Depuis quelques années, le vol de mot de passe est devenu une industrie. Pour lutter contre le piratage que cela induit, de grands acteurs d’Internet (Google, GitHub…) incitent à utiliser une double authentification : mot de passe classique plus un code temporaire, envoyé par SMS ou généré par une application. Voici comment faire la même chose sur vos machines.
1. Les problèmes posés par les mots de passe classiques
Les mots de passe existent sous Unix/Linux depuis 50 ans, mais ils posent des problèmes. Tout d’abord, les premiers protocoles réseaux (Telnet, FTP, HTTP, POP3, IMAP…) ne sont pas chiffrés : les mots de passe sont donc accessibles à un attaquant qui écoute le réseau. La solution est d’utiliser si possible des protocoles chiffrés (SSH, HTTPS, IMAPS), mais ce n’est pas toujours possible. Ensuite, pour contrer les attaques par force brute, il est devenu nécessaire, avec l’augmentation de la puissance des ordinateurs, d’utiliser des mots de passe de plus en plus longs, donc difficiles à mémoriser et fastidieux à taper. À cause de cette complexité, certains utilisateurs les réutilisent sur plusieurs sites, ce qui est une mauvaise pratique.
La question du remplacement des mots de passe revient donc régulièrement dans la presse informatique (par exemple [silicon]), et les solutions…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première