passera-1

 

A l’heure où l’on observe de plus en plus de piratage et de fuite de données critiques sur l’Internet (bases de données clients, comptes et mots de passe divers et variés), beaucoup d’internautes et d’utilisateurs de l’outil informatique se mettent à utiliser des coffres forts de mots de passe.

En effet, il existe plusieurs approches possibles dans la gestion de ces mots de passe. Nous connaissons bien sûr en premier lieu la substitution de terme suivant l’utilité du mot de passe :

Exemple :

Je prends d’abord une expression visant à complexifier la chaine finale :

956$!$

J’y place le mot de passe proprement dit :

956ebaygeorges$!$

De cette manière j’obtiens un mot de passe complexe et aisé à retenir si l’on considère que l’expression de complexification est la même pour chacun de mes mots de passe :

956minecraftgeorges$!$

956ebaygeorges$!$

956ventepriveegeorges$!$

Cette approche est efficace dans le cas où ce sont bien vos comptes qui sont visés par des attaques aléatoires et non vous, en tant que cible, car cette méthode présente évidemment une faiblesse critique si un attaquant arrive à déduire le pattern de construction.

D’autres approches de construction de mots de passe forts existent et nous vous conseillons de les employer, en particulier si vous n’utilisez pas de coffre-fort. Nous vous encourageons à jeter un œil sur nos précédents articles à ce sujet :

Une seconde approche est le coffre-fort à mot de passe ou « Password manager« , en effet, cette approche consiste à ne retenir qu’un seul et unique mot de passe qui servira à déverrouiller un coffre-fort contenant tous vos autres mot de passe (L’excellent logiciel « KeePass » par exemple).

En général l’applicatif coffre-fort possède la capacité d’envoyer votre mot de passe directement dans le clipboard (pendant un laps de temps défini), vous permettant ainsi d’entrer vos crédentiels sans les taper ni même les afficher en clair sur votre écran, ce qui est très pratique lorsque vous travaillez en espace « public » sous des regards potentiellement indiscrets (environnement openspace par exemple).

Toute la force de cette méthode repose sur la complexité et le degré d’exposition du mot de passe « maître », à ne pas négliger donc …

Nous comptons enfin l’approche du mot de passe « jetable », tout et n’importe quoi pour ainsi dire puisque nous n’aurons pas à retenir ce mot de passe, en effet si nous retenons uniquement notre mot de passe d’adresse email il nous sera facile de demander le reset de n’importe quel autre.

Méthode que personnellement je trouve de plus en plus laborieuse et chronophage quand on connaît la complexification des procédures de reset de mot de passe.

Le but premier de ce présent article est de présenter « Passera », un projet GitHub initié en Aout 2014 et qui introduit une nouvelle approche de la gestion des mots de passe.

D’une certaine manière, le fonctionnement de Passera combine les deux premiers points de cet article, je m’explique:

  • Cet utilitaire se sert d’une passphrase pour générer un mot de passe complexe.
  • Ce mot de passe complexe nouvellement généré est alors automatiquement copié dans le clipboard pour une durée de 10 secondes puis le clipboard est purgé.
  • Vous pouvez donc utiliser ce mot de passe sans même l’avoir jamais vu, aucun problème !
  • Lorsqu’il vous sera de nouveau demandé, il vous suffira de ré-entrer dans Passera la passphrase ayant servie à le générer pour l’avoir de nouveau en clipoard.
  • Cette méthode vous permet donc de n’avoir à retenir que la passphrase qui est (a priori) une expression simple et rien n’est stocké nulle part.

En résumé : Passera génère de manière sécurisé vos secrets, il crée des mots de passe jugés forts et complexe à partir de passphrase simple (pour ceux qui manquent d’imagination ou de mémoire) et vous facilitent ainsi la vie.

Passera se décline aujourd’hui en 3 applicatifs :

Exécutable en ligne de commande :

passera-2

passera-3

 

Ce nouvel outil exploite une approche intéressante pour garder des mots de passe fort générés à partir de passphrase simplistes.

Les « Passwords Managers » ont le vent en poupe ces derniers mois, mais ce n’est pas pour autant qu’ils disposent d’une sécurité infaillible, voir notre article sur les Web Password managers qui sont vulnérables.

« Protégez vos crédentiels », « rendez robustes vos mots de passe », « utilisez des coffres forts fiables », tels sont des conseils qui ne cesseront jamais d’être assez répétés.

Sources & ressources :

Georges

Consultant Sécurité