Choisir un bon mot de passe : les règles à connaître, les pièges à éviter

Choisir un bon mot de passe : les règles à connaître, les pièges à éviter

Non, ************ n'est pas une bonne idée

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

01/09/2016 19 minutes
186

Choisir un bon mot de passe : les règles à connaître, les pièges à éviter

Choisir un bon mot de passe n'est pas toujours simple, mais c'est un enjeu de sécurité toujours relativement important. Faut-il qu'il soit plutôt long ou qu'il contienne des caractères spéciaux ? Existe-t-il des techniques pour en générer qui soient facilement mémorisables ? Quelles sont les consignes à respecter ? On fait le point.

Au fil des mois, les annonces de fuites de données personnelles se multiplient, entrainant dans leur sillage les identifiants et mots de passe de millions d'utilisateurs. Il faut alors en changer.

Car la découverte d'un mot de passe peut vite faire boule de neige et avoir des conséquences importantes lorsqu'il s'agit du compte de messagerie ou que le mot de passe est utilisé sur différents sites. Le cas de Dropbox, dévoilé cette semaine, illustre d'ailleurs assez bien cette problématique dans un environnement professionnel.

Et bien que nombreux sont ceux qui cherchent à mettre à mort le mot de passe, en le remplaçant ou en le complétant par des liens générés à la demande ou de la biométrie, il est toujours là et devrait encore faire partie de notre quotidien pour de nombreuses années.

Se pose alors la question du choix d'un bon mot de passe et de l'hygiène numérique qui va avec. Nous avons décidé de nous pencher sur la question, de la création à la gestion de ces suites de caractères si importantes au sein d'un dossier qui sera diffusé tout au long du mois.

Un bon mot de passe, c'est quoi exactement ?

Avant d'étudier les différentes manières de choisir un mot de passe, il est important de définir ce que l'on appelle communément un bon mot de passe... et ce n'est pas chose aisée. Comme l'explique l'ANSSI, « en réalité, il n’existe pas de règle universelle » et de nombreux facteurs entrent en ligne de compte. 

Le premier d'entre eux est certainement « sa force », ce qui correspond à sa capacité à résister à une attaque par énumération de toutes les combinaisons possibles. Plus le mot de passe est long et avec des caractères spéciaux, plus le nombre de combinaisons grimpe. Pour un code PIN à quatre chiffres par exemple, il n'existe que 10 000 combinaisons (de 0000 à 9999), alors qu'il y a en a plus de 450 000 pour un mot de quatre lettres (26^4) et plus de 7 300 000 si on ajoute des majuscules (52^4).

Pour vous faire une petite idée de la résistance d'un mot de passe à une attaque par force brute, l'ANSSI propose un petit outil. Il vous donne la taille de la clé équivalente (en bits), ainsi qu'une grille de lecture permettant de le situer (de très faible à fort). Pour avoir une bonne résistance, l'ANSSI recommande d'utiliser un mot de passe d'au moins 16 caractères dans un alphabet de 90 symboles (lettres, chiffres et caractères spéciaux).

ANSSI Force mot de passeANSSI Force mot de passe

Maintenant que les bases théoriques sont posées, passons à la pratique. Comme nous l'avons déjà expliqué, il n'y a pas de méthode universelle, juste un peu de bon sens et quelques astuces qui peuvent s'avérer utiles.

Résister à une attaque par force brute est une chose, mais il faut aussi que le mot de passe ne soit pas sensible à une attaque par dictionnaire. Pour cela, il ne doit pas s'agir d'un mot usuel de votre langue (et de n'importe quelle langue d'ailleurs). Par exemple, « password » est à proscrire, tout comme « catapulte ». Il ne faut également pas utiliser une suite logique telle que « 123456789 », « azertyuiop », « azeqsd123456 », etc. 

Pour mieux cerner le problème, vous pouvez consulter la liste des pires mots de passe de l'année 2015 (Certains font d'ailleurs assez peur). Cette liste est basée sur les occurrences qui reviennent le plus souvent sur les bases de données qui ont fuité sur Internet, facilitant d'autant l'accès aux comptes des personnes concernées.

Sachez d'ailleurs que le site Have I Been Pwned permet de rechercher son identifiant/email dans les bases de données qui ont été publiées sur Internet. Le cas échéant, le site vous donne le service qui a laissé filtrer votre identifiant, la date à laquelle cela s'est passé et les autres données personnelles qui y étaient éventuellement associées.

Quelques recommandations à prendre en compte

Outre les éléments que nous venons d'évoquer, il y a tout un ensemble de règles qui peuvent être à prendre en compte dans la quête d'une bonne hygiène numérique :

  • Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts
  • Choisissez un mot de passe qui n’est pas lié à votre identité (nom de société, date de naissance, prénoms, etc.)
  • Ne donnez jamais à personne votre mot de passe, sous aucun prétexte
  • Ne tapez pas vos mots de passe sur une machine en laquelle vous n'avez pas totalement confiance
  • Ne stockez pas vos mots de passe en clair sur votre ordinateur ou sur un post-it
  • Ne vous envoyez pas vos mots de passe par email, SMS, pigeon voyageur, etc.
  • Changez immédiatement vos mots de passe à la moindre suspicion de fuite
  • Supprimez les emails de service qui envoient le mot de passe et/ou login lors de l'inscription 
  • Modifiez dès que possible les mots de passe par défaut de tous les systèmes/comptes
  • N'utilisez pas d'expression simple comme « motdepasse » et/ou des suites de chiffres et de lettres

Pour les données sensibles (banques, correspondances privées, médicales, etc.) l'ANSSI va plus loin et recommande également de configurer vos logiciels et navigateurs (voir cette actualité à ce sujet) pour qu'ils ne se souviennent pas de vos mots de passe et de les changer tous les 90 jours. La récente fuite chez Opera ne peut que lui donner raison, les navigateurs ne stockant pas toujours les mots de passe de manière chiffrée localement. 

Pour aller plus loin dans la sécurité informatique, sachez que l'ANSSI a publié l'année dernière un guide complet des bonnes pratiques à adopter.

Une simple phrase peut devenir un mot de passe compliqué

La CNIL recommande de son côté d'utiliser au minimum huit caractères et de piocher dans au moins trois types de symboles parmi les quatre existants : majuscules, minuscules, chiffres et caractères spéciaux. Pour d'autres, il est temps de passer à au moins dix caractères, tandis que l'ANSSI pousse jusqu'à 12 caractères, voire 16.

Mais comme nous l'avons déjà expliqué, la longueur d'un mot de passe ne fait pas tout et si c'est pour y coller « 123456789101112131415 » ou « aqwzsxedcrfvtgbyhn », cela ne sert à rien. La CNIL, rejointe par l'ANSSI et d'autres organisations, proposent des moyens mnémotechniques permettant de créer rapidement des mots de passe complexes à partir d'une phrase :

CNIL mot de passe

Vous pouvez évidemment adapter cette technique à votre sauce, avec vos propres règles. Il est d'ailleurs important de s'approprier une méthode unique et de ne pas reprendre celles que l'on peut trouver sur Internet sans aucun ajustement.

Poème, formule mathématique : le CERN déborde d'idées

Dans la même veine, le CERN explique que vous pouvez choisir quelques lignes d’une chanson ou d’un poème et utiliser la première lettre de chaque mot. Par exemple, « In Xanadu did Kubla Kahn a stately pleasure dome decree! » devient « IXdKKaspdd! ». Vous pouvez également utiliser une phrase de passe longue composée de l'ensemble des mots collés les uns aux autres. (InXanaduDidKublaKahnAStatelyPleasureDomeDecree!). Facile à retenir, avec une résistante importante et déclinable pour générer autant de mots de passe/passphrases que nécessaire.

Si vous êtes plus scientifique que littéraire, vous pouvez vous servir d'une formule mathématique comme mot de passe : « sin^2(x)+cos^2(x)=1 » et « ax²+bx+c=0 » par exemple. Évitez par contre « e=mc² » qui est vraiment trop courte, ainsi que des formules sur lesquelles vous travaillez. 

Décidément inspiré sur cette question, le CERN explique que vous pouvez aussi alterner les consonnes et les voyelles pour créer un mot de passe qui ne veut absolument rien dire, mais que l'on peut plus ou moins prononcer et retenir facilement. Quelques exemples pour ce faire une idée : « Weze-Xupe » ou « DediNida3 ». Un concept que l'on peut décliner à l'infini ou presque.

La méthode de Diceware : cinq dés et une liste de mots

Dans un registre un peu différent, une planche de xkcd revient souvent lorsque l'on aborde mot de passe. Elle rappelle que si le premier « Tr0ub4dor&3 » semble compliqué et difficile à retenir à première vue, il n'est pas forcément plus robuste que « correcthorsebatterystaple » qui est sûrement plus simple à mémoriser (il est construit en collant plusieurs mots les uns à la suite des autres) :

XKCD Password
Crédits : xkcd

Cette technique, dérivée de la méthode Diceware, est mise en avant par plusieurs organisations comme le service de Fédération d'Équipement Informatique et Réseau de l'institut universitaire de Brest (Feiri) et l'Electronic Frontier Foundation (EFF).

Le principe est simple : vous lancez cinq fois de suite un dé à six faces, pour obtenir un nombre à cinq chiffres (de 11 111 à 66 666). Vous récupérez ensuite le mot correspondant dans la liste des mots du dictionnaire Diceware et vous répétez l'opération cinq fois de suite pour récupérer cinq mots qui, mis bout à bout, constituent votre mot de passe. 

L'EFF a récemment proposé sa propre version mise à jour de cette liste (en anglais) afin d'y intégrer des mots un peu plus longs en moyenne. De son côté, le Feiri de Brest en propose une version française pour ceux qui préfèrent la langue de Molière. Si vous avez connaissance d'autres listes de ce genre, n'hésitez pas à les signaler dans les commentaires afin que le reste de la communauté en profite.

Mais cette méthode ne fait pas l'unanimité non plus. Pour le spécialiste Bruce Schneier, le fameux exemple « correcthorsebatterystaple » de XKCD n'est « plus un bon conseil » car les logiciels pour craquer les mots de passe planchent déjà sur ce système (et ce depuis quelques années maintenant).

Un indicateur intéressant à prendre en compte : l'entropie

Il n'est donc pas toujours facile de s'y retrouver, mais des techniques permettent néanmoins de se faire une idée un peu plus précise de la robustesse d'un mot de passe : l'entropie (exprimée en bits). Derrière ce nom, se cache un indicateur qui permet de mesurer plus finement la force et la résistance d'un mot de passe en ne se basant pas que sur sa longueur, mais sur le nombre de combinaisons possible.

Sur le blog de Dotnico on retrouve de plus amples détails sur la définition de l'entropie d'un mot de passe, ainsi que sur les formules mathématiques derrière cette notion. On retrouve de plus en plus cette méthode, sans forcément s'en rendre toujours compte. Par exemple, lorsqu'un service affiche des codes couleur en fonction du mot de passe que vous tapez (rouge, orange et vert), il peut se baser sur sa longueur uniquement, mais aussi sur son entropie. Ainsi, un mot de passe de 12 caractères peut être indiqué comme mauvais, alors qu'un autre de 8 sera validé.

En 2012, Dropbox diffusait sur GitHub le code d'un petit outil de test de mot de passe qui se basait notamment sur cette notion d'entropie (mais pas seulement) : zxcvbn. Celui-ci donne de précieuses informations sur le temps estimé pour le trouver, sa robustesse et, le cas échéant, propose des idées afin de l'améliorer.

Entrez « 123456789 » et il répondra qu'il faudra généralement moins d'une seconde pour le trouver et qu'il fait partie du top 10 des mots de passe les plus courants... bref, à éviter comme on peut s'en douter. Même chose pour la suite « aqwzsxedcrfvtgbyhn » qui demande entre quelques secondes et mois pour être cassée.

Avec l'exemple « correcthorsebatterystaple » proposé par xkcd, l'outil détecte bien qu'il s'agit de quatre mots collés les uns aux autres et indique qu'il faudrait 8 heures à un ordinateur capable de traiter 10 milliards d'opérations par seconde, alors qu'il ne faudrait que 10 secondes pour « Tr0ub4dor&3 ».

Si l'on prend l'exemple de la formule « sin^2(x)+cos^2(x)=1 » proposé par le CERN, le temps de traitement passe à 31 ans alors qu'il faudrait des siècles pour venir à bout de la passphrase « InXanaduDidKublaKahnAStatelyPleasureDomeDecree! ». 

Activer la double authentification... quand c'est possible

Il est possible d'aller plus loin et de renforcer la sécurité d'un mot de passe avec une double authentification. Pour cela, le service peut envoyer un code par SMS (mais cette méthode a ses limites) ou bien utiliser une application sur mobile. Ainsi, le mot de passe seul ne servira pas à grand-chose à un pirate.

Plusieurs grands services ont d'ores et déjà sauté le pas. C'est le cas d'Amazon (voire notre guide), Blizzard, Dropbox, Google, Twitter, GOG, etc. Pensez à faire de même sur vos NAS puisque Asustor, Synology ou encore QNAP proposent une telle fonctionnalité.

Dans la mesure du possible, il est recommandé d'ajouter une couche de sécurité supplémentaire. D'autant plus que les services permettent généralement de définir une machine comme étant fiable et n'ayant donc plus besoin d'une double authentification par la suite. Pratique pour son ordinateur de bureau par exemple (mais à éviter sur un portable qui peut facilement être perdu ou volé).

Amazon double authentification

L'usage d'une clé USB U2F commence à se répandre

En plus des méthodes que nous venons d'évoquer, d'autres solutions se développent rapidement ces derniers temps. C'est par exemple le cas du standard U2F (Universal 2nd Factor) qui est géré par la  FIDO (Fast IDentity Online) Alliance. Il s'agit pour rappel d'une fonctionnalité que nous avons détaillée dans cette actualité.

Dans la pratique, il suffit de brancher une clef USB U2F (on en trouve à moins de 10 euros) à votre ordinateur et parfois presser un bouton pour générer un code pouvant être vérifié par un service tiers. Par contre, pour que cela fonctionne, vous devez avoir lié une ou plusieurs clefs USB à votre compte. Un site de démonstration est disponible ici.

Plusieurs services comme Dropbox, GitHub ou Google les prennent en charge, tout comme certaines applications telles que Dashlane par exemple. Ce genre de clef peut aussi avoir d'autres usages, notamment dans le cas des Yubikey, pour peu que vous aimiez bidouiller un peu.

FIDO U2F

Privilégiez des services qui ont une bonne politique de gestion des mots de passe

Dans la mesure du possible, il faut privilégier des services proposant une connexion sécurisée (HTTPS) dès le formulaire de saisie du mot de passe pour éviter qu'il ne soit diffusé en clair, surtout si vous êtes sur un réseau Wi-Fi public ouvert (ce qui est à éviter). Problème, ce n'est pas toujours possible.

En outre, il faut éviter les services qui vous (r)envoient votre mot de passe en clair lors de l'inscription ou d'une demande de réinitialisation. Comme nous l'avions expliqué, cette pratique était encore répandue en 2012 et persiste toujours aujourd'hui. N'hésitez d'ailleurs pas à alerter la CNIL lorsque vous rencontrez pareils cas. 

Attention aux outils en ligne pour tester et générer votre mot de passe

Que ce soit pour l'outil de l'ANSSI ou de Dropbox, il est important de préciser une règle importante : ne saisissez JAMAIS un mot de passe que vous utilisez sur un site en ligne qui se propose de vérifier sa solidité, même si celui-ci semble digne de confiance. Il peut très bien l'enregistrer dans une base de données et l'ajouter à son dictionnaire pour l'utiliser plus tard. Entrez un mot de passe qui lui ressemble dans la construction et la longueur, mais jamais le vôtre (ou trop proche du vôtre).

Il en est de même pour la génération d'un mot de passe. De nombreux sites se proposent de le faire pour vous, en prenant soin d'appliquer des règles strictes et fournir un mot de passe qui semble effectivement fort. Néanmoins, rien n'empêche de l'ajouter dans un dictionnaire maison afin de le garder au chaud pour plus tard.

Des solutions existent pour générer des mots de passe hors ligne

Il existe néanmoins des solutions qui permettent d'en générer localement sur votre ordinateur. Là encore, on recommandera d'être prudent et de passer par des solutions open source et/ou dont le code a été analysé de près par des experts indépendants.

C'est par exemple le cas de KeePass qui propose un générateur facile à prendre en main et performant (pensez d'ailleurs à ajouter de l'entropie via des mouvements de la souris ou des frappes aléatoires au clavier. Ce logiciel fait aussi office de gestionnaire de mots de passe, mais nous aurons l'occasion d'y revenir dans un prochain article.

Keepass générateur mot de passeKeepass générateur mot de passe 

Si vous avez GnuPG installé sur votre machine (voir notre dossier sur le chiffrement), vous avez aussi la possibilité de l'utiliser pour générer un mot de passe avec un nombre de caractères de votre choix via une simple ligne de commande. Voici par exemple ce qu'il faut taper pour générer un mot de passe de 30 caractères :

gpg --gen-random --armor 2 30

Faut-il changer régulièrement son mot de passe ?

Maintenant que vous avez trouvé un bon mot de passe, répétez l'opération autant de fois que nécessaire pour chaque service. Tout le monde s'accorde en effet pour dire qu'un mot de passe ne doit être utilisé que pour un seul service afin d'éviter une cascade de piratages en cas de fuite. 

Mais la question qui vient juste après est de savoir s'il faut le changer régulièrement. Là, deux écoles s'opposent. La CNIL, l'ANSSI et le CERN par exemple, recommandent de le faire régulièrement, alors que d'autres comme Lorrie Cranor (technologue en chef à la FTC et membre du conseil d'administration de l'EFF) et le cryptologue Bruce Schneier prônent le contraire.

L'explication est en fait simple : oui changer son mot de passe régulièrement est une bonne idée, mais à condition de bien le faire. Il ne faut pas reprendre son ancien en appliquant simplement une petite modification (majuscule sur une des lettres, répétition d'un caractère à la fin, etc). Lorrie Cranor explique que les pirates sont au fait de ces techniques depuis longtemps et ont adapté leurs algorithmes en conséquence (voir cette étude).

Pour d'autres au contraire, changer de mot de passe régulièrement est important, notamment parce qu'une personne peut vous observer lorsque vous le saisissez ou bien arrive à le découvrir en fouillant sur votre ordinateur ou sur le réseau. Par exemple, si vous tapez accidentellement votre mot de passe à la place de votre nom d’utilisateur, il peut apparaitre dans les logs système sur certains serveurs. Pour les données sensibles, il est conseillé de le changer lorsque vous l'avez utilisé sur une machine qui n'est pas réputée « sure ». Bref, on n'est jamais trop prudent.

Tout le monde s'accorde par contre sur certains points. En cas de fuite de données (même simplement suspectée sans confirmation), il faut impérativement – et sans attendre – changer votre mot de passe. Idem si vous l'avez saisi sur une machine publique ou qui n'est pas réputée sûre. Un keylogger peut avoir été installé afin de récupérer l'ensemble des frappes au clavier.

Les gestionnaires de mots de passe pour éviter de devoir en mémoriser des dizaines

Bref, vous l'aurez compris, la sécurité est un point qu'il ne faut pas prendre à la légère et il vaut mieux passer du temps à trouver un mot de passe offrant une sécurité suffisante (à vous de trouver votre méthode), plutôt que des heures à jouer au pompier en cas de piratage, sans compter les possibles pertes de données.

Il n'est pas toujours facile de retenir des dizaines de mots de passe différents comportant chacun au moins 16 symboles et n'ayant aucun rapport les uns avec les autres. Pourtant, comme nous venons de l'expliquer, c'est une hygiène de vie que tout le monde devrait adopter pour renforcer sa sécurité.

Une solution pourrait donc être de passer par un gestionnaire de mots de passe, qui permet de les sauvegarder et de les synchroniser entre vos machines suivant les cas. La sécurité de votre « coffre-fort » est garantie par un mot de passe maitre qu'il faudra choisir soigneusement (toutes les règles que nous venons d'évoquer vous seront utiles). Il en existe plusieurs sur le marché (certains en open source avec un code audité), chacun avec ses avantages et ses inconvénients, mais nous aurons l'occasion de rapidement y revenir.

Comme toujours, vous pouvez également demander de l'aide via ce topic dédié sur notre forum. N'hésitez pas à non plus à publier vos trucs et astuces dans les commentaires afin d'en faire profiter le reste de la communauté.

Notre dossier sur la gestion des mots de passe :

186

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un bon mot de passe, c'est quoi exactement ?

Quelques recommandations à prendre en compte

Une simple phrase peut devenir un mot de passe compliqué

Poème, formule mathématique : le CERN déborde d'idées

La méthode de Diceware : cinq dés et une liste de mots

Un indicateur intéressant à prendre en compte : l'entropie

Activer la double authentification... quand c'est possible

L'usage d'une clé USB U2F commence à se répandre

Privilégiez des services qui ont une bonne politique de gestion des mots de passe

Attention aux outils en ligne pour tester et générer votre mot de passe

Des solutions existent pour générer des mots de passe hors ligne

Faut-il changer régulièrement son mot de passe ?

Les gestionnaires de mots de passe pour éviter de devoir en mémoriser des dizaines

Commentaires (186)


Je sais que c’est un long article, mais pour le bien de tous, je l’aurais mis en libre accès..



Bon, go le lire maintenant :)


Il le sera ;)








GvLustig a écrit :



Je sais que c’est un long article, mais pour le bien de tous, je l’aurais mis en libre accès..



Bon, go le lire maintenant :)





ouais et dans tous les médias possibles  avec çahttps://haveibeenpwned.com/ en complément



tout comme « catapulte »



<img data-src=" /> à roulettes !!



Bon papier, à garder sous le coude pour évangéliser <img data-src=" />


+1

Tiens, y’a le lancement de Franceinfo ce soir, faut envoyer l’article à Francis Zégut pour qu’il en parle s’il intervient aussi dans la version &nbsp;TV ^^



Pour haveibeenpwned, j’aimerais un peu moins les voir sur ma boîte mail (2x cette semaine - DropBox et InterPals)


Joli et complet



tous mes mots de passe ont Majuscule et chiffre, 12-14 caractères.

Et caractères spéciaux pour les comptes important (genre paypal)

Je sais que c’est suffisamment fort comme ca - comparé à 12345678 <img data-src=" />



mais faut des moyens de s’en rappeler si on veut pas utiliser les appli pour ca


Sinon, un mot de passe utilisant des mots (aléatoire, pas une phrase !) du dictionnaires mais de plus de 20 caractères restent fort.


Super dossier, c’est cool que vous abordez le sujet de la Yubikey qui m’intéresse depuis un moment <img data-src=" />


Je ne suis pas encore passé à keepass ou équivalent, j’essaye néanmoins d’avoir des mots de passe complexes (lettres minuscules et majuscules, chiffres, caractères spéciaux). Jusqu’à présent, je n’ai jamais eu de soucis. Je m’efforce surtout de ne pas avoir des tonnes de comptes, dès que je ne vais plus sur un site, je supprime ou demande la suppression de mes infos.



En aparté, ce serait bien aussi que les sites web ne gardent pas les mots de passe en clair. Et s’ils pouvaient aussi ne pas garder les emails en clair., ce serait pas mal. On dit souvent que la force de nos mdp tient par son maillon le plus faible mais à mes yeux, le maillon faible est très souvent un site qui a fait n’importe quoi plutôt qu’un méchant hacker qui aurait voulu s’en prendre à moi ou un bot qui aurait fait une bête attaque par force brute.



Ah, et toujours les sites, ce serait pas mal aussi de ne pas nous limiter, le nombre de fois où je ne peux pas utiliser de caractères spéciaux, j’ai même déjà été bloqué car mon mot de passe était trop long ! (une quinzaine de caractères)


Le problème qui reste encore régulièrement c’est les sites qui n’autorise pas les mots de passe de + de 810 caractères ou refuse les caractères spéciaux… Du coup obligé de mettre des mots de passe “simple”.


J’aime bien en général trouver une petite phrase et y mettre des majuscules, des chiffre et des caractères spéciaux, comme dis dans certaines recommandations.

Passer de “un petit chat se promène dans la rue” à “1PetitCHATSePromèn3DansLaRu3%”.

Même si la majuscule en début de mot est assez classique, c’est toujours un peu de complexité de pris.


moi j’ai arrêté les conneries.

Keepass et voilà. je me fais plus chier à essayer de m’en souvenir, et j’ai des pass de roxxor de 30 caractères totalement imbitables.



maintenant les sites qui stockent en clair, en général c’est des sites ecommerce à 2 balles et j’y mets un pass… à 2 balles. Quand je reçois le mail de bienvenue avec mon mot de pass, en général je tape l’affiche publiquement au site et à son presta (sur twitter). par contre j’ai jamais su s’ils avaient corrigé. ^^








MaiEolia a écrit :



Le problème qui reste encore régulièrement c’est les sites qui n’autorise pas les mots de passe de + de 810 caractères ou refuse les caractères spéciaux… Du coup obligé de mettre des mots de passe “simple”.





Ouai j’ai du mal à comprendre que ces sites existent encore. Enfin ça vaut toujours pas l’email que tu reçois après qui te dit:

“Merci d’avoir créé votre compte. Voici un rappel de vos identifiants:

Nom d’utilisateur: Xaelias

Mot de passe: JeSuisEnClairCestLaBringue”



<img data-src=" />



Ah ouiii !



Voilà un bon rappel. Un rien compliqué pour Madame Michu, mais qui permettra à celui qui tentera vaillament de lui expliquer les étapes à ne pas oublier.



Merci








Carlie a écrit :



J’aime bien en général trouver une petite phrase et y mettre des majuscules, des chiffre et des caractères spéciaux, comme dis dans certaines recommandations.

Passer de “un petit chat se promène dans la rue” à “1PetitCHATSePromèn3DansLaRu3%”.

Même si la majuscule en début de mot est assez classique, c’est toujours un peu de complexité de pris.





Sinon, tu utilises un générateur de&nbsp;phrases de kamoulox, et avec ton petit stratagème, ca doit être assez complexe pour les algos de pirates ^^



Petite astuce pour compléter : en + de varier votre mot de passe, variez aussi votre adresse email avec des alias par exemple.



Pour les utilisateurs de GMail c’est assez facile, entre votre nom d’utilisateur et le @ vous pouvez rajouter un “+” suivi d’un texte.



Par exemple, si vous êtes [email protected], vous pouvez saisir&nbsp;[email protected] et les emails vous parviendrons tout de même.



A noter aussi que les “.” ne signifient rien, en enlever, en rajouter ou en déplacer produisent aussi des alias.



Pour les autres fournisseurs de messagerie je ne sais pas, mais cette astuce devrait INpacter pas mal de monde je pense.


L’intérêt de la phrase, c’est que ça soit simple à retenir, avec un sens, contrairement au kamoulox ^^

Selon le site de test de mot de passe en lien, il faudrait des siècles pour découvrir ce mot de passe en exemple (si je l’avais pas écris, j’aurais pu l’utiliser :p ).

En plus on a la chance d’avoir une langue avec des accents, ce qui rend les mot de passe plus complexe naturellement (enfin, faire attention à l’utilisation d’un dico prenant le Français en compte).








Xaelias a écrit :



Ouai j’ai du mal à comprendre que ces sites existent encore. Enfin ça vaut toujours pas l’email que tu reçois après qui te dit:

“Merci d’avoir créé votre compte. Voici un rappel de vos identifiants:

Nom d’utilisateur: Xaelias

Mot de passe: JeSuisEnClairCestLaBringue”



<img data-src=" />





La en l’occurrence je pensais à une banque qui pour consulter ton compte n’autorise que 12 caractères, donc pas le petit site de vente en ligne …



Ah. J’allais mettre en lien le topic dédié du forum, mais il est en conclusion de l’article <img data-src=" />



Pour les logiciels type KeePass, je recommanderai de changer la clé de temps à autre (en faisant au préalable du backup), ça mange pas de pains et le jour où une bogue est trouvée dans le logiciel sur cette partie du code, on est déjà rompu à l’exercice :)


Je pense que le mot de passe suggéré par xkcd n’est pas “correcthorsebatterystaple” mais “correct horse battery staple”, avec les espaces.



password:correct horse battery staple

guesses_log10:20.33003

score:4 / 4

function runtime (ms):12

guess times:

100 / hour:centuries(throttled online attack)

10&nbsp; / second:centuries(unthrottled online attack)

10k / second:centuries(offline attack, slow hash, many cores)

10B / second:centuries(offline attack, fast hash, many cores)


3ABoqpà#/3PIr²=3Qbc <img data-src=" />




Pour avoir une bonne résistance,&nbsp;l’ANSSI

recommande d’utiliser un mot de passe d’au moins 16 caractères dans un

alphabet de 90 symboles (lettres, chiffres et caractères spéciaux).





Air France a encore quelques progrès à faire <img data-src=" />



Avec une rainbow table, on le trouve en combien de secondes ?



Qu’en pense l’ANSSI ? Et la CNIL, parce que nos données sensibles (toutes nos identités données à Air France) sont mal protégées ?


Excellent article, merci !


En tant que développeur nous incitons nos clients à mettre un peu de sous sur le e-commerce que nous leur faisons sur du fail2ban. x tentatives et ça ban l’autorisation d’accès au compte.



C’est du point de vue de l’éditeur de site le meilleur moyen, sauf que lors que c’est ban, tu te retrouve au tel avec le client pas content.



Je prône pour ma part l’utilisation de dashlane, avec un passe phrase d’accès très fort, et on génère à chaque site un mdp différent via dashlane. C’est à mon sens la seule vraie solution humainement tenable.


Article salutaire. Merci !


Je sais pas pour vous, mais les banques abusent un peu en france à ce niveau la … 6 caractères obligatoire, uniquement des chiffres …



A ce niveau la, on sent la différence en suisse… n’importe quel mot de passe + code basé sur un lecteur de carte bancaire qu’on doit valider avec notre carte et code pin.



Bon après, si je me fais voler, ils auront plutôt intérêt à rembourser, mais c’est quand même pas très secure.


Un cas débile vu récemment : Piwigo. Par défaut, à la création du compte, une option est présente pour envoyer l’identifiant/MdP à l’adresse mail renseignée.



Il m’a fallu modifier le template de la page pour faire disparaître cette option crétine. De mémoire, une des excuse d’un des dév c’était “non, mais c’est pour que l’admin il gère les inscriptions pour les envoyer à ces amis” :facepalm:








bast73 a écrit :



Je sais pas pour vous, mais les banques abusent un peu en france à ce niveau la … 6 caractères obligatoire, uniquement des chiffres …



A ce niveau la, on sent la différence en suisse… n’importe quel mot de passe + code basé sur un lecteur de carte bancaire qu’on doit valider avec notre carte et code pin.



Bon après, si je me fais voler, ils auront plutôt intérêt à rembourser, mais c’est quand même pas très secure.





Ajoute à la SoGé qui te force à le saisir à la souris sur un truc qui s’affiche à l’écran. Donc en gros à chaque fois que tu as des gens autour de toi, ils voient ton mot de passe en clair…



la banque postale c’est 6 chiffres mais au bout de 3 tentative ton compte en ligne est bloqué et je crois qu’il faut attendre un courrier avec le nouveau mdp de mémoire. Pour rappel, le code PIN à 4 chiffres est l’un des plus dure à cracker vu que tu as que 3 essais.


Groupama aussi de mémoire. C’est d’autant plus bête que le nombre et le type de caractères du MdP est très fortement réduit <img data-src=" /><img data-src=" /><img data-src=" />


“Je m’incruste dans Loft Story et je donne un stérilet à une association caritative”



<img data-src=" />


Pas totalement convaincu par tout cela.&nbsp;

Avoir un mot de passe fort c’est bien en théorie mais avoir autant de mot de passe que de sites internet, et tous complexes rend la procédure lourde.&nbsp;

J’utilise keepass pour stoquer mes mots de pass et je n’ai pas le même pour chaque site web, mais devoir lancer keepass à chaque fois est assez contraignant, et limite beaucoup la faisbilité. Avoir de bons principes c’est bien, les rendre applicable c’est mieux !&nbsp;

Je crois qu’il existe des plugin pour keepass, mais je ne sais pas si quelque chose existe pour qu’il complète directement dans les sites internet les mots de pass ?? (Comme ce que fait un explorateur web, mais sans tout stoquer en clair …).&nbsp;

J’ai essayé de convertir ma femme a keepass, peine perdue !&nbsp;


Y a pas moins radical qu’un ban via une règle iptables ? <img data-src=" />


Je ne connaissais pas &nbsp;IhaveBeenPwned et j’ai failli avoir une attaque en voyant mon email sortir 4 fois … bon après ce sont 4 mots de passe différents heureusement.&nbsp;



Et depuis je suis passé a Keepass et j’ai changé mes mots de passe.


au CMB j’ai un pass global “libre” (doit bien y avoir un nombre mini de caractères, j’ai pas testé) via PC et sinon via appli mobile c’est soit le même pass, soit tu choisis le terminal comme terminal de confiance. du coup ça se transforme en code pin 4 chiffres, mais valable uniquement depuis le terminal en question.

j’imagine que c’est pour éviter d’avoir à se taper les éventuels caractères spéciaux sur un clavier de téléphone, mais comme ça fait un pin de plus à retenir (j’ai déjà 3CB dont une dont j’ai oublié le code), je l’ai collé dans keepass. ^^



le truc totalement fou, c’est que là où je bosse (industrie un tout petit peu sensible), on n’a pas de gestionnaire de mots de passes. du coup tout le monde a des post-it ou un fichier txt avec tout dedans.

quand je l’ai fait remarquer à l’OSI, le mec m’a répondu OKLM: mettre le txt dans un zip chiffré ou se trouver un pattern de mots de pass.

du coup soit tu passes ton temps à chiffrer/déchiffrer ton fichier (et tu le fais plus au bout de 3 fois), soit tu t’inventes un pattern pour retenir 40 mots de passe (en plus des tiens perso! XD).

alors que t’as une soluce toute faite (keepass), ouverte, déployable easy en interne. hallucinant.


si tu regardes un peu mieux, tu verras que keepass (sans plugin il me semble) te permet de remplir auto le login/password via ctrl+a.

il faut juste paramétrer le nom de la fenêtre.

regarde l’aide ou la doc en ligne.



après c’est du bonheur.



edit: et idem pour la compagne. ^^


C’est aussi pour ça que la double authentification est une bonne solution, puisqu’elle apporte une composante aléatoire à un mot de passe. Après tout dépend aussi de ce que l’on veut protéger. Mais il suffit de voir ceux a qui on a défoncé tous les comptes perso avec des données importantes (Gmail, Facebook, Amazon, etc.) suite à une fuite de mot de passe chez un site qui ne faisait pas gaffe pour comprendre qu’il y a des précautions à prendre, quitte à ce que cela soit moins pratique au quotidien…&nbsp;


Password1, voila mon pot de passe


Salut salut,



J’ai une petite question, je cherchais un gestionnaire de mot de passe local et je suis tombe sur Enpass. Il semble pas mal et ils ont des application UWP et meme une extension pour Edge qui serait en cours de developpement. Par contre, il n’a pas l’air tres connu et est tres rarement cite. Je me pose des questions, est ce un bon gestionnaire ou faudrait-il que je passe sur autre chose de plus connu…



Enpass a l’air plutot simple a utiliser egalement et les mises a jour sont regulieres.



Qu’en pensez-vous?



Merci


envoyer le mot de passe par pigeon voyageur&nbsp; <img data-src=" />


Concernant la critique de la “méthode XKCD”, de très nombreux commentaires sous l’article de Bruce Schneier cherchent à comprendre sa critique, et arrivent à la conclusion qu’il parle sans doute du cas où les gens choisissent eux-mêmes les mots pour cette méthode (ou changent l’ordre, éliminent des mots choisis au hasard jusqu’à en trouver qui leur plaisent davantage).

L’idée serait alors que chaque fois qu’un humain modifie le hasard pur d’une méthode Diceware/XKCD en se disant qu’il est plus malin que tout le monde, il introduit du prévisible, abaisse l’entropie et se tire une balle dans le pied.

Malheureusement, Schneier ne semble pas avoir mis à jour l’article ou répondu dans les commentaire pour clarifier…



A noter aussi dans ces commentaires : certains soulignent que les langues font que certaines lettres auront plus ou moins de chances de se retrouver en début de mot. Par exemple, on a bien plus de mots français en e— qu’en x—. La méthode donnée plus haut dans le paragraphe sur la CNIL ne génère donc pas vraiment des lettres “prises au hasard”, ce qui abaisse l’entropie réelle.








EMegamanu a écrit :



Par exemple, si vous êtes [email protected], vous pouvez saisir&nbsp;[email protected] et les emails vous parviendrons tout de même.&nbsp;





Merci pour la rigolade avec l’exemple&nbsp;<img data-src=" />

&nbsp;





sephirostoy a écrit :



3ABoqpà#/3PIr²=3Qbc <img data-src=" />





<img data-src=" />









bast73 a écrit :



Je sais pas pour vous, mais les banques abusent un peu en france à ce niveau la … 6 caractères obligatoire, uniquement des chiffres …









Xaelias a écrit :



Ajoute à la SoGé qui te force à le saisir à la souris sur un truc qui s’affiche à l’écran. Donc en gros à chaque fois que tu as des gens autour de toi, ils voient ton mot de passe en clair…









jaffalibre a écrit :



la banque postale c’est 6 chiffres mais au bout de 3 tentative ton compte en ligne est bloqué et je crois qu’il faut attendre un courrier avec le nouveau mdp de mémoire. Pour rappel, le code PIN à 4 chiffres est l’un des plus dure à cracker vu que tu as que 3 essais.





Pour la SoGé (j’y ai un compte), c’est finalement assez sûr car l’identifiant utilisé pour se connecter n’est pas lié au compte, donc à supposer qu’on te voie cliquer sur ton mot de passe, il faut cet identifiant aussi (et il n’est pas dérivable du numéro de compte). Et avec 8 chiffres pour l’identifiant et 6 chiffres pour le code, on a de quoi voir venir (j’imagine qu’après 3 essais il y a un blocage, au moins temporaire).

&nbsp;



Oui, le mot de passe qui commence par les majuscules et finit par un chiffre est un peu trop classique. La tentation de le faire est tellement naturelle. <img data-src=" />

Evitons les “Tomate01” !








John Shaft a écrit :



Y a pas moins radical qu’un ban via une règle iptables ? <img data-src=" />





Pour ma part, je n’utilise pas fail2ban mais j’ai mis 2 règles IPTables trouvées en ligne il y a longtemps, au bout de 3 tentatives de connexion SSH (à la 4e donc) en moins d’une minute, pendant encore 1 minute l’IP est bloquée (via une règle DROP). Ça limite déjà bien la force brute.



à roulettes mobiles ?

&nbsp;


“il est important de définir ce que l’on appelle communément un bon mot de passe… et ce n’est pas chose aisée.”

Par exemple dans steam, si on ajoute des espaces, il (steam) en conclut que le mot de passe est faible.



Malgré ça je me suis pas encore fait pirater mon compte steam (et je plains le plaisantin qui y parviendrait vu le peu de jeux que j’ai).








MaiEolia a écrit :



Le problème qui reste encore régulièrement c’est les sites qui n’autorise pas les mots de passe de + de 810 caractères ou refuse les caractères spéciaux… Du coup obligé de mettre des mots de passe “simple”.





énorme + 1

Ça décourage toute intention de faire le moindre effort.









John Shaft a écrit :



Y a pas moins radical qu’un ban via une règle iptables ? <img data-src=" />





J’avoue, c’est une technique de bourru !&nbsp;<img data-src=" />









Xaelias a écrit :



Ajoute à la SoGé qui te force à le saisir à la souris sur un truc qui s’affiche à l’écran. Donc en gros à chaque fois que tu as des gens autour de toi, ils voient ton mot de passe en clair…





À propos d’eux, je me suis bien fait baiser lors de la création du mot de passe (je sais pas si c’est encore comme ça aujourd’hui).

La longueur maximale n’était indiquée nulle part.

J’ai entré un code plus long que ce qui est autorisé.

Le site l’a tout de même accepté.



Sauf qu’au moment de s’authentifier, impossible de saisir tout le code.



Je crois que j’ai jamais vu plus con que ça.



Magnifique erreur dans les procédures de test et validation, sur un point important en plus.



PS : Mais de quel mot de passe parles-tu, puisqu’à la SoGé il est constitué de 6 chiffres à cliquer sur un clavier virtuel ?


Ouais, définitivement, le bon mot de passe c’est celui qu’on note sur une feuille parce qu’on n’arrive pas à le retenir car trop compliqué !


Au travail on a les champions du monde de la sécurité:

On me demande de changer de mot de passe tous les mois mais il faut que le mot de passe soit différent à plus de 50% des 5 précédents =&gt; C’est impossible de comparer la ressemblance 2 mots passe hachés, les mots de passes sont donc stockés en clair (ou avec un chiffrement réversible, ce qui revient au même). <img data-src=" />



Et quand j’appelle au téléphone (depuis un tel qui n’est pas de la boite) le service info parce que j’ai oublié mon mot de passe, on ne vérifie jamais mon identité (au mieux on me demande mon nom, prénom et ma date de naissance mais en général seul le login leur suffit) avant de réinitialiser le mot de passe.


Certes mais il faut que le système de vérification du format d’e-mail soit correct et le reste !



Par exemple, je me suis retrouvé incapable de me logguer sur le site d’EDF pour particuliers après que des modifications du site eurent lieu. J’ai dû contacter leurs services au téléphone pour changer l’adresse e-mail du type [email protected]



  1. Un mot de passe super sécurisé et inoubliable pour le compte email



    1. des mots de passe aléatoires jetables pour tous les autres sites



      A la connexion sur un site, si le navigateur auto-complète le mdp aléatoire –&gt; c’est bon.

      Sinon, demander un email de reset du mot de passe au site et remettre un mdp aléatoire.



      \o/



C’est courant : une paranoïa sécuritaire qui co-existe avec des failles de sécurité monumentales. J’ai vu ça dans pas mal d’entreprises à bien y réfléchir. C’est parce que les systèmes ne sont pas pensés jusqu’au bout.








Winderly a écrit :



À propos d’eux, je me suis bien fait baiser lors de la création du mot de passe (je sais pas si c’est encore comme ça aujourd’hui).

La longueur maximale n’était indiquée nulle part.

J’ai entré un code plus long que ce qui est autorisé.

Le site l’a tout de même accepté.



Sauf qu’au moment de s’authentifier, impossible de saisir tout le code.



Je crois que j’ai jamais vu plus con que ça.





Pour le service e-carte bleue, le mot de passe n’accepte aucune ponctuation, ni aucun caractère spécial et doit être composé de 8 caractère pile. Si tu mets une ponctuation, en fait il n’écrit pas. Idem si tu mets trop de caractères, ça n’écrit pas.



Par contre après un certain nombre d’erreur à la saisie 3?, 5? le compte est définitivement bloqué.



Le jour où les dévs respecteront les (très bourrines certes) regex pour gérer la partie locale d’une adresse mail et où l’adresse (tout à fait valide) “Christine Albanel est partie pantoufler <img data-src=" />”@orange.fr, le monde aura fait des progrès








OlivierJ a écrit :



Magnifique erreur dans les procédures de test et validation, sur un point important en plus.



PS : Mais de quel mot de passe parles-tu, puisqu’à la SoGé il est constitué de 6 chiffres à cliquer sur un clavier virtuel ?





Euh oui, j’aurais du dire code.









hellmut a écrit :



si tu regardes un peu mieux, tu verras que keepass (sans plugin il me semble) te permet de remplir auto le login/password via ctrl+a.

il faut juste paramétrer le nom de la fenêtre.

regarde l’aide ou la doc en ligne.



après c’est du bonheur.



edit: et idem pour la compagne. ^^





Génial ce truc ! Je vais essayer !&nbsp;









John Shaft a écrit :



Le jour où les dévs respecteront les (très bourrines certes) regex pour gérer la partie locale d’une adresse mail et où l’adresse (tout à fait valide) “Christine Albanel est partie pantoufler <img data-src=" />”@orange.fr, le monde aura fait des progrès



Ce n’est pas comme si le regex de vérif des emails était universel. En conséquence, à partir du moment ou un gus en a publié un sur le web, on peut le copier-coller.







RegexRFC5322 a écrit :



(?:a-z0-9!#\(%&'*+/=?^\_`{|}~-]+(?:\.[a-z0-9!#\)%&‘+/=?^_{|}~-]+)\|"(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21\x23-\x5b\x5d-\x7f]|\[\x01-\x09\x0b\x0c\x0e-\x7f])*")@(?:(?:[a-z0-9?\.)+a-z0-9?|[(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?|[a-z0-9-]*[a-z0-9]:(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21-\x5a\x53-\x7f]|\[\x01-\x09\x0b\x0c\x0e-\x7f])+)\])







Cela dit ce regex ferait un exellent mot de passe ^^



PS : Ce regex plus simple marche pas trop mal pour les emails :





RegexW3C a écrit :



/^[a-zA-Z0-9.!#$%&’*+/=?^\_
{|}~-]+@[a-zA-Z0-9-]+(?:.[a-zA-Z0-9-]+)*$/






PayPal. Maximum autorisé : 20 caractères. Le reste est tronqué, sans qu’on ne te le dise. <img data-src=" />


Ah merci, je la retrouvais pas cette bestiole <img data-src=" />



La variante W3C n’a pas l’air taillée pour l’Unicode :(








Xaelias a écrit :



Ouai j’ai du mal à comprendre que ces sites existent encore. Enfin ça vaut toujours pas l’email que tu reçois après qui te dit:

“Merci d’avoir créé votre compte. Voici un rappel de vos identifiants:

Nom d’utilisateur: Xaelias

Mot de passe: JeSuisEnClairCestLaBringue”



<img data-src=" />







Et encore, il y a pire : les newsletters. <img data-src=" />

Sisi, celles où tu as à la fin “Vous ne vous souvenez plus de votre mot de passe ? Le voici : mdpEnClair.”



On citera aussi les sites tels que ShowroomPrivé.com qui, lorsque tu cliques sur un lien dans la newsletter, tu es directement authentifié sur le site. Certes, tu n’as pas le mot de passe (et à priori aucun moyen de le retrouver comme ça), mais t’as quand même accès à l’historique de commandes, nom/prénom/adresse … Enfin, tout, quoi.



La principale difficulté des mots de passes longs est qu’ils sont (trop) souvent refusés par les services. J’ai vu des services web refuser des mots de passes de plus de 12 caractères, d’autres de plus de 16 caractères. L’astuce du mot de passe long a donc ses limites.




En matière de signes typographiques, en plus des caractères alphanumériques, de nombreux services les refusent, ou en limitent beaucoup l'usage, à des "-" ou "\_". Il est donc difficile de se baser essentiellement dessus.      






Personnellement, j'utilise un gestionnaire de mots de passes (Dashlane), avec une génération de mots de passes&nbsp; aléatoire. De plus, même sous la torture, je ne saurais vous indiquer la plupart de ces mots de passes : je ne les connais pas, voire je ne les ai jamais vus de mes yeux, leur gestion étant entièrement automatisée.      





C’est d’ailleurs grâce à Dashlane que je rencontre tous ces sites aux limites trop faibles (longueur limitée, symboles limités) : par défaut, je l’ai configuré pour qu’il génère jusqu’à 28 caractères entièrement aléatoires. Dans la pratique, j’ai fini par baisser mes exigences.



Parfois, cependant, on doit taper un mot de passe manuellement, notamment sur smartphone, quelle qu’en soit la raison. Dans ce cas, on apprécie d’autant plus les mots de passes sans homographes. Rien de plus frustrant en effet que de deviner la différence entre un “I” et un “l”, ou un “O” et un “0” sur des polices de caractères que l’on maîtrise mal.

&nbsp;

Pour finir, qu’est-ce qu’un bon mot de passe ? Long, aléatoire, impossible à mémoriser, et… inconnu de l’utilisateur lui-même. Non ?








John Shaft a écrit :



une bogue





ah oui quand même <img data-src=" />



Oui, même si aujourd’hui le masculin est plus recommandé, je reste sur le féminin, je suis un rebelle


Pourquoi faire de l’anglicisme ? En quoi le terme original, “bug”, est-il gênant ?


Vous avez pas dit que c’était une maquette ? <img data-src=" />



Sinon excellent l’exemple de [email protected] <img data-src=" /> Mais ça serait plus [email protected] <img data-src=" /> <img data-src=" />


Manager de mot de passe pour moi depuis peu d’ailleurs. Chaque service/site, c’est un mot de passe auto-généré de 16 caractères aléatoires (que moi même je ne connais pas en fait). J’utilise SafeInCloud (pour son modèle économique un seul achat et c’est tout + mots de passe stockés en propre, pas chez eux, sous forme d’un fichier chiffré et “salté”).



Les applis Android/Windows/Mac sont très bien :) Reconnaissance de l’empreinte digitale pour entrer sans l’appli + plugins Chrome sous Windows et même sous Android afin d’auto-remplir les champs à la visite de sites internet.








EMegamanu a écrit :



Petite astuce pour compléter : en + de varier votre mot de passe, variez aussi votre adresse email avec des alias par exemple.




Pour les utilisateurs de GMail c'est assez facile,     








Pour les autres fournisseurs de messagerie je ne sais pas, mais cette astuce devrait INpacter pas mal de monde je pense.





sur Yahoo aussi, tu crées une racine et tu peux créer des extensions et surtout les révoquer si besoin.

J’ai une extension pour chaque site web inscrit.

Sinon j’utilise le gestionnaire de mdp de Firefox et sa synchronisation en espérant qu’ils ne se fassent pas hacker!



Petite précision, keepass 2 est l’un des seuls gestionnaires de mdp certifiés :



&nbsphttp://www.ssi.gouv.fr/entreprise/certification_cspn/keepass-version-2-10-portab…





Évitez tout gestionnaire qui n’a pas été audité avec un résultat public, Tavis Ormandy https://twitter.com/taviso) vient d’en péter quelques uns…


C’est mon côté “j’ai souffert en fac d’anglais”, où en version (trad langue étrangère -&gt; langue maternelle), les notes descendent très vite si tu ne traduit pas (quoique la version franco-québecoise de “bug” est peu connue). Du coup, c’est resté : quand il y a un équivalent français, je traduis. Pis j’aime bien le terme <img data-src=" />


Ah, intéressant tiens. <img data-src=" />



Version 2.10 ceci dit (on en est à la 2.34). A priori, il n’y a pas eut de gros changements dans le code de chiffrement (ça aurait changé de version majeure je pense sinon). Des corrections de bogues (hehe) à coup sûr.








OlivierJ a écrit :



Pour la SoGé (j’y ai un compte), c’est finalement assez sûr car l’identifiant utilisé pour se connecter n’est pas lié au compte, donc à supposer qu’on te voie cliquer sur ton mot de passe, il faut cet identifiant aussi (et il n’est pas dérivable du numéro de compte). Et avec 8 chiffres pour l’identifiant et 6 chiffres pour le code, on a de quoi voir venir (j’imagine qu’après 3 essais il y a un blocage, au moins temporaire).





Sauf que tout est visible à l’écran. Donc c’est tout sauf fiable.

Laissez-moi mettre mon identifiant (non dérivable de mon N° de compte ou de mon nom) et mon mot de passe (50 charactères mixes random) et ce sera fiable. Pas comme leur truc débile. Qui en plus de pas être safe, est chiant à saisir.



On avait aussi ce genre de stratégie dans ma boite. J’ai laissé tomber le jour où je me suis aperçu que tout le staff de compta avait les listes des mots de passe passés et présents dans leurs tiroirs, pour justement pouvoir créer un nouveau mot de passe. Rendu là, tu laisses tomber.

Quand tes utilisateurs n’ont même pas le niveau CAP (j’ai un CAP aussi, pas la peine de vouloir me faire la peau), pas la peine de leur demander un mot de passe compliqué : c’est humainement impossible de le créer et encore moins de s’en rappeler.


doublement rebelle alors, déjà qu’ utiliser le mot français c’est assez inhabituel…

Tu dis aussi “courriel”, “téléverser”, par exemple?


téléverser : oui. Si on dit télécharger, autant utiliser le terme français dans l’autre sens est logique.



Et je dis courrier ou message, comme ça j’évite les termes que je trouve foireux (mél et courriel) <img data-src=" />


Au Crédit Agricole ils font encore mieux :



Identifiant = N° de compte <img data-src=" />

Mot de passe = 6 chiffres à cliquer sur une grille aléatoire. <img data-src=" />



Comme ça si quelqu’un regarde par-dessus ton épaule il a tout bon! Et il peut aller à la banque avec le numéro de compte pour s’amuser <img data-src=" />


Le mail Laposte ne prends que de l’alphanumérique<img data-src=" />

Sinon, pour certains passes je met des phrases, ou des combinaisons de mots de passes.


J’avoue, c’est la première fois que je vois quelqu’un utiliser ces termes de manière non-ironique… (à part les administrations évidemment, et mon prof de techno au lycée il y a 20 ans qui a dû prononcer “bogue” un paquet de fois).


Sans compter que, généralement, les banques bloquent l’accès au compte après 3 essais.

J’imagine que ça doit être très chiant si un bot teste des milliers de compte et les bloque tous. <img data-src=" />

(Car bon, devoir appeler son agence + attendre un nouveau code par courrier postal … <img data-src=" />)



Coucou la Caisse d’Epargne avec leurs codes PIN à 4 chiffres par défaut (modifiables à 8).



Il y a quoi comme banque avec un “bon” niveau de sécurité ? Comprendre par là, compatibilité avec un mot de passe de 50 caractères chiffres/majuscules/minuscules/spéciaux/espaces …

Enfin, il y en a au moins ? <img data-src=" />


Je ne connaissais pas SafeInCloud, j’ai un peu de mal à comprendre l’intérêt par rapport à keepass + stockage de la base de mdp sur dropbox ou autre ? L’application Android ?



Sinon j’utilise keepass depuis un moment et j’en suis très content, le fait de pouvoir stocker des documents sensibles de manière sûre est également un gros plus à mes yeux. (copie de passeport et autre)

&nbsp;Cependant je me retrouve bien perdu quand je ne suis pas sur mon PC ou que je n’ai pas ma clef usb à portée de main…


Oui effectivement le gros plus c’est les applis multi-plateformes qui vont bien (et avec l’empreinte digitale, c’est diablement efficace sur un auto-remplissage du mot de passe sous chrome pour android par exemple).

Disons qu’avec l’appli Android, j’ai mes mots de passe partout où j’embarque mon téléphone (c’est à dire à peu près partout sauf à la piscine quoi).



Je stock le fichier chiffré sur mon Google Drive (mais DropBox et d’autres sont supportés également).


Faites également attention à vos codes PIN de carte bleue, suite à un leak, j’ai retrouvé le mien ici.


<img data-src=" />

Reste plus qu’à te piquer ladite CB

<img data-src=" />


Donc si je comprend bien, LastPass, ou tout autre système de gestion de mdp online, c’est mort ? Je comprend que le risque de failles est plus grand lorsque le tout est hébergé en ligne, mais avec la double authentification au login et sur la plupart de sites d’importance, la déconnexion automatique du plugin browser après 30 minutes et tout les avantages du multi-plateforme, il me semble que le mix pratique/sécurité est quand même assez relevé, non?



Oui je sais, il y a eu un bogue reporté il y a quelques semaines, mais c’était malgré tout très ciblé comme problème (et jusqu’à preuve du contraire, personne n’a été affecté).&nbsp;


Je ne suis absolument pas d’accord avec les résultats de zxcvbn:

&nbsp;

-&nbsp;sin^2(x)+cos^2(x)=1 peut etre prédit de manière très simple si on cherche des mots de passe qui peuvent être de la forme d’une equation (la solution serait de mettre une&nbsp;équation&nbsp;fausse, par exemple).



&nbsp;-&nbsp;InXanaduDidKublaKahnAStatelyPleasureDomeDecree étant le camelcase d’un poeme qui existe réellement est pire que n’importe quelle suite de mot aléatoires d’une longueur correcte: moins résistant niveau bruteforce mais plus difficile voir impossible à deviner via construction de mot de passe. On peut même ajouter un caractère spécial quelque part dans un mot. L’attaque par dico devient donc&nbsp;inefficace&nbsp;car même si on sait qu’il y a un caractère spécial, il faut trouver lequel et où.Mais evidemment, si on cherche juste en bruteforce…


Et le pire quand ils font ça c’est qu’ils sont convaincus que c’est vraiment sécurisé.








Aloyse57 a écrit :



On avait aussi ce genre de stratégie dans ma boite. J’ai laissé tomber le jour où je me suis aperçu que tout le staff de compta avait les listes des mots de passe passés et présents dans leurs tiroirs, pour justement pouvoir créer un nouveau mot de passe. Rendu là, tu laisses tomber.

Quand tes utilisateurs n’ont même pas le niveau CAP (j’ai un CAP aussi, pas la peine de vouloir me faire la peau), pas la peine de leur demander un mot de passe compliqué : c’est humainement impossible de le créer et encore moins de s’en rappeler.





Oh, quand on a bac +5 on fait encore pire que ça : Quand cette politique de mot de passe (qui m’emmerde) est en vigueur j’ai une furieuse envie de faire un radical invariant de 4 caractères groupés sur le clavier permettant de de correspondre à toutes les règles nécessaires majuscule, minuscule, chiffre, spécial et les 4 caractères suivants sont le numéro du mois en cours en base 16.

Du coup en janvier j’ai un truc du style

Janvier : pP0@1111

Février : pP0@2222

Mars : pP0@3333



Septembre : pP0@9999

Octobre : pP0@AAAA

Novembre : pP0@BBBB

Décembre : pP0@CCCC





  • Et le jour où ils crééront une règle pour interdire 4 caractères identiques consécutifs janvier deviendra 11pP0@11



    Donc oui, mon mot de passe dans ces conditions tient sur 4 caractères. <img data-src=" /> A trop vouloir de sécurité, en tuant toute forme d’ergonomie on finit par moins en avoir. (C’est sans compter que tous mes mots de passe professionnels (27 paires distinctes “login-mdp” en tout) sont dans un .txt).

    Le premier point d’un mot de passe est de pouvoir être retenu, si on doit le changer tous les mois c’est tout simplement impossible sans tricher.



Ce n’est pas une question de niveau d’étude mais de capacité de mémorisation et de mémoire !


J’ai une règle de base pour générer mes mots de passe (et je ne vais pas vous dire laquelle <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> ) avec des possibilités de déclinaison considérables (leeetspeak + interversions), et des mdp au final faciles à retenir, du moins pour moi.



Je retiens aussi le coup des alias pour les mdp. Cela peut aussi éviter le spam si on révoque l’alias. Faut que je vois comment faire des alias avec outlook, tiens…


Ben je les utilise couramment.

&nbsp;

Le problème avec certains Français c’est que non seulement ils ne connaissent pas leur langue mais qu’en plus ils ont honte de l’utiliser (enfin il semble) et, comme ils ne connaissent pas vraiment l’anglais…



Ils sont à la fois idiots et égoïstes. Les Québecois se bagarrent comme des fous pour garder leur langue, on se devrait de les aider en utilisant aussi les terminologies, souvent nettement plus futées que celle de la vieille dame académique française.








numerid a écrit :



Ce n’est pas une question de niveau d’étude mais de capacité de mémorisation et de mémoire !







J’ai bac + 4 et il m’arrive de temps à autre d’oublier un de mes propres mots de passe…



avec paypal ma stratégie est simple : j’oublie les mots de passe et donc il change à chaque fois.


Allez, cadeau, ma méthode à moi. Une phrase banale avec des fautes d’orthographe :

Aujourd’ui il fé bô!



En plus long, c’est pas mal.


Plutôt que&nbsp;double authentification, on devrait&nbsp;plutôt&nbsp;parler d’authentification à double facteur.&nbsp;


En gestion complétement foireuse de mot de passe, il y a le nouveau syndic de ma copro. Sur le premier courrier d’appel des charges, le login et mot de passe (généré aléatoirement par leur soin) pour accéder aux document de la copro (récap des charges, montants payés, etc) était indiqué sur le courrier (je trouvais déjà pas top de pas envoyer le login/mot de passe permettant d’accéder à la gestion des charges sur un courrier séparé).

J’ai modifié le mot de passe et lorsque j’ai reçu le second courrier d’appel, mon nouveau mot de passe ainsi que le login, étaient de nouveau écrit sur le courrier.

Va falloir que je leur écrive pour leur expliquer qu’un mot de passe ça se stock pas en clair et surtout on l’écrit pas sur tous les courriers qu’on envoi au client.

Même si dans mon cas ce login/mot de passe ne permet d’accéder qu’au récap de mes charges payées/à payer (il ne se passerait rien de “grave” si quelqu’un intercepté un courrier, mais c’est quand même pourri) ça me fait halluciner qu’aujourd’hui il y a ait encore des boite qui traitent la sécurité à la légère comme ça. Pour eux un mot de passe est sûrement classé dans la même catégorie que mon nom ou mon prénom et donc c’est pas grave si on l’indique dans tous les courriers envoyés au client…


J’ai eu pire, là où je travaillais avant. On devait aussi changer de mot de passe régulièrement (pas tous les mois quand même) et avec un minimum de changement avec le mot de passe précédent, sauf qu’une fois ça m’est arrivé juste avant les vacances. De retour après deux semaines au soleil, j’avais bien sûr oublié mon nouveau mot de passe. Quand je suis passé au service info pour qu’ils me le réinitialise, ils m’ont presque engueulé parce que selon eux j’aurais dû noter mon mot de passe sur un papier… <img data-src=" />


J’ai eu droit sur la page pour modifier un mot de passe à un super indicateur pour dire si le mot de passe respectait la presence de trois nouveaux caractères par rapport au mot de passe précédent. En 5 minutes à la main on pouvait avoir la liste des lettres composant le mot de passe…


Paypal n’accepte pas les espaces dans les mots de passe…








La news a écrit :



Attention aux outils en ligne pour tester et générer votre mot de passe






ilsn’acceptentpaslestrucsinutiles? <img data-src=" />


Le code a cliquer n’est pas si con c’est pour éviter les keylogger, après perso je regarde rarement mes comptes devant des personnes.


l’email du créateur de IhaveBeenPwned sort 7 fois <img data-src=" />








loser a écrit :



ah oui quand même <img data-src=" />





Une bogue c’est autre chose <img data-src=" />









loser a écrit :



doublement rebelle alors, déjà qu’ utiliser le mot français c’est assez inhabituel…

Tu dis aussi “courriel”, “téléverser”, par exemple?









John Shaft a écrit :



téléverser : oui. Si on dit télécharger, autant utiliser le terme français dans l’autre sens est logique.



Et je dis courrier ou message, comme ça j’évite les termes que je trouve foireux (mél et courriel) <img data-src=" />





Je n’emploie pas “téléverser” (pas mal), mais plutôt “déposer”, quand je n’emploie pas “upload”. Un collègue marseillais plus âgé disait “monter” et “descendre” et tout le monde comprenait : “j’ai descendu le fichier” ; pour “monter” on pourrait peut-être confondre avec le montage disque, mais comme on parle de fichier en même temps, il n’y a normalement pas d’ambiguïté.

&nbsp;

J’aime bien courriel, pour une fois que c’est parfait : aussi court que de dire “e-mail”, et abrégé du sens initial ; j’ai cependant tendance à dire tout simplement “message”.



@John : c’est agréable les gens qui n’emploient presque pas d’anglicisme, ça compense pour ceux qui abusent.



C’est pas un site pour vérifier le mot de passe, mais pour vérifier si ton adresse courriel ou ton identifiant se trouvent dans des données qui ont fuités ça ou là.

J’ai une adresse courriel qui a fuitée sur deux sites, dont l’un sur lequel je me suis jamais inscrit <img data-src=" />


Et si on doit le faire dans un cyber-espace, je suggère d’utiliser les applications en version portable et de ne consulter les sites qu’en passant par le support (clé ou disque dur usb) où on aura mis lesdites applications.








John Shaft a écrit :



téléverser : oui. Si on dit télécharger, autant utiliser le terme français dans l’autre sens est logique.

Et je dis courrier ou message, comme ça j’évite les termes que je trouve foireux (mél et courriel) <img data-src=" />









OlivierJ a écrit :



@John : c’est agréable les gens qui n’emploient presque pas d’anglicisme, ça compense pour ceux qui abusent.





Tiens … Vous me faites penser à cette pub <img data-src=" />

<img data-src=" />



Je comprends pas comment quelqu’un qui voudrait cracker mon mot de passe pourrait comprendre ce qu’il cherche (des mots, des caractères spéciaux…, un truc alphanumérique basique)








-_-’ a écrit :



Faites également attention à vos codes PIN de carte bleue, suite à un leak, j’ai retrouvé le mien ici.





<img data-src=" /> &nbsp;J’ai cliqué.









psn00ps a écrit :





ça ne teste pas ton mdp mais si t’es dans une liste de site hacké



« Car la découverte d’un mot de passe peut vite faire boule de neige et avoir des conséquences importantes lorsqu’il s’agit du compte de messagerie ou que le mot de passe est utilisé sur différents sites. »



Le même mot de passe pour tout , lol. Mais pire quand on crack des passwords on reste discrets, on ne dévoile pas sa mine d’info. Donc ce n’est pas valable comme constat. Quand la presse prends connaissance d’un hack d’envergure sur des bases de comptes , c’est une opération de com voulue et planifiée.



Slogan de KaliLinux (ancien BackTrack) à se rappeler à tout jamais en IT :

« the quieter you become, the more you are able to hear »





« Le cas de Dropbox, dévoilé cette semaine, illustre d’ailleurs assez bien cette problématique dans un environnement professionnel. »



Ben ouaih, mélanger du cloud public avec une infra. privée … je l’ai dit répété , gueuler …

On en vient à dire « chacun sa merde », après tout ! 





« Sachez d’ailleurs que le site Have I Been Pwned permet de rechercher son identifiant/email dans les bases de données qui ont été publiées sur Internet. »



Typiquement le genre de site ou on se fait piquer son adresse mail puis injecter dans les moteurs de spam et autres attaques : A FUIRE !!!



Poème, formule … un dico bien construit pète tout ça un deux secondes ! (les bonnes mauvaises idées du CERN!)



DiceWaer : pas plus simple comme méthode encore ?



Entropie ? Tester ma recette vous allez halluciner avec un simple : bgtrfv-2018

https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html



Je redonne ma recette :

Elle se base sur le fait qu’il faille ne pas connaître son propre mot de passe, il faut qu’il soit impossible de l’écrire ou de s’en souvenir : un cerveau cela se pirate aussi.



Pour ce faire, il vous suffit de dessiner une forme (elle peut être très complexe, éh éh) sur votre clavier … souvenez-vous uniquement de cette forme … et vous aurez votre mot de passe d’une complexité délirante. Des logiques de formes : il y a en a beaucoup.



C’est quasi incrackable.(par dico 0 chance)



Mais ne rêvons pas trop la puissance du quantique couplé à l’IA va là aussi changer profondément la donne …



Et une clef de cryptage de 10 Gb çà vous dit ? C’est assez safe .



« Activer la double authentification »

… mouaih ? NAS etc … quand on veut passer : on passe et bien souvent sans le mot de passe … désolé ,mais c’est de la poudre aux yeux.

Prenez l’exemple du coffre fort dans 90 % des cas le mur est en placoplatre ou en parpaing : porte blindé mur en agglo … un coup de masse et roule … quelque soit la porte.



« L’usage d’une clé USB U2F commence à se répandre »

Idem trop de de point de faiblesse … « on passe par un tiers » .. eh ben on agit ici.



« N’hésitez d’ailleurs pas à alerter la CNIL lorsque vous rencontrez pareils cas.  « 

Les pauvres tu va leur en donner du boulot là !



« Attention aux outils en ligne pour tester et générer votre mot de passe »

Euh, tu en proposes un juste au-dessus sur github …



« Tout le monde s’accorde en effet pour dire qu’un mot de passe ne doit être utilisé que pour un seul service afin d’éviter une cascade de piratages en cas de fuite. »

Non, pas forcément !!!

Il faut surtout bien séparer ses types d’activité sur la toile, cloisonner par type d’usage. Un mot de passe par site , bah tiens !!!!!



« …notamment parce qu’une personne peut vous observer lorsque vous le saisissez ou bien arrive à le découvrir en fouillant sur votre ordinateur ou sur le réseau … »

Justement avec un mot de passe par forme … impossible pour un observateur de le capter car si j’inclus un passage sur la touche ^ suivi de la barre espace l’observateur est leurré …



« Un keylogger peut avoir été installé afin de récupérer l’ensemble des frappes au clavier. »

Lol : Windows 10 est un keylogger, plus besoin de le démontrer désolé. 



Alors oui, il faut sortir à minima avec « capote » (HTTPS ; POP3S ; SMTPS etc) mais après …



Sinon au final on bascule dans un état policier, ou chaque individu devient un parano total.

Une civilisation basée sur le sécuritaire.

Certains osent parler de modèle Israélien de la société dans le sens sécuritaire (cf. déclaration de Hervé Morin, Guillaume Larrivé et Éric Ciotti .. Cazeneuve à NYC … etc)





… franchement , vous valez bien mieux que ça, en tant qu’être humain !



Je réitère ma vision de la sécurité :http://www.ledufakademy.fr/?p=392



Très bon article, qui pose déjà les bases … (KeePass : pas mal en effet, et libre donc vérification du code possible , mieux pour la sécurité)


Tu as raison pour bien pirater le maximum d’adresse mail possible !

Vous êtes trop c… !



<img data-src=" />


Non tout ce qui est écrit dans le moindre bouquin est à proscrire : Google s’amuse à TOUS les numériser .. n’oubliez pas !








Obelixator a écrit :



Tiens … Vous me faites penser à cette pub <img data-src=" />

<img data-src=" />





Excellent, merci&nbsp;<img data-src=" />

Je l’ai déjà relayée.

&nbsp;



C’est toi qui voit. Ce site est réputé, son créateur aussi. De plus, il possède déjà ton mail et sans doute tes mots de passe que tu as utilisé sur des sites qui se sont fait pirater (si tu es concerné).

(Et non, pour avoir testé différentes adresses mail sur ce site, je n’ai jamais reçu de spam sur celles qui n’étaient pas déjà spammées.)








MaiEolia a écrit :



Le problème qui reste encore régulièrement c’est les sites qui n’autorise pas les mots de passe de + de 810 caractères ou refuse les caractères spéciaux… Du coup obligé de mettre des mots de passe “simple”.







Tellement vrai. Et comme la sécurité c’est comma la chaine alimentaire …







Carlie a écrit :



J’aime bien en général trouver une petite phrase et y mettre des majuscules, des chiffre et des caractères spéciaux, comme dis dans certaines recommandations.

Passer de “un petit chat se promène dans la rue” à “1PetitCHATSePromèn3DansLaRu3%”.

Même si la majuscule en début de mot est assez classique, c’est toujours un peu de complexité de pris.







Là tu viens de définir un algo de crakcage de password .. je te laisse tirer les conclusions de ta PROPRE méthode !







hellmut a écrit :



moi j’ai arrêté les conneries.

Keepass et voilà. je me fais plus chier à essayer de m’en souvenir, et j’ai des pass de roxxor de 30 caractères totalement imbitables.



maintenant les sites qui stockent en clair, en général c’est des sites ecommerce à 2 balles et j’y mets un pass… à 2 balles. Quand je reçois le mail de bienvenue avec mon mot de pass, en général je tape l’affiche publiquement au site et à son presta (sur twitter). par contre j’ai jamais su s’ils avaient corrigé. ^^







Un bon outil keepass.yep.

mais

https://www.blackmoreops.com/2015/11/04/anti-hacking-tool-got-hacked-keefarce-ca…









boogieplayer a écrit :



En tant que développeur nous incitons nos clients à mettre un peu de sous sur le e-commerce que nous leur faisons sur du fail2ban. x tentatives et ça ban l’autorisation d’accès au compte.



C’est du point de vue de l’éditeur de site le meilleur moyen, sauf que lors que c’est ban, tu te retrouve au tel avec le client pas content.



Je prône pour ma part l’utilisation de dashlane, avec un passe phrase d’accès très fort, et on génère à chaque site un mdp différent via dashlane. C’est à mon sens la seule vraie solution humainement tenable.









dashlane … bon, revient prendre des cours de sécu. là lol.





jaffalibre a écrit :



la banque postale c’est 6 chiffres mais au bout de 3 tentative ton compte en ligne est bloqué et je crois qu’il faut attendre un courrier avec le nouveau mdp de mémoire. Pour rappel, le code PIN à 4 chiffres est l’un des plus dure à cracker vu que tu as que 3 essais.









Flogik a écrit :



Pas totalement convaincu par tout cela. 

Avoir un mot de passe fort c’est bien en théorie mais avoir autant de mot de passe que de sites internet, et tous complexes rend la procédure lourde. 

J’utilise keepass pour stoquer mes mots de pass et je n’ai pas le même pour chaque site web, mais devoir lancer keepass à chaque fois est assez contraignant, et limite beaucoup la faisbilité. Avoir de bons principes c’est bien, les rendre applicable c’est mieux ! 

Je crois qu’il existe des plugin pour keepass, mais je ne sais pas si quelque chose existe pour qu’il complète directement dans les sites internet les mots de pass ?? (Comme ce que fait un explorateur web, mais sans tout stoquer en clair …). 

J’ai essayé de convertir ma femme a keepass, peine perdue !







Grilled oui, il y a l’autocompletion automatique …







David_L a écrit :



C’est aussi pour ça que la double authentification est une bonne solution, puisqu’elle apporte une composante aléatoire à un mot de passe. Après tout dépend aussi de ce que l’on veut protéger. Mais il suffit de voir ceux a qui on a défoncé tous les comptes perso avec des données importantes (Gmail, Facebook, Amazon, etc.) suite à une fuite de mot de passe chez un site qui ne faisait pas gaffe pour comprendre qu’il y a des précautions à prendre, quitte à ce que cela soit moins pratique au quotidien…









la chaine alimentaire quoi ….

En secu on dit : votre niveau de sécurité est celui de votre maillon le plus faible : allez GOOD LUCK à TOUS !!!



<img data-src=" />





busta525 a écrit :



Salut salut,



J’ai une petite question, je cherchais un gestionnaire de mot de passe local et je suis tombe sur Enpass. Il semble pas mal et ils ont des application UWP et meme une extension pour Edge qui serait en cours de developpement. Par contre, il n’a pas l’air tres connu et est tres rarement cite. Je me pose des questions, est ce un bon gestionnaire ou faudrait-il que je passe sur autre chose de plus connu…



Enpass a l’air plutot simple a utiliser egalement et les mises a jour sont regulieres.



Qu’en pensez-vous?



Merci







Son code est-il auditable librement ?







OlivierJ a écrit :



Pour ma part, je n’utilise pas fail2ban mais j’ai mis 2 règles IPTables trouvées en ligne il y a longtemps, au bout de 3 tentatives de connexion SSH (à la 4e donc) en moins d’une minute, pendant encore 1 minute l’IP est bloquée (via une règle DROP). Ça limite déjà bien la force brute.







qui définit les protocoles ?

tu as ta réponse.









ledufakademy a écrit :



Poème, formule … un dico bien construit pète tout ça un deux secondes&nbsp;! (les bonnes mauvaises idées du CERN!)





Toujours aussi sûr de toi dans tes commentaires…



A te lire on pète toujours tout, mais quand on utilise des poèmes ou des formules, il suffit de modifier une seule lettre ou d’enlever un espace pour que le dictionnaire soit inutile. Et puis il y a tellement de chose à mettre dans les dictionnaires si on rencense toutes les possibilités, ça devient infaisable, on retombe sur la force brute.







ledufakademy a écrit :



Je redonne ma recette&nbsp;:&nbsp;

Elle se base sur le fait qu’il faille&nbsp;ne pas connaître son propre mot de passe, il faut qu’il soit impossible de l’écrire ou de s’en souvenir&nbsp;: un cerveau cela se pirate aussi.&nbsp;



Pour ce faire, il vous suffit de dessiner une forme (elle peut être très complexe, éh éh) sur votre clavier … souvenez-vous uniquement de cette forme … et vous aurez votre mot de passe d’une complexité délirante. Des logiques de formes&nbsp;: il y a en a beaucoup.&nbsp;



C’est quasi incrackable.(par dico 0 chance)&nbsp;





Si tu as dessiné une forme plutôt qu’entré des chiffres, en quoi c’est moins “piratable” depuis ton cerveau ? Et puis il ne faut pas changer de disposition de clavier entre les variantes selon le type (clavier de fixe ou de petit portable, mobile).

&nbsp;



ledufakademy a écrit :



Mais ne rêvons pas trop la&nbsp;puissance du quantique couplé à l’IA&nbsp;va là aussi changer profondément la donne …&nbsp;





Ben voyons…

Dispo demain sur grosbill.com .

&nbsp;





ledufakademy a écrit :



Et une clef de cryptage de 10 Gb çà vous dit&nbsp;? C’est assez safe .&nbsp;





Et tu la stockes comment ? Et tu la rentres comment ?

NB : “ça” (pas d’accent)







ledufakademy a écrit :



«&nbsp;Tout le monde s’accorde en effet&nbsp;pour dire qu’un mot de passe&nbsp;ne doit être utilisé que pour un seul service afin d’éviter une cascade de piratages&nbsp;en cas de fuite.&nbsp;»&nbsp;

Non, pas forcément&nbsp;!!!&nbsp;

Il faut surtout bien séparer ses types d’activité sur la toile, cloisonner par type d’usage. Un mot de passe par site , bah tiens&nbsp;!!!!!&nbsp;





ça ne veut rien dire ton avant-dernière phrase. Ça veut dire quoi “séparer” ? On parle justement de séparer ses mots de passe selon les sites ou du moins leur criticité.

Perso j’ai un mot de passe générique pour tous les trucs pas importants.

&nbsp;





ledufakademy a écrit :



«&nbsp;Un keylogger peut avoir été installé afin de récupérer l’ensemble des frappes&nbsp;au clavier.&nbsp;»&nbsp;

Lol&nbsp;:&nbsp;Windows 10 est un keylogger, plus besoin de le démontrer désolé.&nbsp;&nbsp;





On voudrait bien voir la démonstration.









ledufakademy a écrit :



qui définit les protocoles ?

tu as ta réponse.





Je n’ai rien compris.

Remarque générale, tu devrais éviter les réponses allusives dont tu abuses.



Le problème du Québec est un peu différent: la francophonie est très minoritaire au sein du pays et à ce titre elle est menacée.

En France , l’Académie aime bien inventer des mots ou des traductions plusieurs mois ou années après que le terme anglais est passé dans le langage courant. Donc trop tard. ça et le côté souvent&nbsp;ridicule (si, si, il faut bien l’avouer…) n’aide pas à l’adoption généralisée de ces néologismes francisés.


On n’a pas le même niveau en informatique , c’est juste simple à comprendre. Et peut-être en géopolitique également …



Alors j’explique :

Les protocoles réseaux et algorithmes de cryptage sont majoritairement (99.9%) conçus et fabriquer par les Ricains (USA, NSA , CIA etcétéra …) ce qui signifie …



… qu’ils ont très fortement inclus les backdoor et/où faiblesse là ou ils le voulaient bien.



Donc les mots de passe c’est de la poudre au yeux pour béotiens.

Mais parlons en …



Le jour où tu comprendras ça .. .on pourra souffler !



(allez rien de méchant, prend pas tout à cœur, je suis toujours un peu provoc , ce ton arrogant pour mieux ouvrir le débat)


et si je te dit que j’ai posé un sous-marin sur son site ?

tu me réponds quoi ?


<img data-src=" />



excellent en effet !



Je la ramène pas trop car quand on parle avec des admin, techos et architectes .. c’est idem .. sur la partie technique ! , pas le reste hein


« Un keylogger peut avoir été installé afin de récupérer l’ensemble des frappes au clavier. »

Lol : Windows 10 est un keylogger, plus besoin de le démontrer désolé.



On voudrait bien voir la démonstration.



ok je m’en occupe !!!! (Mozinor DJ BEBEL California love)



http://christians-steffen.fr/windows-10-bloquer-collecte-de-donnees-automatique/

http://www.silicon.fr/windows-10-aspire-donnees-personnelles-cinq-minutes-155566…



C’est hors sujet mais cela va illustrer : même les VM qu’on disait inviolable … ben c’est fait.

http://www.silicon.fr/attaque-flip-feng-shui-vm-cloud-poreuses-156463.html



Et quand on le sait (presse , grd public) , cela fait belle lurette que c’est hacké !!!

Crois moi quand je parle sécu. , je connais un peu mon sujet. Malgré une technique sans prétention vis avis du white ou blackhat.


J’espère que tu es cohérent avec tout ce que tu dis et que tu ne possèdes pas de smartphone, sinon ton discours tombe complètement à l’eau. Windows 10 aspire des données certes, mais de là à le traiter de Keylogger pour aspirer tout tes mots de passe, c’est un peu gros. Leur but est “seulement” de rattraper leur retard sur leur compagnon à ce petit jeu. Ils veulent aussi leur part du gâteau. Ce n’est pas pour autant que je cautionne tout ceci.



Franchement, je trouve qu’il y a des choses vraiment pertinentes dans ce que tu dis, mais également des choses qui sont écrites seulement pour la provocation (selon moi). C’est bien de vouloir ouvrir le débat, mais il y a différentes façon de le faire et certaines sont plus fonctionnelles…



Quand à la faille sur Keepass, après avoir lu l’article cité, et si je ne me trompe pas, il faut que le malfaiteur ait un accès direct à la machin, non? Et les mise à jour depuis le 1115 ont elles comblées cette “faille”?








ledufakademy a écrit :



Tu as raison pour bien pirater le maximum d’adresse mail possible !

Vous êtes trop c… !



<img data-src=" />





? explique



Mon adresse principale est de type pré[email protected]



Je te dis pas comment je galère pour la mettre sur la plupart des sites car ces idiots sont pas capable de vérifier correctement.



Alors que les sites qui vérifient pas les entrées utilisateurs (oui c’est mal) et envoi un mail de validation, mon adresse fonctionne niquel <img data-src=" />



Du coup je fais chier le support et ils me mettent manuellement l’adresse dans leur base x)


C’est pas parce que tu donnes ton adresse courriel à quelqu’un qu’il peut te la pirater <img data-src=" />








kwak-kwak a écrit :



il faut que le mot de passe soit différent à plus de 50% des 5 précédents =&gt; C’est impossible de comparer la ressemblance 2 mots passe hachés, les mots de passes sont donc stockés en clair (ou avec un chiffrement réversible, ce qui revient au même). <img data-src=" />





Il existe des systèmes qui avant d’accepter un nouveau mdp testent une certain nombre de variantes de ton mdp pour vérifier que tu ne t’es pas contenté d’un changement trivial.

Bon après, s’ils utilisent un algo de hash lent (ce qui est quand même la base), il ne peuvent détecter que des variantes assez basiques, donc ce que tu décris est effectivement mauvais signe…







Flogik a écrit :



Génial ce truc ! Je vais essayer !





Ce que j’ai compris du mécanisme m’a amené à le déconseillé aux personnes auxquelles je conseille Keepass.

Sauf erreur de ma part, ça se base sur de la simulation de clavier pré-programmée, ce qui signifie que si le layout du site change, on se retrouve à entrer son mdp dans le mauvais champ…







Heretron a écrit :



Je comprends pas comment quelqu’un qui voudrait cracker mon mot de passe pourrait comprendre ce qu’il cherche (des mots, des caractères spéciaux…, un truc alphanumérique basique)





Il existe un certain nombre de méthodes ‘classiques’ de construction, qui sont connues pas les crackers de mots de passe. Quelqu’un qui cherche à craquer ton mdp peut employer deux méthodes (je schématise brutalement, c’est pas mon métier):





  • soit il va y aller par force brute, en essayant les méthodes par ordre de complexité : d’abord essayer les méthodes qui aboutissent au mdp les plus simples (par exemple la méthode consistant à choisir sa date de naissance), et monter progressivement vers les méthodes qui aboutissent aux mdp les plus variés.

    Au final, quand on dit “il ne faut qu’une minute pour balayer tous les mdp constitués de moins de n lettres”, on ne dit pas que le cracker va trouver un tel mdp en une minute, mais que la méthode va être bien classée dans sa liste, et que du coup il va assez vite la tester. Après il va peut-être mettre une où deux heures avant de trouver un tel mdp, le temps d’essayer les méthodes encore plus basiques, mais une minute ou une heure, peu importe, c’est pas assez.

  • soit il se base sur un dictionnaire de mdp existant, et en teste des variantes. Cela signifie que si la méthode que tu utilises ne permet que peu de combinaisons, il y a de fortes chances que le cracker le retrouve en testant des variantes simples d’un mdp de sa liste, issu de la même méthode





    Dans tous les cas, utiliser une méthode aboutissant à des résultats complexes et variés augmente la difficulté pour celui qui veut casser ton mdp.



“Si vous êtes plus scientifique que littéraire, vous pouvez vous servir d’une formule mathématique comme mot de passe : « sin^2(x)+cos^2(x)=1 » et « ax²+bx+c=0 » par exemple”



Ça marche aussi en bio :



assword: DroshaDGCR8Xpo5-DicerTRBP/PACT-Ago1-2-34

guesses_log10: 39.00511

score: 4 / 4

function runtime (ms): 8

guess times:

100 / hour: centuries (throttled online attack)

10 / second: centuries (unthrottled online attack)

10k / second: centuries (offline attack, slow hash, many cores)

10B / second: centuries (offline attack, fast hash, many cores)







-&gt; DroshaDGCR8Xpo5-DicerTRBP/PACT-Ago1-2-34 : le mdp (que je n’utilise pas évidemment) correspond ici à l’ensemble des protéines nécessaires à la création d’une molécule sur laquelle je bosse.



Faudra que j’y réfléchisse à l’avenir :)



(wiki)


Il suffit de lancer KeePass au démarrage, après tout est automatique avec le bon plugin dans le navigateur (KeeFox par exemple pour… Firefox), aussi bien le remplissage auto pour les passwords connus que la génération de nouveau mot de passe dans les formulaires d’inscription.


Avec F2B les bans sont temporaires ^^








ledufakademy a écrit :



Non tout ce qui est écrit dans le moindre bouquin est à proscrire : Google s’amuse à TOUS les numériser .. n’oubliez pas !





Je suis presque certain que tous les caractères de ton clavier sont dans des livres. C’est pas pour autant que les combinaisons de ceux-ci sont nulles.

Tirer au hasard un mot de passe de peu de caractères (de l’ordre de 5-6), mais dans un alphabet énorme (le million de mots de la langue française) permet une complexité aussi importante sinon plus qu’en tirer une dizaine dans un alphabet plus réduit (la centaine de caractères de ton clavier).









ledufakademy a écrit :



Un bon outil keepass.yep.

mais

https://www.blackmoreops.com/2015/11/04/anti-hacking-tool-got-hacked-keefarce-ca…





ouais enfin faut avoir accès à la machine cible, machine sur laquelle il ne faut pas d’outil anti-exploit style EMT, et qui utilise la version .NET de keepass (ie pas la 1.X).



autant utiliser un keylogger pour chopper la passphrase au login. ^^



la note de Keepass à propos de keefarce



mouais, franchement j’ai une confiance moyenne dans tout ce qui est plugins. ça ajoute un vecteur d’attaque supplémentaire à mon avis. surtout que c’est juste un atout confort. keepass le fait nativement avec quelques clics de plus.








numerid a écrit :



… Les Québecois se bagarrent comme des fous pour garder leur langue, on se devrait de les aider en utilisant aussi les terminologies, souvent nettement plus futées que celle de la vieille dame académique française.





Ça c’est la façade. Dans la vie de tous les jours, le mélange anglais français prédomine. Il n’y a presque pas une phrase complète en français qui ne contienne un mot anglais ou une expression anglaise littérale traduite mot à mot.

1/Ça ne me gêne en rien.

2/Ça fait 17 ans que j’y vis.









ledufakademy a écrit :



On n’a pas le même niveau en informatique , c’est juste simple à comprendre. Et peut-être en géopolitique également …&nbsp;





<img data-src=" />&nbsp;Merci pour l’éclat de rire… à tes dépends, je précise.







ledufakademy a écrit :



Alors j’explique :&nbsp;

Les protocoles réseaux et algorithmes de cryptage sont majoritairement (99.9%) conçus et fabriquer par les Ricains (USA, NSA , CIA etcétéra …) ce qui signifie …&nbsp;



… qu’ils ont très&nbsp;fortement&nbsp;inclus les backdoor et/où faiblesse là ou ils le voulaient bien.&nbsp;



Donc les mots de passe c’est de la poudre au yeux pour béotiens.&nbsp;





T’as décidé de nous faire rigoler aujourd’hui, la touche de complotisme (pour pas changer), conclue par une super phrase chose censée être définitive&nbsp;<img data-src=" />&nbsp;.

J’ai même pas envie de répondre sérieusement à ce genre de propos (oui car c’est en partie n’importe quoi, pour des raisons pas compliquées).







ledufakademy a écrit :



Le jour où tu comprendras ça .. .on pourra souffler !&nbsp;



(allez rien de méchant, prend pas tout à cœur, je suis toujours un peu provoc , ce ton arrogant pour mieux ouvrir le débat)&nbsp;





Oh t’inquiète, ça fait longtemps qu’on ne te prend pas au sérieux, le ton n’étant guère mieux que le fond.&nbsp;









Zerdligham a écrit :



Ce que j’ai compris du mécanisme m’a amené à le déconseillé aux personnes auxquelles je conseille Keepass.

Sauf erreur de ma part, ça se base sur de la simulation de clavier pré-programmée, ce qui signifie que si le layout du site change, on se retrouve à entrer son mdp dans le mauvais champ…





c’est tout à fait ça.

ceci dit je crois qu’il y a une option qui prend en compte le nom du champ, mais comme j’ai pas essayé, je peux pas en parler. ^^



Je ne sais pas si cela a été proposé dans les 14 pages précédentes de commentaires, mais la recommandation que je préconise est la suivante:

&nbsp;

Générer aléatoirement une séquence d’environ 6 caractères contenant au moins 2 chiffres, 2 lettres et 2 caractères spéciaux ( ex: a@2^1p ) qui doit être mémorisé par cœur, puis pour chaque site Internet ou service, adapter le mot de passe en y injectant des caractères dans le mot de passe suivant une logique que vous inventez.

&nbsp;

Par exemple, on pourrait dire pour NextInpact, que l’on injecte en majuscules les 2 premières lettres du nom de domaine devant le mot de passe et les 2 dernières en bout du mot de passe (solution très simpliste pour l’exemple) ce qui donnerait “NEa@2^1pCT”.

&nbsp;

Il suffit donc de ne retenir que le mot de passe principal et sa méthode. Idéalement, il vaut mieux faire des décalages alphabétiques pour que cela soit moins visible, par exemple en décalant de 2 dans l’alphabet les caractères injectés, ce qui donnerait “PGa@2^1pEV”. De même, faites varier majuscules et minuscules pour avoir au moins 2 minuscules, 2 majuscules au minimum.








ledufakademy a écrit :



Un bon outil keepass.yep.

mais

https://www.blackmoreops.com/2015/11/04/anti-hacking-tool-got-hacked-keefarce-ca…





KeeFarce n’est pas vraiment une faiblesse de Keepass :http://keepass.info/help/kb/sec_issues.html#keefarce

C’est juste une illustration du fait qu’à partir du moment où tu exécutes un malware sur ton poste, tu as perdu. Par construction, aucun logiciel ne peut résister à ce type d’attaque.









Zerdligham a écrit :



KeeFarce n’est pas vraiment une faiblesse de Keepass :http://keepass.info/help/kb/sec_issues.html#keefarce

C’est juste une illustration du fait qu’à partir du moment où tu exécutes un malware sur ton poste, tu as perdu. Par construction, aucun logiciel ne peut résister à ce type d’attaque.







Edit : Grilled <img data-src=" />

Reedit : damned, je me suis trompé de bouton <img data-src=" />









ledufakademy a écrit :



« Un keylogger peut avoir été installé afin de récupérer l’ensemble des frappes au clavier. »

Lol : Windows 10 est un keylogger, plus besoin de le démontrer désolé.



On voudrait bien voir la démonstration.



ok je m’en occupe !!!! (Mozinor DJ BEBEL California love)



http://christians-steffen.fr/windows-10-bloquer-collecte-de-donnees-automatique/

http://www.silicon.fr/windows-10-aspire-donnees-personnelles-cinq-minutes-155566…



[…]

&nbsp;

Et quand on le sait (presse , grd public) , cela fait belle lurette que c’est hacké !!!





Tu confonds l’envoi de données personnelles (par défaut) par Windows 10, qui a été dénoncé immédiatement avant même sa commercialisation officielle, et ce qu’est réellement un keylogger.

La provocation ça va 2 minutes, mais à un moment ça devient un ineptie.







ledufakademy a écrit :



Crois moi quand je parle sécu. , je connais un peu mon sujet. Malgré une technique sans prétention vis avis du white ou blackhat.&nbsp;









darkbeast a écrit :



? explique





Faut pas trop en demander au grand gourou…









Zerdligham a écrit :



Je suis presque certain que tous les caractères de ton clavier sont dans des livres. C’est pas pour autant que les combinaisons de ceux-ci sont nulles.

Tirer au hasard un mot de passe de peu de caractères (de l’ordre de 5-6), mais dans un alphabet énorme (le million de mots de la langue française) permet une complexité aussi importante sinon plus qu’en tirer une dizaine dans un alphabet plus réduit (la centaine de caractères de ton clavier).





Ça m’avait fait rigoler sa phrase, apparemment il n’y a pas que moi.









hellmut a écrit :



c’est tout à fait ça.

ceci dit je crois qu’il y a une option qui prend en compte le nom du champ, mais comme j’ai pas essayé, je peux pas en parler. ^^





Je suis comme toi : je préfère l’utiliser brut de fonderie, sans auto-type, sans plugin. Je ne passe pas tellement de temps à entrer des mots de passe, je survis à 3 clics de plus.









OlivierJ a écrit :



Faut pas trop en demander au grand gourou…





Bah au moins il m’a permis de découvrir que NXi avait une fonction “filtrer l’utilisateur”!



ah oui mais non moi justement j’utilise l’autotype. ^^

et effectivement c’est une connerie comme tu l’as expliqué.

mais:

1- c’est super pratique

2- si jamais la page change et que keepass saisit le pass dans un mauvais champs et valide la page (c’est là que c’est foireux puisque ça envoie le formulaire avec le pass en clair): on s’en rend compte tout de suite et on génère un nouveau pass super facilement.



du coup c’est pas ultra top, mais le rapport coût/bénéfice est, à mes yeux, en faveur de l’autotype (surtout parce qu’on peut générer un nouveau pass ultra facilement).


Je pense que l’écrasante majorité des critiques de la ‘méthode xkcd’ n’ont pas compris en quoi elle consiste. Sa faiblesse, c’est que trop de sites ont des restrictions stupides sur la complexité des mdp, pas la robustesse des résultats.

Sinon je ne l’aime pas trop, à complexité égale je trouve plus pratique d’apprendre un truc abscons mais plus court (12-4 caractères aléatoires pour 4 mots si ma mémoire est bonne), c’est plus dur les deux premières semaines, mais plus rapide à l’usage.


Cadeau ! Mes 10 derniers mots de passe :



$ tr -dc ‘[:graph:]’ &lt; /dev/urandom | fold -w35 | head -n 10



<img data-src=" />


[mavie] j’utilise la méthode des premières lettres d’une phrase, en ajoutant des chiffres pour faire bonne mesure, et un caractère spécial à la fin pour les sites tatillons.

Lors de ma dernière mission, les exigences pour le mot de passe m’ont saoulées, plus le PALC (proxy à la con), du coup ma phrase était “la sécurité chez Client en 2016 c’est vraiment de la mouise” -&gt; “lscCe2016cvdlm” qui se révèle pas trop mal côté robustesse.


Je fais sensiblement la même chose. J’ai eu une phase ou mon mdp était inspiré de jeux vidéos (genre Rc’edlBj’anuF88! pour Raekor c’est de la balle, j’ai niqué une faille 88!)








Olibois a écrit :



Cadeau ! Mes 10 derniers mots de passe :



$ tr -dc ‘[:graph:]’ &lt; /dev/urandom | fold -w35 | head -n 10



<img data-src=" />





J’aurai appris l’utilisation du méta-caractère&nbsp;’[:graph:]’ merci :-) .









ledufakademy a écrit :



Et une clef de cryptage de 10 Gb çà vous dit ? C’est assez safe .





Une clef de chiffrement plus longue que l’empreinte obtenue ? A tout casser une cinquantaine de caractères pour SHA-1, il sera plus facile de trouver une collision. <img data-src=" />













John Shaft a écrit :



C’est mon côté “j’ai souffert en fac d’anglais”, où en version (trad langue étrangère -&gt; langue maternelle), les notes descendent très vite si tu ne traduit pas (quoique la version franco-québecoise de “bug” est peu connue). Du coup, c’est resté : quand il y a un équivalent français, je traduis. Pis j’aime bien le terme <img data-src=" />





Et donc, c’est “tampon Z” au lieu de “z-buffer” ?



Je pense que cette méthode est un peu trop bien vue par rapport à la sécurité qu’elle procure vraiment.

Les utilisateurs n’iront jamais piocher dans la totalité du dictionnaire (et au passage il n’y a pas un million de mots en français, 90 000 pour les dico les plus complets, mais seulement 32 000 mots usuels). Et donc, si on écarte les mots trop simples (2 à 4 lettres), les mots pas assez courant, les utilisateurs vont piocher dans une base restreinte (1 000 à 3 000 mots dans le français élémentaire).

Du coup, prendre 6 mots dans un dictionnaire (de 3 000 mots), ça revient en terme de probabilités à prendre un mot de passe à 10 caractères avec majuscules et caractères spéciaux.

Pas si terrible que ça finalement…


pwgen -ys 35 10

C’est plus simple à taper <img data-src=" />


Trop gros, passera pas&nbsp;<img data-src=" />


Il y a aussi d’autres soucis.

Les gens n’iront (presque) jamais prendre 6 mots, car bon, faut le saisir, ce mot de passe. ^^

Ensuite, même si une phrase ou une suite de mots est plus facile à retenir qu’une succession de caractères aléatoires, ce n’est pas suffisant pour l’extrême majorité des gens : si l’on a des comptes sur 20 différents, ça fait 20 phrases à retenir. 40 comptes, 40 phrases. La réutilisation des MdP, qui est sans doute le danger le plus important, guette toujours.

(Et 20 ou 40 comptes, c’est vraiment peu. Essayez de faire le compte, certains passeront très facilement la centaine …)








Kwaïeur a écrit :



&nbsp;ce n’est pas suffisant pour l’extrême majorité des gens : si l’on a des comptes sur 20 différents, ça fait 20 phrases à retenir. 40 comptes, 40 phrases. La réutilisation des MdP, qui est sans doute le danger le plus important, guette toujours.

(Et 20 ou 40 comptes, c’est vraiment peu. Essayez de faire le compte, certains passeront très facilement la centaine …)





Je pensais que les gens séparaient la solidité des mots de passe en fonction de la criticité du site. J’ai des mots de passe plus forts et différents pour les trucs où j’ai assez peu envie qu’on me craque : gmail, facebook et quelques autres, éventuellement aussi dès qu’il y a de l’argent potentiellement en jeu.

En revanche, pour plein de sites sans importance, j’ai quasiment le même mot de passe, c’est pas grave si on me pique l’accès.



J’aime les experts sécu. … ils sont comme les assureurs : des vendeurs de peur , avec une coquille vide.

allez bon bashing.


tu n’as même pas compris que si on te fais une note de 15 000 € sous paypal ou sous le site de ta banque tu seras remboursé … même pour un password qu’on te pique ou trop simple, ce qui est quasi improuvable en plus !



<img data-src=" />


ouais.

seulement si le mec est malin il te fait pas une note de 15000, mais des petits achats qui passent inaperçu.

et avant de s’en rendre compte… ^^


ah d’accord donc toi , tu as assez de pognon pour que 5 euro ce soit inaperçu sur ton compte à 4 chiffres (en début de mois hein ;-)) ?

ben on a pas les mêmes valeurs .. ou plutôt moyens dit voir !



Nous on fait nos comptes et chaque centimes d’euros on sait ou il part : et heureusement !



J’aurais out entendu sur ce site, mais c’est ce qui me plaît : cette différence <img data-src=" />


Ta remarque porte sur l’applicabilité de la méthode (tout comme les critiques sur le fait qu’elle ne fonctionne pas quand le concepteur du site a la bêtise de limiter la taille du mdp).

Si les utilisateurs n’appliquent pas la méthode parce que c’est fatiguant de choisir un mot au hasard, ils n’ont effectivement pas la sécurité apportée par la méthode. De la même façon que si pour choisir un mdp de 10 caractères arbitraire ils se limitent au minuscules parce que c’est fatiguant d’appuyer sur shift+une touche, ils n’auront pas la sécurité apportée par 10 caractère vraiment aléatoires.



Moi non plus je ne l’aime pas trop niveau facilité d’application, mais d’un point de vue combinatoire il n’y a rien à redire.


Question de style de vie.

Il y a des gens qui sont ric-rac toutes les fins de mois, et d’autres qui avec le même salaire préfèrent se serrer la ceinture sérieusement une fois pour avoir ensuite quelques centaines d’euros d’avance et la tranquillité d’esprit qui va avec.


du tout, c’est juste que je passe pas mon temps à checker mon compte en banque. donc 5€ oui, ça va passer inaperçu.

comme dit Zerdligham, y’en a qui font tout au centime près dès le 1er du mois, moi je m’en fous. c’est en fin de mois que je me restreins. ^^








hellmut a écrit :



ouais.

seulement si le mec est malin il te fait pas une note de 15000, mais des petits achats qui passent inaperçu.

et avant de s’en rendre compte… ^^







Je connais, ça m’est arrivé : 50 € de Macdo en provenance d’un compte paypal que je n’avais utilisé que 23 fois pour acheter des trains électriques au Royaume-Uni, parce que le vendeur ne prenait pas la CB pour les frais de port <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> (vendeur blacklisté par la suite, il y a de la concurrence dans ce domaine au Royaume-Uni, je l’ai faite jouer).



J’ai vu ça tout de suite, j’ai immédiatement bloqué la CB (qui allait expirer trois semaines plus tard de toutes façons, j’avais déjà sa remplaçante en poche <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> ), ma banque m’a remboursé et le gars n’a pas réussi à se payer ses meubles de salle de bain à mes dépends (plusieurs appels de Leroy-Merlin sur mon portable, alors que je ne leur ai jamais rien acheté, même pas un tournevis).







hellmut a écrit :



du tout, c’est juste que je passe pas mon temps à checker mon compte en banque. donc 5€ oui, ça va passer inaperçu.

comme dit Zerdligham, y’en a qui font tout au centime près dès le 1er du mois, moi je m’en fous. c’est en fin de mois que je me restreins. ^^







J’appartiens à la catégorie de ceux qui vont tous les jours sur l’appli/le site de leur banque pour voir leur solde.



Le cas c’est jamais vraiment présenté <img data-src=" /> Mais oui, une zone tampon en mémoire


Chez moi (et mes règles f2b un poil extrême), le bannissement de base, c’est 1 semaine <img data-src=" />


Le TLD qui passe pas ? Ils savent qu’il en existe dans les 1500 et que le monde ne se limite pas à .fr, .com, .org ou .net ? <img data-src=" />



Ils ont entendu parler de la loi de Postel ? <img data-src=" />


Y a une part de réaction allergique aux cadres de ma boîte qui ne jure que par des “business unit”, “SLA” et qui sont impactés (faux anglicisme au passage) au moindre incident :) .


Oui, une bogue ça pique. Je sais <img data-src=" />








John Shaft a écrit :



Le cas c’est jamais vraiment présenté <img data-src=" /> Mais oui, une zone tampon en mémoire



(tampon de profondeur)



C’est bien d’avoir des mots de passes complexes, le souci c’est lorsqu’on tombe sur un site qui lui, n’accepte pas les caractères spéciaux ni même les mots de passe trop longs.



Sachant que j’en utilise dans tous mes MDP, je suis forcé de changer mon pattern sur ces sites . Résultat ? J’oublie toujours ces mots de passes là.








Commentaire_supprime a écrit :



J’appartiens à la catégorie de ceux qui vont tous les jours sur l’appli/le site de leur banque pour voir leur solde.







Il y a donc une chance par jour pour qu’un trojan récolte tes données bancaires… <img data-src=" />



Il me semble plutôt qu’il enlève la dernière lettre de chaque mot (sous chaque mot, il y a des cases avec une en moins)&nbsp;: correchorsbatterstapl



guesses_log10:19.1971

&nbsp;score:4 / 4

&nbsp;function runtime (ms):6

&nbsp;guess times:

&nbsp;100 / hour:centuries(throttled online attack)

&nbsp;10&nbsp; / second:centuries(unthrottled online attack)

&nbsp;10k / second:centuries(offline attack, slow hash, many cores)

&nbsp;10B / second:49 years(offline attack, fast hash, many cores)








ledufakademy a écrit :



Là tu viens de définir un algo de crakcage de password .. je te laisse tirer les conclusions de ta PROPRE méthode !





Conclusion, avec une complexité si énorme malgré un algo “simple”, il faut un très long moment de calcul pour réussir à trouver la bonne combinaison.



Compare ça à un code de cadenas.

C’est super simple, il n’y a que 10 possibilités par roulette et 4 roulettes.

Si tu veux le craquer à la main, tu fais ton test en 1 seconde (tu tourne bien vite les roulettes).

Pourtant, tu ne trouve pas le bon code en 1 seconde (ou alors tu as vraiment de la chance).

Il te faudra un peu de temps, mais tu y arriveras, certes.

&nbsp;

Maintenant, remplace les roulettes à 10 par des roulettes à 10 millions.

Et tu en mets 8-10 à la suite.

Même si tu vas très vite, il va te falloir une très grande quantité d’essai et beaucoup de temps en moyenne pour trouver le bon code.



Il faut ajouter qu’en fait tu ne sais pas à l’avance les règles du mot de passe, un nombre de “roulettes” variable et une composition indéfinie.



Le nombre de case n’a rien à voir avec le nombre de lettres du mot, mais avec le nombre de combinaisons possible. Il a mis 11 cases parce qu’il se choisis ses mots au hasard dans un dictionnaire de 2^11~2000 mots courants.


bon en même temps je peux aussi faire un fichier qui s’appelle “ALL CREDIT CARD PIN CODES IN THE WORLD LEAKED” avec une liste de chiffres entre 0000 et 9999 et dirent attention vous êtes tous hackés <img data-src=" />