Je me souviens de ce que me disais mes profs à la fac dans le temps : changez vos mots de passes régulièrement, faites en sorte qu’ils ne soient pas trop facile à retrouver, bla bla bla bla.
Est-ce que la politique est toujours la même à l’heure actuelle ? La paranoia est-elle toujours de mise ?
Je parle de paranoia, parce que je ne les ai jamais écoutés : enfin si, un peu, j’ai un mot de passe exotique, mais c’est le même pour absolument tous les sites où j’ai pu le choisir, et ce, depuis plus de 13 ans. En tout cas, je n’ai jamais eu l’ombre d’un soucis, et je ne connais personne en ayant eu.
J’en ai parlé avec quelques copains ingénieurs (systèmes ou tout court), qui font tout pareil que moi.
Alors, cette peur du vilain pirate est-elle propre aux universitaires ? Continue-t-elle à se propager ?
Si oui, a-t-elle réellement une utilité dans la vie de tous les jours (au boulot, ou chez soi) ?
J’ai un mot de passe usuel, commun, que j’utilise la plupart du temps. C’est pas bien parce qu’il sortira avec n’importe quel outil de crackage (d’ailleurs, un admin m’a déjà fait la leçon sur ce mot de passe).
J’ai un autre mot de passe avec des lettres et des chifres qui est en fait un numéro de plaque minéralogique.
J’ai un autre mot de passe pour des trucs sensibles comme mon compte en banque par exemple.
Sinon, au boulot, on nous oblige à changer de mot de passe régulièrement, et ça me saoule au plus haut point. Du coup, j’utilise les jours de la semaine et les mois de l’année, ce qui doit être un jeu d’enfant à craquer !
Entre 1 fois tous les 3 mois et 1 fois tous les 6 mois.
Je passe 20 minutes à changer le mot de passe de tous les sites que je fréquente.
Pour ca, j’ai une liste des sites sur lesquels j’ai créé un compte ca permet de gagner du temps en évitant de chercher où je dois changer un mot de passe.
C’est aussi valable pour mon PC perso et professionnel.
Tous les 45 jours sur mon compte en banque en ligne.
Et pour mes comptes de messagerie : c’est variable selon les comptes et l’humeur.
8 caractères minimum avec lettres et chiffres.
Si je dois transmettre un mot de passe à quelqu’un pour x raison, il est changé dans la foulé.
Pour ce qui est du changement des mots de passe Monsieur Artemix ca a son importance : trop de personne donne leur mot de passe aux collègues ! Sauf que je jour où un collègue se barre, bah l’admin il vérouille son compte mais pas le tiens (normal toi tu travailles encore), du coup paf le gentil collègue bah il peut se connecter à distance et foutre le bordel avec ton compte.
thespios, tu le fais par habitude, ou bien est-ce parce que tu as déjà eu des soucis (ou que tu connais quelqu’un qui en a eu) ?
Idéalement on devrait effectivement changer régulièrement de mot de passe.
Maintenant, dans la pratique c’est pas forcément évident. Dans ma fac par exemple, la politique était tellement stricte, qu’on passait notre temps à changer son mot de passe et les étudiants les oubliaient purement et simplement quand ils revenaient de vacances :-/
Et pour ceux qui travaillent dans une grosse boite (voir pire, une grosse boite informatique, comme c’est mon cas), bah il faut faire avec !
J’ai plein d’applications différentes, et donc théoriquement plein de mots de passe.
Dans la pratique j’essais de garder le même, et comme ils n’avaient pas tous la même durée de validité, dès que l’un d’entre eux se périmait, je les changaient TOUS en même temps, sinon après c’est la misère pour se rappeler…
Depuis j’me suis trouvé un algorithme simple pour générer un mot de passe différent par mois (car souvent les nouveaux mots de passe doivent pas être identiques aux 12 derniers…), et chaque mois je change tous mes mots de passe.
Cet algorithme est basé sur un mot de passe de référence unique, qui lui ne change pas, mais est très long :+) (mes mots de passe font souvent + de 16 caractères, avec des trucs genre apostrophe, espaces, etc, mais SURTOUT PAS d’accents, gare aux problèmes d’encodage clavier sinon !!)
Voilà, et même comme ca il m’arrive encore de rester 1 minute devant une fenetre de login, car je me souviens plus que pour telle application, le mot de passe ne doit pas contenir d’espace ou s’arrete à 8 caractères…
Sinon chez moi ma machine linux ayant un accès SSH, je suis aussi habitué à l’authentification par clés + mot de passe long, sinon c’est porte ouverte aux pirates…
Rody dit:thespios, tu le fais par habitude, ou bien est-ce parce que tu as déjà eu des soucis (ou que tu connais quelqu'un qui en a eu) ?
Je suis admin réseau : c'est une contrainte que je me suis imposée. Je n'ai jamais eu de problème dans ce domaine, mais autant compliquer la vie autant que possible aux petits pirates, aux cousins, neuves, femme et autres personnes qui voudraient se connecter avec mon compte
Pour ce qui est des sessions Windows, c'est aussi une solution pour limiter le risque viral (genre les mots de passe administrateur tout blanc ou tout basique). Même si aujourd'hui les virus ils ont d'autres moyens de s'installer.
non, mais je n’ai rien de sensible (pas de possibilité de versement en ligne…)
au pire on consulte mes mail à mon insu, sachant que j’ai un mot de passe pour les sites habituel, et un que j’utilise plus rarement, un peu plus dur à craquer, pour le site ou ça m’embêterai un peu plus.
thespios dit:Pour ce qui est du changement des mots de passe Monsieur Artemix ca a son importance : trop de personne donne leur mot de passe aux collègues ! Sauf que je jour où un collègue se barre, bah l'admin il vérouille son compte mais pas le tiens (normal toi tu travailles encore), du coup paf le gentil collègue bah il peut se connecter à distance et foutre le bordel avec ton compte.
Si un ancien collègue veut foutre le bordel avec mon compte, je suis prêt à lui écrire mon mot de passe sur un papier pour pas qu'il l'oublie en chemin !!!
Et puis, de toutes façons, ça sera moi le prochain à partir !
j’ai pris un moment donné dans ma vie, un mot que j’ai lu/vu et qui n’est pas lié à mes goûts.
exemple : passer devant un magasin de hi-fi, voir le mot magnetoscope.
je remplace une partie du mot, lui ajoute des chiffres et il devient un mot clef. ex : totoscope41.
ainsi, ça n’a aucun rapport avec moi (la majorité des mots de passe sont liés à l’individu qui les créé genre date de naissance, nom de son perso favori dans un jeu etc…) et ça respecte quelques élements de base pour sécuriser.
Maintenant, je ne peux mémoriser un mot de passe pour chaque nécessaire, du coup je réutilise des mots de passe anodins pour des utilisations anodines (boîtes mail secondaires, comptes pour des jeux…) mais je fais le maxi pour varier les mots de passe importants.
J’ai les mêmes mots de passe depuis le début…
soit environ 10 ans…
m’en fiche, c’est pas que j’ai rien à cacher, mais ma vie de fourmi elle est forcément aussi interessante que les autres fourmis d’a côté, alors j’ai vraiment pas peur !! 
par contre je comprend mieux les doutes qu’on peut avoir quand on travail en tant qu’ingénieur sur des réseaux particuliers…
j’ai un mot de passe bidon pour les trucs en ligne non sécurisés; un plus sérieux, probablement plus costaud (plus de 10 lettres et chiffres) pour les trucs persos auxquels je tiens. Et pour le boulot changement toutes les huit semaines, sécu oblige.
Aucun n’est en francais ni dans une langue répandue, déjà ca casse les attaques types dictionnaires. Pas imparable, mais ca prend plus de temps pour les trouver, ce qui est le but du jeu.
Suffisament long, lettres, chiffres, caractères spéciaux et même code ASCII, renouvelés environ chaque semaine mais jamais le même jour en veillant à ce que les 10 derniers n’aient aucun rapport entre-eux. Aucun post-it nulle part, pas de rappel dans le téléphone, dans l’agenda ou ailleurs et surtout qui donnent un “mot” qui n’est qu’une suite de caractère sans aucune signification dans aucune langue pour éviter d’emblée les dictionnaires. Et surtout je ne donne JAMAIS mon mot de passe même en cas de besoin urgent d’personne de confiance.
Sinon en vrai ça dépend des utilisations et ça va du très simple quine change jamais au très complexe que j’essaye de modifier de temps en temps.
+
@Piesstou : tu fais comment pour les memoriser (avec les codes ascii notamment) ?
@Rody : si tu es celebre, lis cette histoire 
linkin park. Bon ok, il avait vraiment un password de film hollywoodien.
A
moi je change jamais non plus, j’ai des mot de passes bidons pour des choses que je trouve sans importance.Pour d’autre j’essaie d’avoir des mot de passes plus complexe mais en gros j’ai pas vraiment peur, j’ai souvent des copies des choses importantes que je veux gardé.
Je change pas (sauf banque) mais j’en ai plein de différent, quasiment pas deux pareils.
me suis fais pirater en octobre dernier, ai tout changé pour la première fois.
le nouveau mot de passe est assez balaise, j’ai eu du mal à l’apprendre par cœur 
je met mon numéro de carte banquaire partout, comme ça, j’en ai vraiment qu’un seul 
.
Sinon, j’en ai 4 ;
- un pour le boulot
- 1 pour l’administration de mon site
- 1 pour la banque parce qu’il faut du numérique
- 1 pour le reste du monde !
seul celu de la banque change de temps en temps (et celui du boulot quand on me force à le changer tous les 4 mois… grrrr)
Blue dit:- 1 pour la banque parce qu'il faut du numérique
Oui, d'ailleurs pourquoi est-il composé de chiffres uniquement (le mien aussi) ?
Rody dit:moi, c'est parce que je peux les contacter par téléphone, et qu'il faut utiliser le même mot de passe !Blue dit:- 1 pour la banque parce qu'il faut du numérique
Oui, d'ailleurs pourquoi est-il composé de chiffres uniquement (le mien aussi) ?
Moi je suis pas du tout parano : j’ai 3 ou 4 différents mots de passe, de la série alphanumérique complexe au code de 4 chiffres, mais je l’ai change jamais… parce que 1) pour un pirate qui “craque” vraiment ton compte, peu importe que ton mot de passe change toutes les semaines ou pas, 2) pour un petit malin qui arrive à récupérer mon mot de passe sur un site pour l’utiliser sur un autre, peu importe que je le change régulièrement, il faudrait que j’en utilise un différent pour chaque site et ça ya pas moyen, 3) la probabilité que quelqu’un perde son temps à usurper mon identité est somme toute assez infime, et enfin 4) même si il y parvient, je vais pas mourrir si quelqu’un raconte des conneries sous mon pseudo ici même… En plus pour les opérations vraiment importantes, la plupart du temps une confirmation email est nécessaire, et il y a souvent moyen de faire une réclamation pour piratage après coup (sur eBay par exemple…). Donc au final, je considère que je préfère prendre un risque à mon avis insignifiant (les probabilités sont quand même minimes) et limité (au pire ça me coûte quoi ? 6h de mon temps ? 100€ ?) plutôt que de passer systématiquement 3h par mois à m’occuper de ça, plus le temps que je perdrais à retrouver mes mots de passe…
PS : je précise que je fais une exception pour les mots de passe de mes comptes bancaires, puisque là, effectivement, il y a un risque nettement plus grave (même si à ma banque les virements en ligne sont protégés par un tableau de codes imprimé pour de vrai…)