photo par Linus Bohman.
La réponse à notre question Ask the Readers de mercredi a été prolifique; vous avez enregistré des centaines de réponses. Les réponses couvraient votre logiciel préféré, les astuces que vous utilisiez pour générer des mots de passe sans logiciel, etc. Commençons par examiner les applications populaires que vous avez utilisées pour gérer vos trousseaux de clés.
LastPass, KeePass et Passes de toutes tailles
Dernier passage: LastPass est une solution Web que les lecteurs, dans l’ensemble, adorent. Cela facilite grandement la gestion des mots de passe. Bon nombre d'entre vous ont dit avoir résisté à l'essai de LastPass jusqu'à ce que vous l'ayez adoré (cela reflète ma propre expérience de tenir LastPass uniquement pour découvrir que c'était complètement génial quand j'ai finalement commencé à l'utiliser).. Gouthaman met en exergue l'un des avantages de LastPass:
All my passwords are offered automatically by LastPass when creating an account and they pop-up whenever I need to login. This means that I use a different password for every single web service and yeah, I don’t even remember my Twitter/Facebook/Google password, but my LastPass does!
Kaylin note que le passage à LastPass a complètement modifié son approche en matière de sécurité par mot de passe:
LastPass Premium remembers passwords for me. Before that, I had one or two major passwords that I used for most sites. Then I came to realize that method is risky. My LastPass score was only 13 when I started using it, and now I have a much better score because I have changed my habits, thanks to LastPass.
Pour les plus curieux, Kaylin se réfère au LastPass Security Challenge. Les utilisateurs de LastPass peuvent relever le défi - qui effectue une analyse locale et sécurisée de vos mots de passe - afin de vérifier l'efficacité de vos pratiques en matière de mots de passe. Il analyse votre coffre-fort de mots de passe et vérifie si vous utilisez des mots de passe variés, une authentification multifacteur et le nombre de mots de passe que vous avez stockés, puis attribue un score basé sur celui-ci.
LastPass offre un service gratuit et un service premium qui coûte 12 USD par an. Vous pouvez comparer les services gratuits et premium ici.
KeePass: Beaucoup d’entre vous n’étaient tout simplement pas à l’aise avec l’idée de synchroniser votre trousseau de mots de passe sur le cloud, quel que soit le degré de cryptage et de test du mécanisme. Cela a éliminé LastPass, mais a fait de vous un candidat de choix pour KeePass, un gestionnaire de mots de passe à code source ouvert qui suscite un vif intérêt. KeePass offre à peu près toutes les mêmes fonctionnalités de base que LastPass - génération de mot de passe aléatoire, organisation basée sur des catégories - avec juste un peu plus de synchronisation lors de la synchronisation avec votre navigateur. Vous avez surmonté les limites de KeePass avec une variété de piratages et de corrections. Dave était l'un des nombreux lecteurs qui utilisaient Dropbox pour synchroniser leur base de données KeePass entre ordinateurs:
KeePass, on Dropbox for access by my several machines. On crucial sites (banking, credit cards, &c.) I use 20+ character gobbledygook passwords generated by KeePass. On many forum-type sites I use the same old user name and password, since the worst that could happen is that someone could post something in my non-recognizable name.
Doc utilise KeePass et propose un mot strict sur l’utilisation d’une poignée de mots de passe simples:
KeePass Portable on my D: drive, with another copy (program & database) on my USB drive…password protected, of course.
To those that use “1 or 2 or 12 passwords for everything”…just wait until an account is hacked and somebody you thought you could trust is rummaging through your bank account and emails. If you’re that lax in keeping your password secure, you’re probably using your birthday, your middle name, etc. to generate all these passwords…and they’re easily cracked. Use uppercase and lowercase letters, numbers, and some punctuation to generate real random passwords and store them securely! Better yet, change a few of them each week just to be safer. (Just ask Sony how much pain a hacked account can cause!)
Roboform: Quoique moins populaire que LastPass et KeePass - probablement en raison d’une option gratuite très sous-alimentée et d’une option commerciale relativement onéreuse -, RoboForm avait toujours de nombreux adeptes. Il est disponible en version Web et en solution de bureau. Robbie offre un aperçu complet du service ici:
Roboform (now known as Roboform Anywhere).
Has the advantage of automatically (and securely) synchronizing your passwords across all your instances (unlimited).
Has a very nice configurable password generator feature for times when you want maximum security or when you don’t feel like thinking of a new password.
Also lets you attach notes to each login, allowing you to save things like answers to those annoying security questions that you’ll never remember the exact answer several years from now.
If you are using someone else’s computer or don’t want to install Roboform on a particular machine, you can look up your username & password on online.roboform.com.
Roboform est disponible en trois versions: Free, Desktop (30 $) et Everywhere (20 $ par an, 10 $ pour la première année). Vous pouvez comparer les versions ici.
Utilisation de votre cerveau et solutions analogiques
[I use] 3 stages: 1) a set of words – sentence, phrase, addresses etc that you can remember – needs to make a string that is at least 50 characters long 2) an algorithm that allows you to get a set of characters from that set of words – such as every ‘n’ characters 3) write down the start point in that string, and the value of ‘n’ that you will use and the number of characters…
And – for those ‘passwords’ that require numeric values the location within the string of the numeric that will be generated from the alpha code in the string – either a=1..i=9, j=10 etc.
And for those that require a non-numeric character there is the characters associated with the number on the keyboard that you get from using the number generator from the string
So – that’s 3 numbers, and optionally – another 1 or 2 numbers. You get to write down a 5 digit code that lets you re-create the passcode, but never write down the source string so no-one else can calculate it. For the number and special character – you decide if the clue number is going to be from the string start, from the startpoint (first number), or from the end point 1st+2nd*3rd etc.
Once you have the algorithm pick a character to be the Capital letter, the number and the special character. Consistency makes it easy to remember the character selection algorithm/calculation/formula and after a while you won’t even have problems remembering the source string.
Source – string – what names etc. do you pass on the way to work – streets, shops, business names! Avoid bringing the relations [such as a spouses name] into it.
Bien que sa technique soit approfondie, il représente certainement un peu plus de travail que de laisser un gestionnaire de mot de passe générer et rappeler aléatoirement le mot de passe pour vous.
As my spouse is not computer literate (read that geek) we keep our passwords in a binder near the computer. It’s not elegant nor geeky, but it works well for us, and if I’m not available someone else that needs in can get there.
Richard adopte l'approche des mots de passe comme recettes:
Since 1981, I’ve used index cards and index card file box. Low tech and always handy.
Edron emprunte le chemin de la vieille école:
I have a composition notebook with all my passwords and save it in a 2 ton safe where my birth certificate and gold are stored.
Certains d’entre vous sont peut-être en train de secouer la tête à l’idée de conserver les mots de passe sur papier. De manière réaliste, cependant, les chances que quelqu'un s'introduise chez vous et volent vos mots de passe sont presque nulles. Même si votre maison est cambriolée, elle sera là pour tout ce qu’elle peut vendre facilement, comme l’électronique et les bijoux - et non pour des choses peu commodes, comme voler votre identité et essayer de récolter de l’argent sur vos comptes bancaires. Vous pouvez en savoir plus sur notre point de vue dans cet article précédent: Qu'est-ce qui ne va pas avec l'écriture de votre mot de passe?
Pour plus d'informations sur la manière dont vos collègues lecteurs stockent leurs mots de passe, assurez-vous de lire le long fil de commentaires sur l'article original ici. Vous avez un conseil ou une astuce à partager? Sound off dans les commentaires ici.
