubikey. Par exemple FIDO2 en mode passwordless.
TL;DR : le mot de passe n’est pas le seul système d’authentification envisageable

Sinon, si le problème est seulement de retenir un mot de passe complexe, on peut considérer un simple carnet papier dans le tiroir du bureau, avec sur chaque ligne le site, le nom d’utilisateur, et le mot de passe choisi. Les 2 « attaquants » possibles dans ce cas sont une personne partageant le logement et des personnes qui s’introduiraient par effraction, soit un modèle de menace bien spécifique, que je pense un certain nombre de personnes est prêt à accepter (mais pas tout le monde).
TL;DR : pouvoir accepter les menaces physiques facilite la gestion des mots de passe

1 Like

C’est quoi de l’U2F/du webauthn ?
C’est quoi du FIDO2 security key ?

Est-ce à nous l’utilisateur de demander à chaque site quel type de connexion ils acceptent ?

Il y a des listes, par exemple celle la.

1 Like

Super info. Merci

Le but est d’avoir une clé USB pour mes multiples « authentification en deux étapes » usuels.

D’ailleurs est-ce possible pour l’accès au compte FireFox ?