SlideShare uma empresa Scribd logo

Mots de passe : Protégez-les, gérez-les, oubliez-les !

Transferir como PPTX, PDF
S
SpikeeLabs

Ne laissez pas le manque d'information vous mettre en danger ! Découvrez pourquoi la sensibilisation aux mots de passe est cruciale pour votre sécurité en ligne et comment vous pouvez prendre le contrôle de votre vie numérique dès aujourd'hui. Dans la présentation on aborde en particulier les notions suivantes : - Quelques dangers autour du mot de passe - Les bonnes pratiques sur les mots de passe - Les bienfaits d’un gestionnaire de mots de passe - Focus sur le gestionnaire de mots de passe « KeePass »

Engenharia
1 de 29
MOTS DE PASSE : PROTÉGEZ-LES, GÉREZ-LES, OUBLIEZ-LES !
Introduction Les dangers autour du mot de passe Quelles sont les bonnes pratiques ? Qu’est-ce qu’un gestionnaire de mots de passe et pourquoi l’utiliser ? Présentation de quelques gestionnaires Focus sur KeePass & ses plugins SOMMAIRE
1 INTRODUCTION
Ne laissez pas le manque d'information vous mettre en danger ! Découvrez pourquoi la sensibilisation aux mots de passe est cruciale pour votre sécurité en ligne et comment vous pouvez prendre le contrôle de votre vie numérique dès aujourd'hui. Constat : Manque d’information et de sensibilisation sur l’importance de disposer de mots de passe sécurisés Quelques chiffres de la part de Google sur les américains : 40% ont leurs données personnelles compromises en ligne 47% ont perdu de l’argent 80 % des violations liées au piratage informatique sont liées à un mot de passe volé INTRODUCTION
2 LES DANGERS AUTOUR DU MOT DE PASSE
Fuite de mots de passe : Exemples : 2022 McDonald’s : vol des points de fidélité des comptes hackés à la suite d’une fuite sur une base de données (Combolist leak). 2021 LinkedIn : Fuite de données de plus de 500 millions d'utilisateurs, y compris les noms, adresses e-mail, numéros de téléphone et données professionnelles. 2019 Facebook : Fuite de données de centaines de millions de mots de passe stockés en texte brut sur les serveurs de l'entreprise. 2016 Dropbox : Fuite de données de 68 millions de comptes d'utilisateurs, y compris les noms, adresses e-mail et les mots de passe chiffrés Conséquences : Accès à la ressource voulue Possibilité pour le hacker d’accéder à d’autres comptes si l’identifiant et mot de passe sont identiques sur un autre site. Le hacker pourrait avoir accès aux liens de réinitialisation de tous les comptes associés à l’adresse mail, si les informations d’authentification sont les mêmes ! Pour vérifier si un compte associé à un email a été victime d’une fuite : https://haveibeenpwned.com/ LES DANGERS AUTOUR DU MOT DE PASSE
Attaque par force brute : L’attaque teste toutes les combinaisons possibles, très efficace contre les mots de passe faible, elle peut prendre du temps contre les mots de passe plus complexes et inefficace face à une authentification double facteurs. Nombres + Majuscules + Minuscules + Caractères spéciaux : Formule de calcul pour le : (10 + 26 +26 +32)^nombre de caractères = nombre de possibilités LES DANGERS AUTOUR DU MOT DE PASSE
Attaque par dictionnaire : L’attaque teste toutes les combinaisons possibles comme pour l’attaque de la force brute mais à partir d’une liste de mots et/ou chiffres couramment utilisés et/ou d’une détermination d’un ensemble d’informations personnelles. Il s’agit d’un raccourci pris par les hackers mais le résultat n’est pas garanti à 100% comme pour l’attaque précédente. Mots de passe courants : (123456,123456789, 111111, password, azerty, …) Mots de passe plus ciblés avec des informations personnelles : nom, prénom, date de naissance, adresse ou des mots clés liés à ses intérêts et ses hobbies. Exemple: LES DANGERS AUTOUR DU MOT DE PASSE A l'attaque !
Intrusions : Logiciel : Mot de passe simple à deviner (date de naissance, nom, prénom, ville, etc…) Récupération d’un fichier avec des mots de passe en clair Mots de passe enregistrés dans le navigateur sans mot de passe maître pour y accéder (WebBrowserPassView) … Physique: PC non verrouillé : installation logiciel malveillant, accès aux données et au croissantage Pense-bête/cahier avec informations confidentielles (clean desk policy) … LES DANGERS AUTOUR DU MOT DE PASSE
3 QUELLES SONT LES BONNES PRATIQUES ?
BONNES PRATIQUES
4 QU’EST-CE QU’UN GESTIONNAIRE DE MOTS DE PASSE ET POURQUOI L’UTILISER ?
Qu’est-ce qu’un gestionnaire de mots de passe ? Un programme qui stocke vos identifiants et vos mots de passe de vos comptes en sécurité dans une boîte verrouillée par un mot de passe Il rend vos comptes plus sûrs avec des mots de passe forts Pourquoi l’utiliser ? Plus besoin de retenir ses mots de passe (sauf celui du pc, boîte mail principale et celui du gestionnaire) Utilisation de mots de passe différents pour chaque compte Synchronisation entre différents appareils Génération automatique de mots de passe Vérification de la sécurité de vos mots de passe existants QU’EST-CE QU’UN GESTIONNAIRE DE MOTS DE PASSE ET POURQUOI L’UTILISER ?
5 PRÉSENTATION DE QUELQUES GESTIONNAIRES
PRÉSENTATION DE QUELQUES GESTIONNAIRES Gestionnaires Avantages Inconvénients LastPass Multi navigateurs + appareils Problèmes de sécurité Dashlane Surveillance du dark web pour informations d'identification volées Des fonctionnalités disponibles uniquement sur plan premium + Coûteux en premium 1Password Authentification à 2 facteurs Temps d’apprentissage de toutes les fonctionnalités Bitwarden Facile à utiliser + sécurité robuste Des fonctionnalités disponibles uniquement sur plan premium RoboForm Données hautement sécurisées + stockage en ligne Des fonctionnalités disponibles uniquement sur plan premium Sticky Password Multi plateformes + facile à utiliser Des fonctionnalités disponibles uniquement sur plan premium Enpass Authentification à 2 facteurs L’interface Norton Password Manager Authentification biométrique + stockage cloud Nécessite une suite de sécurité Norton pour l'utiliser
AVANTAGES & INCONVÉNIENTS DE KEEPASS Avantages Inconvénients Sécurisé : algorithme de chiffrement avancé pour protéger la base de données La courbe d’apprentissage pour une personne non familière avec les gestionnaires de mots de passe Gratuit et open-source Risque de perte de la base de données (si elle est stockée en locale) Portabilité : Windows, macOs, Linux, Android, IOS. La synchronisation avec l’utilisation de plusieurs appareils La gestion des mots de passe est simple et fonctionnelle : génération de mots de passe aléatoires, possibilité de catégoriser et d’ajouter des notes. Le design Personnalisable : possibilité d’ajouter des plugins et extensions
6 FOCUS SUR KEEPASS & SES PLUGINS
KEEPASS
KEEPASS
KEEPASS
KEEPASS
KEEPASS Raccourcis autotype: Global autotype: Ctrl+Alt+A Password seulement: Ctrl+Alt+Shift+A
Installation : URL des plugins : https://keepass.info/plugins.html PLUGINS PC : C:Program FilesKeePass Password Safe 2Plugins
AutoTypeSearch : Permet d’effectuer une recherche sur une entrée dans la base de données (s’il ne trouve pas une entrée possédant le même titre que le titre de la page web courante suite à un autotype). PLUGINS
KeePassOTP : Permet de gérer les authentifications OTP (One Time Password) en créant une nouvelle authentification sécurisée par un mot de passe dans votre base actuelle. PLUGINS
PLUGINS KeePassOTP:
URL in Title Bar : Fonctionne uniquement avec les navigateurs Mozilla, Chrome, Opera. Permet d’ajouter une URL au titre de la page web. Peut-être utile quand on change d’environnement sur un même site PLUGINS Exemple avec un ajout d’URL:
PETIT TIPS DE L’ÉQUIPE LABS Comment se partage-t-on un mot de passe chez Spikee ? https://privatebin.spikeelabs.fr/
Straight to the point www.spikeelabs.fr

Recomendados

Introduction au Phishing
Introduction au PhishingIntroduction au Phishing
Introduction au PhishingClub Scientifique de l'ESI - CSE
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Guide to MFA
Guide to MFAGuide to MFA
Guide to MFAJack Forbes
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des donnéesMicrosoft Technet France
 
Phising a Threat to Network Security
Phising a Threat to Network SecurityPhising a Threat to Network Security
Phising a Threat to Network Securityanjuselina
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésNRC
 
Passwordless auth
Passwordless authPasswordless auth
Passwordless authLesha Bhansali
 
Lesson 3
Lesson 3Lesson 3
Lesson 3MLG College of Learning, Inc
 

Recomendados

Introduction au Phishing
Introduction au PhishingIntroduction au Phishing
Introduction au PhishingClub Scientifique de l'ESI - CSE
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Guide to MFA
Guide to MFAGuide to MFA
Guide to MFAJack Forbes
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des donnéesMicrosoft Technet France
 
Phising a Threat to Network Security
Phising a Threat to Network SecurityPhising a Threat to Network Security
Phising a Threat to Network Securityanjuselina
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésNRC
 
Passwordless auth
Passwordless authPasswordless auth
Passwordless authLesha Bhansali
 
Lesson 3
Lesson 3Lesson 3
Lesson 3MLG College of Learning, Inc
 
Cyber Security
Cyber SecurityCyber Security
Cyber SecurityHome
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiquesAmadou Dary diallo
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
P H I S H I N G
P H I S H I N GP H I S H I N G
P H I S H I N Gbensonoo
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
What is Phishing? Phishing Attack Explained | Edureka
What is Phishing? Phishing Attack Explained | EdurekaWhat is Phishing? Phishing Attack Explained | Edureka
What is Phishing? Phishing Attack Explained | EdurekaEdureka!
 
IT Security Awareness-v1.7.ppt
IT Security Awareness-v1.7.pptIT Security Awareness-v1.7.ppt
IT Security Awareness-v1.7.pptOoXair
 
Introduction to cybercrime
Introduction to cybercrimeIntroduction to cybercrime
Introduction to cybercrimepatelripal99
 
Algorithme
AlgorithmeAlgorithme
Algorithmeyounes ADIL
 
Zero trust deck 2020
Zero trust deck 2020Zero trust deck 2020
Zero trust deck 2020Guido Marchetti
 
Information security awareness - 101
Information security awareness - 101Information security awareness - 101
Information security awareness - 101mateenzero
 
Password management
Password managementPassword management
Password managementWilmington University
 
Cyber crime
Cyber crimeCyber crime
Cyber crimeSanket Gogoi
 
3d authentication
3d authentication3d authentication
3d authenticationsudheerpothu
 
Cyber Security Awareness Training by Win-Pro
Cyber Security Awareness Training by Win-ProCyber Security Awareness Training by Win-Pro
Cyber Security Awareness Training by Win-ProRonald Soh
 
Botnets
BotnetsBotnets
BotnetsKavisha Miyan
 
Il phishing
Il phishingIl phishing
Il phishingmartinaoro
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
MOTS DE PASSE
MOTS DE PASSEMOTS DE PASSE
MOTS DE PASSEbibliothequetoulouse
 
L’hygiène informatique des réseaux sociaux : bilan catastrophique
L’hygiène informatique des réseaux sociaux : bilan catastrophiqueL’hygiène informatique des réseaux sociaux : bilan catastrophique
L’hygiène informatique des réseaux sociaux : bilan catastrophiqueITrust - Cybersecurity as a Service
 

Mais conteúdo relacionado

Mais procurados

Cyber Security
Cyber SecurityCyber Security
Cyber SecurityHome
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
P H I S H I N G
P H I S H I N GP H I S H I N G
P H I S H I N Gbensonoo
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
What is Phishing? Phishing Attack Explained | Edureka
What is Phishing? Phishing Attack Explained | EdurekaWhat is Phishing? Phishing Attack Explained | Edureka
What is Phishing? Phishing Attack Explained | EdurekaEdureka!
 
IT Security Awareness-v1.7.ppt
IT Security Awareness-v1.7.pptIT Security Awareness-v1.7.ppt
IT Security Awareness-v1.7.pptOoXair
 
Introduction to cybercrime
Introduction to cybercrimeIntroduction to cybercrime
Introduction to cybercrimepatelripal99
 
Information security awareness - 101
Information security awareness - 101Information security awareness - 101
Information security awareness - 101mateenzero
 
Cyber Security Awareness Training by Win-Pro
Cyber Security Awareness Training by Win-ProCyber Security Awareness Training by Win-Pro
Cyber Security Awareness Training by Win-ProRonald Soh
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 

Mais procurados (20)

Cyber Security
Cyber SecurityCyber Security
Cyber Security
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
 
P H I S H I N G
P H I S H I N GP H I S H I N G
P H I S H I N G
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
What is Phishing? Phishing Attack Explained | Edureka
What is Phishing? Phishing Attack Explained | EdurekaWhat is Phishing? Phishing Attack Explained | Edureka
What is Phishing? Phishing Attack Explained | Edureka
 
IT Security Awareness-v1.7.ppt
IT Security Awareness-v1.7.pptIT Security Awareness-v1.7.ppt
IT Security Awareness-v1.7.ppt
 
Introduction to cybercrime
Introduction to cybercrimeIntroduction to cybercrime
Introduction to cybercrime
 
Algorithme
AlgorithmeAlgorithme
Algorithme
 
Zero trust deck 2020
Zero trust deck 2020Zero trust deck 2020
Zero trust deck 2020
 
Information security awareness - 101
Information security awareness - 101Information security awareness - 101
Information security awareness - 101
 
Password management
Password managementPassword management
Password management
 
Cyber crime
Cyber crimeCyber crime
Cyber crime
 
3d authentication
3d authentication3d authentication
3d authentication
 
Cyber Security Awareness Training by Win-Pro
Cyber Security Awareness Training by Win-ProCyber Security Awareness Training by Win-Pro
Cyber Security Awareness Training by Win-Pro
 
Botnets
BotnetsBotnets
Botnets
 
Il phishing
Il phishingIl phishing
Il phishing
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 

Semelhante a Mots de passe : Protégez-les, gérez-les, oubliez-les !

L’hygiène informatique des réseaux sociaux : bilan catastrophique
L’hygiène informatique des réseaux sociaux : bilan catastrophiqueL’hygiène informatique des réseaux sociaux : bilan catastrophique
L’hygiène informatique des réseaux sociaux : bilan catastrophiqueITrust - Cybersecurity as a Service
 
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...Nis
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...SOCIALware Benelux
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Quand on change de code, on prévient !(1)
Quand on change de code, on prévient !(1)Quand on change de code, on prévient !(1)
Quand on change de code, on prévient !(1)Guillaume Renaudin
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritépolenumerique33
 
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Microsoft
 
Api - mix it 2013
Api - mix it 2013Api - mix it 2013
Api - mix it 2013Eric D.
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteNis
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
Webinaire : sécurité informatique sur le web - Jérôme Thémée
Webinaire : sécurité informatique sur le web - Jérôme ThéméeWebinaire : sécurité informatique sur le web - Jérôme Thémée
Webinaire : sécurité informatique sur le web - Jérôme ThéméeMarie Tapia
 
Techdays 2010 : comment hacker PHP sans se fatiguer
Techdays 2010 : comment hacker PHP sans se fatiguerTechdays 2010 : comment hacker PHP sans se fatiguer
Techdays 2010 : comment hacker PHP sans se fatiguerDamien Seguy
 
Epitech securite-2012.key
Epitech securite-2012.keyEpitech securite-2012.key
Epitech securite-2012.keyDamien Seguy
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications webMarcel TCHOULEGHEU
 

Semelhante a Mots de passe : Protégez-les, gérez-les, oubliez-les ! (20)

MOTS DE PASSE
MOTS DE PASSEMOTS DE PASSE
MOTS DE PASSE
 
L’hygiène informatique des réseaux sociaux : bilan catastrophique
L’hygiène informatique des réseaux sociaux : bilan catastrophiqueL’hygiène informatique des réseaux sociaux : bilan catastrophique
L’hygiène informatique des réseaux sociaux : bilan catastrophique
 
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
Quand on change de code, on prévient !(1)
Quand on change de code, on prévient !(1)Quand on change de code, on prévient !(1)
Quand on change de code, on prévient !(1)
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
 
Api - mix it 2013
Api - mix it 2013Api - mix it 2013
Api - mix it 2013
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
 
Securité web
Securité webSecurité web
Securité web
 
Webinaire : sécurité informatique sur le web - Jérôme Thémée
Webinaire : sécurité informatique sur le web - Jérôme ThéméeWebinaire : sécurité informatique sur le web - Jérôme Thémée
Webinaire : sécurité informatique sur le web - Jérôme Thémée
 
Logiciel Malveillant Et Le Virus
Logiciel Malveillant Et Le VirusLogiciel Malveillant Et Le Virus
Logiciel Malveillant Et Le Virus
 
Techdays 2010 : comment hacker PHP sans se fatiguer
Techdays 2010 : comment hacker PHP sans se fatiguerTechdays 2010 : comment hacker PHP sans se fatiguer
Techdays 2010 : comment hacker PHP sans se fatiguer
 
Epitech securite-2012.key
Epitech securite-2012.keyEpitech securite-2012.key
Epitech securite-2012.key
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications web
 
Présentation "Bonnes pratiques de sécurité sur le web"
Présentation "Bonnes pratiques de sécurité sur le web"Présentation "Bonnes pratiques de sécurité sur le web"
Présentation "Bonnes pratiques de sécurité sur le web"
 

Mais de SpikeeLabs

VDLT - Retour DevFest 2023
VDLT - Retour DevFest 2023VDLT - Retour DevFest 2023
VDLT - Retour DevFest 2023SpikeeLabs
 
Novu _ La cloche de l'intranet va enfin faire _Dring🔔
Novu _ La cloche de l'intranet va enfin faire _Dring🔔Novu _ La cloche de l'intranet va enfin faire _Dring🔔
Novu _ La cloche de l'intranet va enfin faire _Dring🔔SpikeeLabs
 
Power BI _ La data n'a plus de secret pour vous
Power BI _ La data n'a plus de secret pour vousPower BI _ La data n'a plus de secret pour vous
Power BI _ La data n'a plus de secret pour vousSpikeeLabs
 
Retour BreizhCamp 2023
Retour BreizhCamp 2023 Retour BreizhCamp 2023
Retour BreizhCamp 2023 SpikeeLabs
 
Domain_Driven_Design
Domain_Driven_DesignDomain_Driven_Design
Domain_Driven_DesignSpikeeLabs
 
Retour sur les conférences du DevFest de Nantes 2022
Retour sur les conférences du DevFest de Nantes 2022Retour sur les conférences du DevFest de Nantes 2022
Retour sur les conférences du DevFest de Nantes 2022SpikeeLabs
 
Industrialisation du processus de livraison et pratiques DevOps avec Kubernet...
Industrialisation du processus de livraison et pratiques DevOps avec Kubernet...Industrialisation du processus de livraison et pratiques DevOps avec Kubernet...
Industrialisation du processus de livraison et pratiques DevOps avec Kubernet...SpikeeLabs
 
BreizhCamp 2022
BreizhCamp 2022BreizhCamp 2022
BreizhCamp 2022SpikeeLabs
 
Méthodologie de tests et qualité
Méthodologie de tests et qualitéMéthodologie de tests et qualité
Méthodologie de tests et qualitéSpikeeLabs
 
Salesforce : les pouvoirs d’un empire
Salesforce : les pouvoirs d’un empireSalesforce : les pouvoirs d’un empire
Salesforce : les pouvoirs d’un empireSpikeeLabs
 
Windows ou Linux : il faut choisir... ou pas !
Windows ou Linux : il faut choisir... ou pas !Windows ou Linux : il faut choisir... ou pas !
Windows ou Linux : il faut choisir... ou pas !SpikeeLabs
 
9 choses que vous ignorez sur Alice et Bob
9 choses que vous ignorez sur Alice et Bob9 choses que vous ignorez sur Alice et Bob
9 choses que vous ignorez sur Alice et BobSpikeeLabs
 
Kit de survie en Production
Kit de survie en ProductionKit de survie en Production
Kit de survie en ProductionSpikeeLabs
 
Déploiement Kubernetes
Déploiement KubernetesDéploiement Kubernetes
Déploiement KubernetesSpikeeLabs
 
Le design d'API avec Mulesoft
Le design d'API avec MulesoftLe design d'API avec Mulesoft
Le design d'API avec MulesoftSpikeeLabs
 

Mais de SpikeeLabs (16)

VDLT - Retour DevFest 2023
VDLT - Retour DevFest 2023VDLT - Retour DevFest 2023
VDLT - Retour DevFest 2023
 
Novu _ La cloche de l'intranet va enfin faire _Dring🔔
Novu _ La cloche de l'intranet va enfin faire _Dring🔔Novu _ La cloche de l'intranet va enfin faire _Dring🔔
Novu _ La cloche de l'intranet va enfin faire _Dring🔔
 
Power BI _ La data n'a plus de secret pour vous
Power BI _ La data n'a plus de secret pour vousPower BI _ La data n'a plus de secret pour vous
Power BI _ La data n'a plus de secret pour vous
 
Retour BreizhCamp 2023
Retour BreizhCamp 2023 Retour BreizhCamp 2023
Retour BreizhCamp 2023
 
DesignSystem
DesignSystemDesignSystem
DesignSystem
 
Domain_Driven_Design
Domain_Driven_DesignDomain_Driven_Design
Domain_Driven_Design
 
Retour sur les conférences du DevFest de Nantes 2022
Retour sur les conférences du DevFest de Nantes 2022Retour sur les conférences du DevFest de Nantes 2022
Retour sur les conférences du DevFest de Nantes 2022
 
Industrialisation du processus de livraison et pratiques DevOps avec Kubernet...
Industrialisation du processus de livraison et pratiques DevOps avec Kubernet...Industrialisation du processus de livraison et pratiques DevOps avec Kubernet...
Industrialisation du processus de livraison et pratiques DevOps avec Kubernet...
 
BreizhCamp 2022
BreizhCamp 2022BreizhCamp 2022
BreizhCamp 2022
 
Méthodologie de tests et qualité
Méthodologie de tests et qualitéMéthodologie de tests et qualité
Méthodologie de tests et qualité
 
Salesforce : les pouvoirs d’un empire
Salesforce : les pouvoirs d’un empireSalesforce : les pouvoirs d’un empire
Salesforce : les pouvoirs d’un empire
 
Windows ou Linux : il faut choisir... ou pas !
Windows ou Linux : il faut choisir... ou pas !Windows ou Linux : il faut choisir... ou pas !
Windows ou Linux : il faut choisir... ou pas !
 
9 choses que vous ignorez sur Alice et Bob
9 choses que vous ignorez sur Alice et Bob9 choses que vous ignorez sur Alice et Bob
9 choses que vous ignorez sur Alice et Bob
 
Kit de survie en Production
Kit de survie en ProductionKit de survie en Production
Kit de survie en Production
 
Déploiement Kubernetes
Déploiement KubernetesDéploiement Kubernetes
Déploiement Kubernetes
 
Le design d'API avec Mulesoft
Le design d'API avec MulesoftLe design d'API avec Mulesoft
Le design d'API avec Mulesoft
 

Mots de passe : Protégez-les, gérez-les, oubliez-les !

  • 1. MOTS DE PASSE : PROTÉGEZ-LES, GÉREZ-LES, OUBLIEZ-LES !
  • 2. Introduction Les dangers autour du mot de passe Quelles sont les bonnes pratiques ? Qu’est-ce qu’un gestionnaire de mots de passe et pourquoi l’utiliser ? Présentation de quelques gestionnaires Focus sur KeePass & ses plugins SOMMAIRE
  • 4. Ne laissez pas le manque d'information vous mettre en danger ! Découvrez pourquoi la sensibilisation aux mots de passe est cruciale pour votre sécurité en ligne et comment vous pouvez prendre le contrôle de votre vie numérique dès aujourd'hui. Constat : Manque d’information et de sensibilisation sur l’importance de disposer de mots de passe sécurisés Quelques chiffres de la part de Google sur les américains : 40% ont leurs données personnelles compromises en ligne 47% ont perdu de l’argent 80 % des violations liées au piratage informatique sont liées à un mot de passe volé INTRODUCTION
  • 5. 2 LES DANGERS AUTOUR DU MOT DE PASSE
  • 6. Fuite de mots de passe : Exemples : 2022 McDonald’s : vol des points de fidélité des comptes hackés à la suite d’une fuite sur une base de données (Combolist leak). 2021 LinkedIn : Fuite de données de plus de 500 millions d'utilisateurs, y compris les noms, adresses e-mail, numéros de téléphone et données professionnelles. 2019 Facebook : Fuite de données de centaines de millions de mots de passe stockés en texte brut sur les serveurs de l'entreprise. 2016 Dropbox : Fuite de données de 68 millions de comptes d'utilisateurs, y compris les noms, adresses e-mail et les mots de passe chiffrés Conséquences : Accès à la ressource voulue Possibilité pour le hacker d’accéder à d’autres comptes si l’identifiant et mot de passe sont identiques sur un autre site. Le hacker pourrait avoir accès aux liens de réinitialisation de tous les comptes associés à l’adresse mail, si les informations d’authentification sont les mêmes ! Pour vérifier si un compte associé à un email a été victime d’une fuite : https://haveibeenpwned.com/ LES DANGERS AUTOUR DU MOT DE PASSE
  • 7. Attaque par force brute : L’attaque teste toutes les combinaisons possibles, très efficace contre les mots de passe faible, elle peut prendre du temps contre les mots de passe plus complexes et inefficace face à une authentification double facteurs. Nombres + Majuscules + Minuscules + Caractères spéciaux : Formule de calcul pour le : (10 + 26 +26 +32)^nombre de caractères = nombre de possibilités LES DANGERS AUTOUR DU MOT DE PASSE
  • 8. Attaque par dictionnaire : L’attaque teste toutes les combinaisons possibles comme pour l’attaque de la force brute mais à partir d’une liste de mots et/ou chiffres couramment utilisés et/ou d’une détermination d’un ensemble d’informations personnelles. Il s’agit d’un raccourci pris par les hackers mais le résultat n’est pas garanti à 100% comme pour l’attaque précédente. Mots de passe courants : (123456,123456789, 111111, password, azerty, …) Mots de passe plus ciblés avec des informations personnelles : nom, prénom, date de naissance, adresse ou des mots clés liés à ses intérêts et ses hobbies. Exemple: LES DANGERS AUTOUR DU MOT DE PASSE A l'attaque !
  • 9. Intrusions : Logiciel : Mot de passe simple à deviner (date de naissance, nom, prénom, ville, etc…) Récupération d’un fichier avec des mots de passe en clair Mots de passe enregistrés dans le navigateur sans mot de passe maître pour y accéder (WebBrowserPassView) … Physique: PC non verrouillé : installation logiciel malveillant, accès aux données et au croissantage Pense-bête/cahier avec informations confidentielles (clean desk policy) … LES DANGERS AUTOUR DU MOT DE PASSE
  • 12. 4 QU’EST-CE QU’UN GESTIONNAIRE DE MOTS DE PASSE ET POURQUOI L’UTILISER ?
  • 13. Qu’est-ce qu’un gestionnaire de mots de passe ? Un programme qui stocke vos identifiants et vos mots de passe de vos comptes en sécurité dans une boîte verrouillée par un mot de passe Il rend vos comptes plus sûrs avec des mots de passe forts Pourquoi l’utiliser ? Plus besoin de retenir ses mots de passe (sauf celui du pc, boîte mail principale et celui du gestionnaire) Utilisation de mots de passe différents pour chaque compte Synchronisation entre différents appareils Génération automatique de mots de passe Vérification de la sécurité de vos mots de passe existants QU’EST-CE QU’UN GESTIONNAIRE DE MOTS DE PASSE ET POURQUOI L’UTILISER ?
  • 15. PRÉSENTATION DE QUELQUES GESTIONNAIRES Gestionnaires Avantages Inconvénients LastPass Multi navigateurs + appareils Problèmes de sécurité Dashlane Surveillance du dark web pour informations d'identification volées Des fonctionnalités disponibles uniquement sur plan premium + Coûteux en premium 1Password Authentification à 2 facteurs Temps d’apprentissage de toutes les fonctionnalités Bitwarden Facile à utiliser + sécurité robuste Des fonctionnalités disponibles uniquement sur plan premium RoboForm Données hautement sécurisées + stockage en ligne Des fonctionnalités disponibles uniquement sur plan premium Sticky Password Multi plateformes + facile à utiliser Des fonctionnalités disponibles uniquement sur plan premium Enpass Authentification à 2 facteurs L’interface Norton Password Manager Authentification biométrique + stockage cloud Nécessite une suite de sécurité Norton pour l'utiliser
  • 16. AVANTAGES & INCONVÉNIENTS DE KEEPASS Avantages Inconvénients Sécurisé : algorithme de chiffrement avancé pour protéger la base de données La courbe d’apprentissage pour une personne non familière avec les gestionnaires de mots de passe Gratuit et open-source Risque de perte de la base de données (si elle est stockée en locale) Portabilité : Windows, macOs, Linux, Android, IOS. La synchronisation avec l’utilisation de plusieurs appareils La gestion des mots de passe est simple et fonctionnelle : génération de mots de passe aléatoires, possibilité de catégoriser et d’ajouter des notes. Le design Personnalisable : possibilité d’ajouter des plugins et extensions
  • 17. 6 FOCUS SUR KEEPASS & SES PLUGINS
  • 23. Installation : URL des plugins : https://keepass.info/plugins.html PLUGINS PC : C:Program FilesKeePass Password Safe 2Plugins
  • 24. AutoTypeSearch : Permet d’effectuer une recherche sur une entrée dans la base de données (s’il ne trouve pas une entrée possédant le même titre que le titre de la page web courante suite à un autotype). PLUGINS
  • 25. KeePassOTP : Permet de gérer les authentifications OTP (One Time Password) en créant une nouvelle authentification sécurisée par un mot de passe dans votre base actuelle. PLUGINS
  • 27. URL in Title Bar : Fonctionne uniquement avec les navigateurs Mozilla, Chrome, Opera. Permet d’ajouter une URL au titre de la page web. Peut-être utile quand on change d’environnement sur un même site PLUGINS Exemple avec un ajout d’URL:
  • 28. PETIT TIPS DE L’ÉQUIPE LABS Comment se partage-t-on un mot de passe chez Spikee ? https://privatebin.spikeelabs.fr/

Notas do Editor

  1. Dans cette présentation, nous allons voir certains dangers, aborder différentes méthodes pour protéger nos mots de passe, les bonnes pratiques de gestion des mots de passe