Retrouver Son Mot de Passe sur Gmail : Méthode n°1 [résolu]

50_Retrouver_Son_Mot_de_Passe_Gmail_1

Dans cette vidéo vous allez apprendre comment récupérer le mot de passe d’un compte Gmail ou Google qui vous appartient.

Ce compte Gmail ou Google vous l’utilisez peut-être de temps en temps et vous ne vous souvenez plus du mot de passe.

Dans cet exemple, c’est un problème de mot de passe, cliquez sur suivant google vous demande votre nom d’utilisateur.

Pour vérifier que vous êtes bien la personne que vous prétendez être google vous demande de fournir un ancien mot de passe, même si c’est le tout premier, que vous avez associé à ce compte.

Dans la vidéo suivante, vous découvrirez comment vous pouvez récupérer l’accès à votre boite aux lettres sans avoir à fournir cet ancien mot de passe.

Petit conseil: Lors de la saisie du nouveau mot de passe, utilisez un logiciel qui sert de coffre-fort de mots de passe.

Cela vous permet aussi de garder à l’abri vos mots de passe dans un coffre-fort protégé : Excel ne suffit pas toujours.

Téléchargez la vidéo : Retrouver Son Mot de Passe sur Gmail : Méthode n°1 [résolu] .

Retrouver Son Mot de Passe Outlook : Méthode avancée [résolu]

49_Retrouver_Son_Mot_de_Passe_Outlook_2

Dans cette vidéo vous allez apprendre comment récupérer le mot de passe d’un compte Outlook qui vous appartient.

Ce compte Outlook vous l’utilisez peut-être de temps en temps et vous ne vous souvenez plus du mot de passe.

Dans cet exemple, c’est un problème de mot de passe, cliquez sur suivant Microsoft vous demande votre nom d’utilisateur.

Pour vérifier que vous êtes bien la personne que vous prétendez être Microsoft vous demande une adresse email de secours.

Dans cette vidéo, vous découvrirez comment vous pouvez récupérer l’accès à votre boite aux lettres sans fournir cet adresse email de secours.

Petit conseil: Lors de la saisie du nouveau mot de passe, utilisez un logiciel qui sert de coffre-fort de mots de passe.

Cela vous permet aussi de garder à l’abri vos mots de passe dans un coffre-fort protégé : Microsoft Excel ne suffit pas toujours.

Téléchargez la vidéo : Retrouver Son Mot de Passe Outlook : Méthode avancée [résolu].

Retrouver Son Mot de Passe Outlook : Méthode n°1 [résolu]

48_Retrouver_Son_Mot_de_Passe_Outlook_1

Dans cette vidéo vous allez apprendre comment récupérer le mot de passe d’un compte Hotmail qui vous appartient.

Ce compte Hotmail vous l’utilisez peut-être de temps en temps et vous ne vous souvenez plus du mot de passe.

Dans cet exemple, c’est un problème de mot de passe, cliquez sur suivant: Microsoft vous demande votre nom d’utilisateur.

Pour vérifier que vous êtes bien la personne que vous prétendez être Microsoft vous demande une adresse email de secours.

Cette adresse email de secours sert à récupérer un code qui prouvera que vous êtes bien le propriétaire de la boite aux lettres.

Le problème c’est qu’elle doit être associée à votre compte AVANT d’exécuter cette procédure de récupération.

Dans la vidéo suivante, vous découvrirez comment vous pouvez récupérer l’accès à votre boite aux lettres sans avoir cet adresse email de secours.

Petit conseil: Lors de la saisie du nouveau mot de passe, utilisez un logiciel qui sert de coffre-fort de mots de passe.

Cela vous permet aussi de garder à l’abri vos mots de passe dans un coffre-fort protégé : Microsoft Excel ne suffit pas toujours.

Téléchargez la vidéo : Retrouver Son Mot de Passe Outlook : Méthode n°1 [résolu].

Protéger ses Mots de Passe pour Dirigeant

Le mot de passe est le premier rempart de la sécurité informatique. Un mot de passe mal choisi ou mal stocké peut compromettre la sécurité informatique de toute l’entreprise. Un mot de passe doit être considéré comme une information sensible, privée et confidentielle.

Définir une Politique de Mot de Passe

• Rédigez un document qui explique votre politique de mot de passe
• Soyez clair et explicite
• Ne tombez pas dans les excès
• Les utilisateurs contourneront les contraintes trop fortes

Longueur Minimale d’un Mot de Passe

• Le mot de passe doit avoir une longueur minimale de 15 caractères, voire 20 ou 30 caractères
• Dans un instant, vous verrez qu’un mot de passe peut faire 60 caractères sans que l’utilisateur l’oublie…
• Aujourd’hui, un mot de passe de 15 caractères est un minimum. Toutefois, 30 caractères est préférable.

Composition du Mot de Passe : Mots Interdits

• Les règles de composition du mot de passe doivent empêcher quiconque de pouvoir le deviner
• Établir la liste des mots interdits : mots d’un dictionnaire français ou étranger, mots liés à la vie professionnelle ou personnelle
• Il ne devrait jamais être constitué de mots connus de soi-même ! Le mieux est d’avoir un mot de passe généré aléatoirement

Composition du Mot de Passe : Caractères Obligatoires

• Établir les caractères obligatoires
• Avoir un mélange d’au moins :
• minuscules : a, b, c, … et majuscules : A; B, C, …
• chiffres : 0, 1, 2, … et autres caractères : ¤, µ, }, …
• Le mélange doit être le plus aléatoire possible : pas de caractère particulier devant ou derrière
• Des logiciels savent générer ce genre de mot de passe: l’utilisateur n’a pas à le faire

Si vous devez impérativement retenir un mot de passe important sans jamais pouvoir le stocker ou l’écrire

• Préférez un mot de passe très long à un mot de passe complexe (que vous risquez d’oublier)
• Utilisez une phrase secrète : titre d’une chanson, vers d’un poème, tirade d’une pièce, proverbe, affirmation.
• Exemple: Un petit pas pour l’homme, un grand pas pour l’humanité.
• Notez la présence d’une virgule et d’un apostrophe qui complexifie naturellement la phrase de passe

Établir les Règles de Changement de Mot de Passe

• Changement systématique lorsqu’il a été compromis
• Changement lors du vol ou la perte d’un périphérique : ordinateur, smartphone, tablette ou clef USB protégé
• Changement lorsqu’il a été communiqué à un tiers quel qu’il soit
• Changement obligatoire tous les 4 mois

Transmission et Partage du Mot de Passe : Interdiction

• Un mot de passe ne doit pas être écrit sur un papier ou dans un email
• Un pirate examine le contenu des boites aux lettres, y compris le contenu de la corbeille avec les messages supprimés
• Un mot de passe ne doit pas être écrit dans un document Office (Microsoft, OpenOffice, Hangul), même protégé par un autre mot de passe (n’importe quelle version)

Solution pour Transmettre et Partager un Mot de Passe

• Le partage d’un mot de passe peut se faire à travers un coffre-fort logiciel sans jamais être obligé de l’écrire
• Il existe aussi des logiciels d’entreprise qui permet de s’assurer que la personne a bien eu le mot de passe

Utilisation du Mot de Passe

• Un mot de passe ne doit pas être saisi en public, à cause des caméras
• En cas de nécessité de saisie dans un lieu public, sa saisie doit être protégée des regards, comme pour un code confidentiel de carte bancaire
• Un mot de passe ne doit pas être saisi sur un réseau d’un Wi-Fi public : hôtel, restaurant, autre.

Stockage du Mot de Passe

• Les mots de passe sont stockés dans un coffre-fort virtuel, accessible uniquement à partir de fichiers qui se trouvent sur une clef USB
• Coffre-fort logiciels : KeePass 2, Password Safe.
• La clef USB est chiffrée et protégée par un mot de passe que vous seul connaissez
• Le chiffrement de la clef USB peut être fait avec le logiciel BitLocker de Microsoft

Mot de Passe de la Clef USB Sécurisé

• Le mot de passe de la clef USB chiffrée est le seul dont vous devez vous rappeler
• C’est le mot de passe « maître »
• Il doit respecter les règles édictées plus haut
• En particulier, l’astuce donnée dans la diapositive « Si vous devez impérativement retenir un mot de passe important sans jamais pouvoir le stocker ou l’écrire »

Téléchargez la vidéo : Protéger ses Mots de Passe pour Dirigeant.

AVERTISSEMENT: Cette série de vidéo présente des informations de nature générale sur les méthodes de protection en matière de sécurité informatique. Elle a comme unique objectif de vous enseigner des méthodes ou outils traditionnels pour vous préserver le plus possible des attaques des cybercriminels. Les outils présentés ne doivent être manipulés que pour un usage strictement personnel à des fins de protection ou de dépannage. Toute autre utilisation (en particulier et sans être exhaustif: fraude, piratage, tentative d’intrusion dans un système d’information, etc.) est illégale et est généralement sévèrement condamnée par la plupart des pays, dont la France. Cette série de vidéos étant à but purement pédagogique, je décline toute responsabilité dans l’utilisation des informations qui y figurent.

Avoir des Mots de Passe Secrets (pour débutant)

Il est possible d’avoir un mot de passe long et complexe sans même le connaître. L’astuce repose sur l’existence de logiciels, appelés coffre-fort de mots de passe.

Ces coffres forts vont stocker de manière sécurisée tous vos mots de passe.

Vous verrez que grâce à ces logiciels vous pourrez avoir un mot de passe différent pour chaque site web.

Ce qui est génial avec ces logiciels c’est que vous ne serez même pas obligé de connaître les mots de passe ! Pour ma démonstration, je prends comme exemple le logiciel KeePass Password Safe.

Le principe est de créer un ou plusieurs coffres forts dans lesquels vous allez pouvoir stocker tous vos mots de passe.

Pour chiffrer le coffre-fort, il faut un mot de passe « Maître ».

Soit vous avez un mot de passe, ou une phrase de passe.

Plutôt que d’utiliser un mot de passe ou une phrase de passe vous pouvez utiliser un fichier quelconque pour chiffrer le coffre-fort, par exemple une image.

Cela veut dire que pour ouvrir le coffre-fort, j’indiquerais que c’est cette image qu’il faut utiliser pour que je puisse accéder au coffre-fort.

Vous pouvez même combiner l’image et le mot de passe.

Il faudra donc donner les 2 mots de passe pour ouvrir le coffre-fort.

Vous allez voir comment utiliser ce logiciel pour gérer votre mot de passe d’emails.

Pour cela, vous allez créer un compte email factice dans Gmail, et je vais vous montrer comment on peut utiliser KeePass pour le mot de passe Dans un premier temps, créez un compte dans Gmail.

N’inventez pas le mot de passe: utilisez le logiciel KeePass pour créer un mot de passe.

Pour cela, faites un clic-droit dans la zone de droite mais vous pouvez aussi aller dans le menu et cliquez sur Add Entry.

Maintenant, donnez un nom à cette nouvelle entrée: « Gmail », par exemple.

Vous voyez que le logiciel a déjà généré un mot de passe.

En fait, dès que vous créez une nouvelle entrée, il génère automatiquement un mot de passe.

Si vous le souhaitez, vous pouvez renforcer la sécurité du mot de passe, grâce au générateur de mot de passe.

Vous pouvez lui indiquer que vous souhaitez avoir par exemple, des mots de passe de 20 caractères de long, qui contiennent des majuscules, des minuscules, des chiffres, ou des caractères spéciaux, des espaces, etc.

Il génère aussitôt un autre mot de passe plus complexe que le précédent.

Faites un clic droit sur la nouvelle entrée, et vous faites Copy Password.

Retournez dans la création de compte Gmail, faites un CTRL+V pour coller le mot de passe.

Le compte email a bien été créé.

Ouvrez la boite aux lettres associée à votre adresse email.

Puis déconnectez-vous du site.

Retournez sur l’écran d’accueil de Gmail, puis ensuite ouvrez KeePass.

Le logiciel demande soit de saisir un mot de passe, soit d’aller chercher une image.

Par défaut, il garde la dernière image enregistrée.

KeePass ouvre à nouveau le coffre-fort.

Dans Gmail, cliquez dans la zone Adresse e-mail.

Vérifiez bien que vous êtes dans la zone « adresse e-mail ».

Puis revenez dans KeePass.

Sur la nouvelle entrée créé précédemment, faites un clic-droit et choisissez « Perform Auto-type » Le logiciel KeePass va renseigner tout seul le compte utilisateur et le mot de passe.

Votre compte email s’ouvre bien.

Pour compléter la démonstration, j’ai pris un forum au hasard sur lequel je souhaite m’inscrire.

Sur KeePass, je fais un clic droit pour créer une nouvelle entrée.

KeePass m’a généré automatiquement un mot de passe (que je ne connais pas).

Je vais m’enregistrer sur le forum.

Pour le mot de passe, je retourne dans KeePass pour copier le mot de passe généré par le logiciel.

Un simple clic-droit puis « Copy Password « permet de copier le mot de passe dans KeePass.

Ensuite, je le colle dans le formulaire d’inscription.

Puis je me connecte au forum.

Maintenant, nous allons vérifier que tout fonctionne bien.

Dans KeePass, je double clic sur la nouvelle entrée pour l’ouvrir et pour pouvoir la modifier.

Je rajoute le nom d’utilisateur, sans connaître le mot de passe qui a été généré.

Dans le formulaire de connexion du forum, je vérifie que je suis bien dans la zone Nom d’utilisateur.

Je reviens dans KeePass, puis un clic-droit sur la nouvelle entrée puis « Perform autotype »

La connexion est automatique: je suis bien connecté sur le forum.

Dans ma boîte de réception Gmail j’ai bien un message m’informant que mon inscription est validée.

Ce qu’il faut retenir dans cette vidéo c’est l’incroyable facilité avec laquelle vous pouvez créer des mots de passe très longs et très compliqués sans que vous soyez obligé de vous en souvenir.

Pour télécharger KeePass 2: http://keepass.info/download.html

Téléchargez la vidéo : Avoir des Mots de Passe Secrets (pour débutant).

AVERTISSEMENT: Cette série de vidéo présente des informations de nature générale sur les méthodes de protection en matière de sécurité informatique. Elle a comme unique objectif de vous enseigner des méthodes ou outils traditionnels pour vous préserver le plus possible des attaques des cybercriminels. Les outils présentés ne doivent être manipulés que pour un usage strictement personnel à des fins de protection ou de dépannage. Toute autre utilisation (en particulier et sans être exhaustif: fraude, piratage, tentative d’intrusion dans un système d’information, etc.) est illégale et est généralement sévèrement condamnée par la plupart des pays, dont la France. Cette série de vidéos étant à but purement pédagogique, je décline toute responsabilité dans l’utilisation des informations qui y figurent.

A quoi sert un Mot de Passe ? (pour débutant)

16_A_quoi_sert_un_Mot_de_Passe

Un mot de passe est une sorte de clé qui vous donne accès à une ressource, un ordinateur, un fichier, etc.

Cette clé, doit évidemment restée secrète pour qu’elle soit efficace, sinon elle ne sert plus à grand’choses.

Il existe aussi ce qu’on appelle une « phrase de passe ». Une phrase de passe est constituée de plusieurs mots.

Téléchargez la vidéo : A quoi sert un Mot de Passe ? (pour débutant).

AVERTISSEMENT: Cette série de vidéo présente des informations de nature générale sur les méthodes de protection en matière de sécurité informatique. Elle a comme unique objectif de vous enseigner des méthodes ou outils traditionnels pour vous préserver le plus possible des attaques des cybercriminels. Les outils présentés ne doivent être manipulés que pour un usage strictement personnel à des fins de protection ou de dépannage. Toute autre utilisation (en particulier et sans être exhaustif: fraude, piratage, tentative d’intrusion dans un système d’information, etc.) est illégale et est généralement sévèrement condamnée par la plupart des pays, dont la France. Cette série de vidéos étant à but purement pédagogique, je décline toute responsabilité dans l’utilisation des informations qui y figurent.

Comment protéger ses informations personnelles avec un mot de passe ?

Certains sites web vous demandent un mot de passe pour protéger vos informations personnelles: sites financiers ou marchands, comptes emails, etc. Ce mot de passe est associé à un compte ou à une adresse email.

Le mot de passe est la clef de voûte de votre sécurité.

Si vous voulez augmenter la sécurité de vos mots de passe, vous trouverez ci-dessous les conseils sur ce qu’il ne faut pas faire et ce qu’il est préférable de faire. Les explications détaillées sont présentées avec les outils.

Ce qu’il ne faut pas faire

  • Connaître ses mots de passe ou choisir des mots de passe faciles à se rappeler,
  • Choisir le même mot de passe pour tous les sites,
  • Utiliser une série de mots de passe identiques; chaque mot de passe est associé à des sites de niveaux de confidentialités similaires,
  • Utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques,
  • Stocker ses mots de passe dans une feuille Excel protégée elle-même par un mot de passe.

Ce qu’il faut faire

  • Ne pas connaître ses mots de passe (cf. plus bas),
  • Avoir un mot de passe généré aléatoirement,
  • Générer aléatoirement un mot de passe à partir d’une combinaison de lettres MAJUSCULES, minuscules, de chiffres et de symboles (par exemple: % $ ! etc.), si c’est autorisé par le site web. Les caractères spéciaux doivent se trouver aussi au milieu du mot de passe et pas seulement au début ou à la fin du mot de passe,
  • Quand c’est possible, avoir un mot de passe d’au moins 28 caractères,
  • Avoir un mot de passe différent par site web,
  • Stocker tous ces mots de passe dans un gestionnaire de mots de passe. Le gestionnaire de mots de passe est une sorte de coffre-fort logiciel.

Outils gratuits

Plus un mot de passe est long et plus il est difficile de s’en souvenir avec exactitude. Pourtant un mot de passe long est aussi plus difficile à percer. Actuellement, il est estimé qu’un mot de passe complexe et aléatoire de 64 caractères résisterait aux attaques de force brute menées par les organismes gouvernementaux.

Dans la pratique, les sites web acceptent rarement d’aussi long mots de passe. Ils limitent souvent à 20 caractères et parfois moins, la longueur des mots de passe. Toutefois, vous avez tout intérêt à utiliser des mots de passe de 28 caractères minimum quand c’est possible. Attention de ne pas prendre trop à la lettre le fait d’avoir un mot de passe de 28 caractères. Une longueur de 27, 30, 31 ou 43 fait aussi l’affaire.

Les outils présentés ci-dessous, vont vous permettre de mettre en application le principe d’avoir des mots de passe longs, complexes et aléatoires. Ils vous permettent même d’utiliser vos mots de passe sans jamais les connaître !

Gestionnaire de mots de passe

Il s’agit d’utilitaires de base de données de mots de passe. Les utilisateurs peuvent conserver leurs mots de passe cryptés sur leurs ordinateurs. Une seule combinaison du coffre les déverrouille tous.

Dans la vraie vie, il n’est pas possible de se rappeler tous les mots de passe: connexion au réseau Windows, compte e-mail, compte FTP de votre site web, etc.

En outre, vous devez utiliser un mot de passe différent pour chaque compte. Si vous utilisez un seul mot de passe sur tous les sites, ou sur une certaine catégorie de sites, il suffit qu’un cybercriminel vole le mot de passe sur un site peu protégé pour se connecter sur d’autres sites comme celui que vous utilisez pour gérer vos emails ou votre compte bancaire.

Stocker ses mots de passe dans un document Excel, ou Word, protégé lui-même n’est pas suffisant non plus. Bien que Microsoft ait largement renforcé la sécurité des documents dans les nouvelles versions (Office 2007 et surtout Office 2010 / 2014), ce n’est pas le cas des versions anciennes (2003 et avant) qui restent facilement « crackables ».

Les gestionnaires de mot de passe vous aident à gérer vos mots de passe de manière sécurisée. Vous pouvez mettre tous vos mots de passe dans une base de données, qui est verrouillée avec une clé maître et / ou un fichier clé et / ou votre compte Windows. Il suffit donc de se rappeler un mot de passe principal et / ou de sélectionner le fichier clé pour déverrouiller la base de données avec les mots de passe cryptés.

KeePass Password Safe
KeePass est certifié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Password Safe
La communauté autour de Password Safe est aussi très active. Password Safe affiche peu d’informations à l’écran, ce qui est positif.

L’avantage d’un gestionnaire de mot de passe est de pouvoir les générer automatiquement. Il est aussi possible de copier-coller le mot de passe, ainsi que l’identifiant du compte, l’URL et d’autres informations. De cette manière, vous n’êtes pas obligé de connaître votre mot de passe.

Démonstration avec KeePass

keepass-creation-compte Une entrée est créée dans Keepass pour stocker le mot de passe du compte email. Un mot de passe est généré automatiquement.

keepass-generation-mot-de-passe Un nouveau mot de passe peut être généré. Dans Keepass, la complexité est exprimée en bits. Plus le nombre de bits est grand, plus la complexité est importante. Par défaut, le mot de passe n’apparaît jamais.

keepass-nouveau-mot-de-passe Un nouveau mot de passe a été généré. Par défaut, il n’apparaît pas en clair. Pour connaître sa valeur il faut cliquer sur les 3 points en face de Password.

keepass-copie-mot-de-passe Grâce à un copier-coller, il est possible de copier le mot de passe sans le connaître.

Il est important de ne pas connaître le mot de passe, car il n’est pas rare d’entendre un utilisateur le dire, au moins partiellement, pendant qu’il le tape.

Il n’est pas toujours possible de coller un mot de passe. Certains site, comme par exemple PayPal à la création d’un compte, n’autorise pas la copie dans la zone de mot de passe. D’autres sites génèrent un clavier numérique aléatoire, comme par exemple le site de la Caisse d’épargne ou celui de Boursorama lors de l’accès à son compte.

Certains sites interdisent aussi l’utilisation de caractères spéciaux et même parfois des lettres accentuées (!). Toutefois, grâce aux paramètres et aux options des gestionnaires de mot de passe, il est possible de s’adapter à chaque exigence particulière des sites web.

Démonstration avec Password Safe

password-safe-entree Une nouvelle entrée pour stocker un compte et son mot de passe a été créée dans Password Safe.

Modification de la stratégie de mot de passe dans Password Safe Il est possible de s’adapter à une stratégie de mot de passe propre à un site en jouant sur ces critères.

Vérification de la complexité des mots de passe

Les études qui portent sur l’analyse des mots de passe utilisés par les internautes révèlent l’utilisation intensive de mots du dictionnaire. Ce qui est une erreur car les cybercriminels vont pouvoir faire des attaques sur les mots de passe en utilisant des dictionnaires gigantesques. Outre les mots des dictionnaires usuels, ces dictionnaires contiennent aussi des noms propres, des noms figurés, des prénoms, des personnages de dessins animés, des jurons, etc.

Cela est vrai aussi pour les altérations de mots du dictionnaire:

  • mots au pluriel,
  • lettres inversées (totalement ou en partie),
  • rajout d’un ou plusieurs chiffres ou caractères spéciaux ($ % ! …) en début ou en fin de mot de passe,
  • abréviations habituelles (Sté pour Société, h pour heure, …)
  • conversions connues (€ pour e, @ pour a, 2 pour de, …)

Idem pour l’utilisation de mots d’une langue étrangère à la vôtre: les cybercriminels sont très ouverts au monde…

La complexité d’un mot de passe dépend de l’usage ou pas de mots du dictionnaire, mais aussi d’autres critères. Par exemple, l’utilisation des lettres adjacentes du clavier est connue aussi. Tout comme la répétition (aaaaaaa) ou la séquence (abcd, 1234, …).

Le mot de passe ne doit surtout pas utiliser des informations personnelles ou de vos proches ou même de vos animaux domestiques:

  • Prénom, surnom, …
  • Date de naissance, d’anniversaire, …
  • Numéro de sécurité sociale, de passeport, de permis, ..
  • etc.

Tous les sites n’offrent pas la possibilité de vérifier la complexité des mots de passe. Les outils de vérification qui existent permettent d’étalonner la complexité mais ils ne garantissent pas la sécurité absolue.

Password Checker

Contrairement à une idée fausse, Microsoft est très soucieux de la sécurité de ses produits. L’outil Password Checker permet de tester la complexité d’un mot de passe en tenant compte de plusieurs critères: longueur globale du mot de passe, mélange de caractères aléatoires, existence du mot dans un dictionnaire, etc.

Si vous ne connaissez pas la réputation de l’éditeur du site web, soyez prudent aussi vis à vis des outils de vérification de mots de passe. Il serait facile pour des cybercriminels de se faire passer pour une honnête organisation en vous proposant de vérifier la solidité de votre mot de passe. Une fois que vous aurez trouvé un mot de passe fort, il pourrait vous proposer un cadeau en échange d’un email et (pourquoi pas !) du nom de votre site web préféré. Restez attentif !

Algorithme de création de mots de passe

Pour les raisons qui viennent d’être évoquées, il ne faut pas utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques.

Cependant, il est parfois impossible de faire autrement. Notamment, lorsque vous utilisez un logiciel de cryptage de données (ce qui sera vu dans un autre billet) ou un gestionnaire de mots de passe (vu plus haut).

En effet, les mots de passe du gestionnaire de mots de passe sont cryptés. Leur décryptage nécessite de déverrouiller la base grâce à un mot de passe que vous devez savoir par cœur.

Il est vrai que les logiciels de cryptage de données ou les gestionnaires de mots de passe vous offrent la possibilité de crypter avec un fichier, par exemple une photo, et donc sans la nécessité d’un mot de passe.

Cependant, il est préférable d’avoir un mot de passe en plus du fichier. Ce mot de passe doit avoir les caractéristiques suivantes:

  • Il ne doit être connu que de vous-même,
  • Vous devez vous en rappeler ou le retrouver aisément,
  • Il doit être très difficile de le découvrir,
  • Il doit être très difficile de le déduire même en vous connaissant bien.

La tâche n’est pas aisée. Aussi, pour vous aider, vous pouvez utiliser la technique décrite ci-dessous. Il est important comprendre que la description d’un procédé automatique de calcul de mot de passe est facilement programmable par un cybercriminel.

Si vous faites preuve de la prudence la plus élémentaire

Sélectionnez une phrase tirée d’un texte que vous connaissez par cœur: chanson, poésie, proverbe, autre. La phrase doit faire au moins une trentaine de caractères, espaces compris. Ne prenez pas une phrase que vous répétez souvent !

Par exemple: Pour le meilleur et pour le pire !

Si vous êtes conscient des dangers potentiels d’internet

Supprimez les espaces entre les mots :
Pourlemeilleuretpourlepire!

Si vous savez qu’il existe des cyber-criminels

Insérer après le second ou le troisième mot, un ou plusieurs chiffres. Par exemple, ce chiffre peut représenter le nombre de mots que vous avez « sautés » ou le nombre de lettres précédentes:
Pourlemeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés

Les spécialistes du crackage du mot de passe savent que les utilisateurs les plus avertis ont l’habitude de mettre une majuscule en début d’un mot de passe et le caractère spécial ou le chiffre à la fin. Aussi, ne laissez pas la majuscule en début du mot de passe. Déplacez la majuscule sur un des mots:
pourleMeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés et dotés de moyens importants

Ne laissez pas le caractère spécial en fin de mot de passe. Déplacez le ailleurs:
pourleMeilleur3etpourle!pire

Quand vous aurez terminé, n’oubliez pas de vérifier la complexité de votre mot de passe ainsi créé avec Password Checker !

Password Checker

Un dernier conseil: n’utilisez surtout pas les mots de passe de cette page !

Retrouver son mot de passe Microsoft Access 2000 perdu

Avertissement : Le Code pénal français réprime l’intrusion et le maintien frauduleux dans les systèmes de traitement automatisé de données. La procédure fournie dans cet article ne doit servir qu’à déverrouiller des fichiers vous appartenant.

Il y a plus de 10 ans, j’avais développé un petit exécutable qui se connectait à une base de données Microsoft® Access 2000 pour afficher son contenu.

Aujourd’hui, je souhaite récupérer la structure de ma base et son contenu. Le code source de l’exécutable est introuvable: il ne reste plus que la base (BASE.MDB) ainsi qu’un autre fichier (COMPTES.MDW). Lorsque je tente de lire BASE.MDB avec Access, celui-ci me demande un mot de passe que j’ai oublié depuis belle lurette.

Sécurité Access à partir d’Access 95

Du coup, je n’ai plus accès à mon propre travail. Je suis bloqué à cause de ce mot de passe perdu puisqu’à partir d’Access 95, Microsoft a implémenté une protection facultative des bases de données par mot de passe (Access 2.0 ne dispose pas de ce mécanisme de sûreté).

Si le mot de passe de la base de données est activé, une boîte de dialogue apparaît à chaque fois que vous ouvrez la base de données. Le mot de passe de base de données est le même pour tous les utilisateurs. Il n’est donc pas lié à un utilisateur ou à un compte. Pour cette raison, certains l’appellent parfois « le mot de passe partagé ».

Comme le mot de passe de base de données est stocké dans la base de données, il est arrivé qu’en cas de corruption de la base, Access considère qu’elle est protégée par un mot de passe. Dans ce cas, il est parfois possible de récupérer une base de données Access corrompu.

Récupérer le mot de passe de la base de données

Le logiciel Access Password Pro, qui récupère les mots de passe perdus pour les bases de données Microsoft Access ainsi que les mots de passe des utilisateurs, me révèle instantanément le mot de passe d’accès à la base de données (« Aa123456« ).

Maintenant que j’ai le mot de passe d’accès à la base de données, il reste le plus dur. En effet, il existe un mécanisme supplémentaire de protection des données dans Microsoft Access: les mots de passe utilisateurs. Cette protection est aussi facultative.

Sécurité Access jusqu’à Access 2003

Toutes les versions d’Access, jusqu’à la version Access 2003 incluse, prennent en charge les mots de passe utilisateurs. Si ce système de sécurité est activé, les utilisateurs doivent s’authentifier par un compte et un mot de passe lors de la connexion à Microsoft Access.

Sur un même objet (une table, etc.), deux utilisateurs distincts peuvent avoir des permissions différentes. Les autorisations peuvent être accordées soit à des utilisateurs, soit à des groupes internes d’Access.

Toutes ces informations de sécurité sont stockées dans une base de données système spécial. Celle-ci peut être partagée entre les différentes bases de données et des applications. En principe, cette base de données système est dans un fichier avec une extension .mda dans Access 2.0 et. mdw pour les autres versions. Toutefois, l’extension .mda est ambiguë car elle correspond aussi à des Add-ins d’Access, qui sont écrits en Microsoft® Visual Basic® for Applications (VBA).

Dans le cas d’Access 2000, cette base de données système à une extension .mdw.

Cette base contient toutes les informations liées au contexte de sécurité:

  • les noms des groupes avec leur mot de passe,
  • les noms des comptes utilisateurs avec leur mot de passe,
  • les appartenances des utilisateurs aux groupes,
  • les SID (identifiant unique) des groupes,
  • les SID (identifiant unique) des utilisateurs.

Puisqu’elle contient les informations nécessaires pour récupérer le contexte de sécurité des utilisateurs et des groupes, elle est cruciale pour accéder aux données. Si elle est perdue ou corrompue, vous serez incapable de modifier ou d’afficher vos données, même si vous avez le mot de passe d’accès à la base de données.

En effet, si vous avez le mot de passe d’accès à la base de données, mais que vous n’avez plus le fichier .mdw, vous obtiendrez des messages d’erreurs lorsque vous essayerez d’ouvrir une table: « Impossible de lire les définitions. Aucune autorisation de lecture des définitions pour la table ou la requête », ou quand vous voudrez exporter les données: « Vous n’avez pas l’autorisation de copier. Pour copier cet objet, vous devez avoir l’autorisation d’accès Lire la structure. Si l’objet est une table, vous devez aussi avoir l’autorisation Lire les données ».

Dans Fichier > Utilisateurs et autorisations > Autorisations d’accès, vous serez avec l’utilisateur en cours: Administrateur (par exemple). En cliquant sur l’onglet Changer le propriétaire, tous les objets auront comme propriétaire actuel: <Inconnu>. C’est normal. Et bien évidemment, quand vous essayerez de changer de propriétaire, vous obtiendrez le message d’erreur: « Vous n’avez pas l’autorisation de changer le propriétaire. Pour changer le propriétaire d’un objet de base de données, vous devez avoir l’autorisation d’administrer celui-ci.« . C’est agaçant, hein ?

Sécurité Access à partir d’Access 2007

Access 2007, 2010 et 2013 ne disposent plus du mot de passe par utilisateurs. Malgré cette absence, la récupération des mots de passe d’Access 2007 est une opération beaucoup plus difficile que dans les versions antérieures. Elle nécessite souvent l’utilisation d’attaques par dictionnaire ou par force brute. Avec Access 2013, c’est pire encore car la protection de mot de passe a été encore plus renforcée, comme dans toute la suite Office 2013. Le mot de passe est très difficile à briser et la récupération de mot de passe Access 2013 est une tâche coûteuse.

En l’absence du fichier .mdw, vous pouvez chercher à recréer une nouvelle base de données système .mdw. Pour cela, il existe un utilitaire (WRKGADM.EXE) qui permet de le faire. Sinon, il faut passer par le menu d’Access 2000 ou 2003: Outils > Sécurité > Commande de menu de groupe de travail d’administrateur pour créer la nouvelle base de données système. Mais, pour être efficace, ce procédé suppose que vous connaissiez le nom des comptes réellement utilisés, ainsi que leur mot de passe.

Bien évidemment, j’avais enlevé tous les droits au compte Administrateur dans ma base Access, car ce compte étant archi-connu, il est attaquable. En 2000, j’avais créé des nouveaux comptes (« Venus », « Pluton », etc.) et j’avais attribué des droits aux différentes planètes sur mes tables Access (« Venus » était administrateur de la base). Mais aujourd’hui, impossible de me rappeler leurs noms et leur mot de passe.

Récupérer le mot de passe de l’utilisateur

Heureusement, l’autre fichier encore présent est le fameux .mdw. Il s’intitule COMPTES.MDW. Il a fallu utiliser une autre option d’Access Password Pro pour récupérer quasi-instantanément toutes les informations du contexte de sécurité (les noms des comptes, des groupes, les mots de passe, etc.) contenues dans le fichier COMPTES.MDW. Le mot de passe du compte Venus était « Zz999999 » (enfin presque…).

C’est presque terminé. Maintenant, il faut fournir toutes ces informations à Access pour qu’il ouvre le fichier BASE.MDB avec le bon fichier .mdw (COMPTES.MDW). L’ouverture de la base s’est faite avec la commande:

« C:Program Files (x86)Microsoft OfficeOffice14MSACCESS.EXE » BASE.MDB /Wrkgrp COMPTES.MDW /user Venus /pwd Zz999999 puis la saisie du mot de passe de la base de données (« Aa123456 ») dans la pop-up qui est apparu.

Avec ces informations, Microsoft® Access 2000 m’a laissé à nouveau administrer pleinement la base. Une sauvegarde a été faite immédiatement après…

Ultime conseil lié à la sécurité: convertissez vos bases de données Access en Microsoft Access 2013, c’est encore mieux. La sécurité est renforcée.

Pourquoi Utiliser Des Mots de Passe Différents sur le Web ?

Il est important pour vous de sécuriser votre activité sur Internet en prenant de simples précautions qui sont indispensables.

Imaginez qu’un site vous propose d’ouvrir un compte chez lui. Ce compte sera sécurisé grâce à un mot de passe que vous lui fournirez. Si vous utilisez le même mot de passe sur tous les sites sur lesquels vous vous inscrivez, vous prenez le risque d’avoir vos différents comptes vidés par des personnes malhonnêtes. En effet, il suffit que la protection d’un seul site web soit violée pour connaître votre mot de passe.

Ensuite, il leur suffira d’aller sur les autres sites (hotmail, gmail, sites de banques, etc.) pour tester ce mot de passe avec l’identifiant de votre compte ou votre email.

Limiter les mots de passe ?

Pourtant, beaucoup de personnes m’expliquent qu’ils n’utilisent qu’un nombre limité de mots de passe auxquels ils affectent un niveau d’importance relative.

C’est insuffisant et totalement illusoire.

Faites un tour sur le blog Microsoft Malware Protection Center – TechNet Blogs pour comprendre la sagacité des gangs qui opèrent pour vous voler vos informations numériques cruciales.

Coffre-fort de mots de passe

Êtes-vous d’accord pour penser comme moi que le mot de passe de votre compte bancaire sur Internet est aussi précieux que le contenu de votre compte ?

Si c’est le cas, ce mot de passe doit être gardé dans un coffre-fort de mots de passe.

Ce n’est pas une bonne idée de stocker vos mots de passe en clair dans un document protégé par un mot de passe car c’est insuffisant en matière de sécurité. Pour vous en convaincre, allez jeter un oeil sur le site de Last Bit, par exemple.

Il existe des logiciels gratuits et simple d’usage qui permettent de stocker les mots de passe de tous vos sites sans que vous soyez obligé de les retenir. Notamment, les logiciels Keepass et Password safe.

Ces deux logiciels utilisent des cryptages forts pour sauvegarder vos mots de passe.

De plus, tous les deux proposent de générer les mots de passe puis de les copier par copier-coller. Autrement dit, vous n’avez pas besoin de connaître vos mots de passe.

Comme vous n’avez plus besoin de vous en souvenir, ni même de les connaître, il est facile d’avoir un mot de passe distinct par site web.

Vivre dangereusement

Si, malgré tout, vous voulez générer vous-mêmes vos mots de passe, respectez au moins ces consignes:

  • Ne prenez pas des mots du dictionnaire
  • Ne prenez pas comme mots de passe des noms de personnages connus
  • Ne prenez pas le prénom de votre aimé(e), enfants, chiens, chats, etc. comme mot de passe
  • Utilisez un mot de passe différent sur chaque site
  • Créez un mot de passe qui soit une combinaison de MAJUSCULES, minuscules, chiffres et caractères spéciaux (!$£#&)
  • Ne mettez pas les caractères spéciaux au début ou à la fin du mot de passe
  • Sa longueur doit être de 28 caractères minimum (si possible)

Les mots de passes à bannir impérativement

Ces mots de passe sont à bannir car ils ne sont pas des mots de passe.

La liste est longue comme un jour sans pain, je ne donne que les plus courants parmi les utilisateurs francophones:

  • 123456
  • 12345678
  • password
  • azerty
  • azerty123
  • 111111
  • etc.

Un article plus complet sur les mots de passe est en cours de préparation.

Les pirates peuvent craquer les mots de passe de 16 caractères en moins d’une heure

Niveau: Avancé.

Selon un article un peu ancien du Daily Mail Online, les pirates de Ars Technica peuvent casser les mots de passe de 16 caractères en moins d’une heure, y compris des mots de passe comme « qeadzcwrsfxv1331 ».

Les hackers ont publié la façon dont ils ont craqué les mots de passe. La lecture de l’article de Ars Technica révèle que la complexité algorithmique ne suffit pas elle-seule pour déjouer les systèmes de craquages de mots de passe.

Plutôt que d’entrer plusieurs fois les mots de passe sur un site Web, les pirates ont utilisé une liste des mots de passe hachés qu’ils ont réussi à obtenir. Le « hachage » (ou « empreinte » ou « condensat ») consiste à prendre un mot de passe en texte clair et de le transformer en une chaîne unique de chiffres et de lettres.

L’avantage du hachage est de ne pas être obligé de stocker le mot de passe en clair. De plus, l’algorithme de hachage produit des valeurs très différentes même pour deux mots de passe très proches.

Par exemple le hachage md5 de soleil est 23206deb7eba65b3fbc80a2ffbc53c28, celui de Soleil est fb33a4baf12afe0a8338d2a91b23b5a9.

Il est très complexe de déduire le mot de passe à partir de la valeur du hachage. Cela signifie qu’à partir de la liste des valeurs de hachages, les mots de passe en texte clair ne peuvent pas être obtenus facilement, bien que ces algorithmes soient connus.

Toutefois, la démonstration de Ars Technica a mis en évidence que ce n’était pas impossible. En effet, Jeremi Gosney a réussi à casser en 16 minutes les 10233 premiers mots de passe, soit 62% de la liste.

Pour cela, il a utilisé une méthode d’attaque par force brute. Une attaque par force brute consiste à essayer toutes les combinaisons possibles de caractères.

Il a commencé par chercher tous les mots de passe de un à six caractères. Cela lui a permis de trouver 1316 mots de passe en texte clair en moins de 3 minutes. Ensuite, il a cherché les mots de passe de sept à huit caractères et formés uniquement de lettres minuscules (1618 mots de passe trouvés) puis formés uniquement de lettres majuscules (708 mots de passe trouvés).

Il a aussi utilisé d’énormes listes de mots de passe où le calcul du code de hachage est déjà réalisé.

Ces listes se nomment des tables arc-en-ciel. Il suffit alors de comparer les valeurs de hachage entre la liste volée et les tables arc-en-ciel. Bien sûr cela ne suffit pas toujours, et il faut jouer aussi sur des permutations de caractères, des insertions de caractères spéciaux, etc.

Toutes ces techniques sont classiques. Elles réussissent car des moyens importants sont mis en oeuvre et surtout parce que les mots de passe sont beaucoup trop court.

La complexité aléatoire et, surtout, une longueur élevée restent toujours un sérieux obstacle.

La question est « Pour combien de temps ? ».

Lire aussi (pour développeurs)

Serious Security How to store your users’ passwords safely de Naked Security

Password Storage Cheat Sheet de OWASP