Votre compte est PERSONNEL. Vous êtes prié de ne jamais
laisser quiconque d'autre que vous-même y accéder. Cela est dans votre
intérêt. Évitez de même d'entrer le mot de passe en présence
d'autres personnes. Ne laissez jamais un terminal non bloqué (utilisez
l'option LOCK SCREEN de
screen (voir section screen_cmd) ou la commande
xlock sur terminal X11 (voir section systeme_x11)).
N'écrivez pas votre mot de passe sur une feuille de papier. N'utilisez
surtout pas votre mot de passe sur d'autres systèmes, particulièrement
sur des BBS ou des jeux. Il va sans dire que le respect des
consignes indiquées à la section ![[*]](crossref.png)
ainsi que celles
de votre administrateur système est essentiel.
Sous UNIX, il est impossible à l'opérateur de connaître, à partir de la version codée de votre mot de passe, le mot de passe en clair: le système d'exploitation stocke les mots de passe dans un fichier nommé en général /etc/passwd. Parfois, et c'est de plus en plus le cas sur les systèmes modernes, même les mots de passe cryptés ne sont pas visibles aux utilisateurs normaux (shadow passwords). Même en possédant les mots de passe cryptés, le décodage peut prendre un certain temps pour des mots de passe bien choisis et si ceux-ci sont changés souvent, le risque est très faible. Par contre si les mots de passe encryptés sont visibles pour tous et que les mots de passe sont des mots dérivés du dictionnaire, le décryptage se fera en quelques heures !
La fonction système qui crypte les mots de passe est basée sur une version modifiée de DES. L'utilisateur entre son mot de passe qui est utilisé comme clé pour crypter un bloc de 64 bits de zéros. Les sept premiers bits de chaque caractère sont extraits pour former 56 bits (d'où la limitation à 8 caractères du mot de passe). Les autres 8 bits sont utilisés comme parité. La table de chiffrement de DES est ensuite perturbée par une graine aléatoire qui sera stockée dans les deux premiers caractères du mot de passe crypté (son but est de générer deux chaînes différentes même si deux utilisateurs ont le même mot de passe, afin d'augmenter l'espace de recherche). Ensuite, on appelle 25 fois DES. Le résultat est ensuite converti en une suite de caractères. Cette fonction est similaire à une fonction de hachage et n'a pas d'inverse. On peut évidemment parcourir tout l'espace de recherche, ce qui est très long, ou se borner à des dictionnaires et à des règles, comme le logiciel crack, ce qui ne sert à rien si les mots de passe sont bien choisis. L'idéal est bien sûr de cacher également les mots de passe cryptés.
Ceci n'empêche nullement un programme simulant une connexion erronée ou un trojan horse de vous faire entrer le mot de passe en clair, ou plus simplement que vous entriez votre mot de passe sur un système où le mot de passe est visible de l'opérateur, ce qui est le cas pour presque tous les BBS. N'oubliez pas, de plus, que la transmission de votre mot de passe sur un réseau peut le faire intercepter (sauf si celui-ci utilise Kerberos ou Secure-RPC). C'est le cas pour Internet en général (voir section internet_securite). De plus, l'utilisation d'un système de fenêtrage comme X11 sans sécurité élémentaire peut poser certains risques, en particulier depuis les terminaux X (voir section x11_securite).