Suppression des mots de passe : des paroles de Google aux actes de Medium

Suppression des mots de passe : des paroles de Google aux actes de Medium

Un email suffit

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

02/07/2015 4 minutes
54

Suppression des mots de passe : des paroles de Google aux actes de Medium

La question de l'utilité des mots de passe revient régulièrement sur le devant de la scène. Si certains ont déjà franchi le pas en local avec le NFC ou les empreintes digitales, ils restent quasi indispensables pour s'identifier sur un site. Ce n'est plus le cas de Medium qui propose une alternative intéressante par email.

Les mots de passe sont en sursis si l'on en croit les déclarations de plusieurs géants du web, Google en tête. Dernière en date, la conférence I/O de fin mai (voir notre compte rendu) où le groupe de « pirates » ATAP dressait un bilan peu glorieux : « 70 % des utilisateurs oublient un mot de passe une fois par mois. Il faut en moyenne 2,4 essais avant d’entrer le bon mot de passe. Les humains sont une mauvaise source d’entropie ». Google en profitait alors pour présenter sa solution maison baptisée Abacus qui se base des capteurs afin d'identifier une personne.

Mais pour le moment, rien de bien concret n'a émergé et, de manière générale, le mot de passe reste quasiment incontournable pour s'identifier sur Internet. Afin de renforcer la sécurité, il est parfois doublé d'une double authentification via une clé USB de sécurité (FIDO U2F par exemple), une application dédiée ou bien un SMS envoyé sur votre téléphone portable ; de quoi limiter les risques en cas de fuites de données.

Pour se connecter à Medium, plus besoin de mot de passe, un simple email suffit

Dans un billet publié récemment, la plateforme de blogs Medium revient sur ce sujet et explique que « l'authentification est une affaire sérieuse ». Elle aussi dresse un constat peu flatteur : « Les mots de passe ne sont ni sûrs ni simples. De plus, ils sont soit difficiles à se rappeler, soit faciles à deviner, et tout le monde réutilise les mêmes (même s'ils savent qu'ils ne devraient pas le faire), et enfin ils sont difficiles à taper sur mobile ».

La plateforme annonce ensuite la mise en place d'un changement important avec un « processus de connexion aussi simple et sécurisé à utiliser que possible, et ce, sur toutes les plateformes » : un simple lien (avec un token) dans un email. Oui, rien de plus, aucun mot de passe ou code PIN à saisir.

Pour s'identifier, il suffit donc de se rendre sur Medium, de choisir la méthode d'authentification par email et d'entrer son adresse email. Une fois le lien reçu par courriel dans sa boite de réception, il suffit de cliquer dessus pour être redirigé et logué automatiquement sur Medium. Sur iOS, le lien ouvre directement l'application Medium, et cela arrivera prochainement sur Android.

La plateforme précise au passage que cela permet de se passer d'une identification par Facebook ou Twitter, qui était jusqu'à présent incontournable.

Medium authentification mailMedium authentification mailMedium authentification mail

Un lien valable une seule fois et pendant 15 minutes, mais pas de double authentification

Bien évidemment, certaines protections sont mises en place : le lien n'est valable que pendant 15 minutes et il est utilisable qu'une seule fois pour s'identifier. Afin de rassurer ses utilisateurs, Medium ajoute que sa procédure (par email) est finalement très proche de celle utilisée par de nombreux sites en cas de changement de mot de passe.

La plateforme enfonce le clou : « Cela semble contre-intuitif, mais c'est en fait plus sécurisé qu'un système par mot de passe. Sur la plupart des services, si quelqu'un devine ou dérobe votre mot de passe, il a accès à votre compte jusqu'à ce que vous changiez votre mot de passe, ce qui peut prendre du temps ». Pour Medium, sa solution présente en plus l'avantage de vous notifier dès que quelqu'un tente de se connecter à votre compte.

Pas d'emails chiffrés, dommage

Si le principe semble intéressant, il faudra par contre bien cadenasser sa boite email, qui est pour sa part généralement protégée par... un mot de passe. Il serait également bien que Medium propose l'envoi d'emails chiffrés afin d'éviter une interception, ce qui n'est malheureusement pas le cas pour le moment. On peut aussi imaginer que cette méthode d'identification par email puisse être combinée avec une double authentification (application, clé USB, SMS, etc.), mais ce n'est pas encore possible.

Quoi qu'il en soit, Medium a l'avantage de proposer une solution qui, même si elle est encore perfectible, semble plutôt intéressante sur le papier. Bref, sur la fin des mots de passe, il y a ceux qui en parlent et ceux qui proposent des solutions concrètes. Reste à voir si cela donnera des idées à d'autres.

Medium email

54

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Pour se connecter à Medium, plus besoin de mot de passe, un simple email suffit

Un lien valable une seule fois et pendant 15 minutes, mais pas de double authentification

Pas d'emails chiffrés, dommage

Commentaires (54)


C’est le serpent qui se mort la queue. C’est même pire, il suffit de pénétrer le compte mail pour ainsi pouvoir contrôler le compte Medium. Un mot de passe au lieu de deux. Je ne vois pas ce que ca sécurise, hormis si l’auth au compte mail est MFA …


Pas convaincu, mais c’est bien d’essayer de régler ce problème.


Sujet délicat, pour moi la solution c’est d’avoir une clé usb «intelligente» qui peut produire des tokens à partir d’une clé pgp. Le truc c’est qu’avec l’essor des smartphones, les gens veulent du tout intégré et la sécurité…



Mozilla a lancé depuis un moment un projet ayant le même but :&#160https://login.persona.org/ et dont le fonctionnement est beaucoup plus sécurisé, dommage que ça ne prenne pas…


Il est vrai que de retenir une “base” de mot de passe qu’on personnalise, c’est hyper difficile.

 

Il suffit de ne retenir que la “recette”.


A la rigueur, un code envoyé par mail aurait pu faire l’affaire (on peut le recevoir sur le portable, pour l’utiliser sur le fixe). 



Mais un lien, c’est super pas pratique… et ça demande soit d’être toujours connecté à sa boite mail (donc mot de passe enregistré), soit de se connecter pour l’occasion… avec son mot de passe. 



Une “solution” bien fade, hélas.


Ce n’est pas pire puisque dans tout les cas, l’accès à Medium est possible via “mdp oublié”.


Ça marche jamais ça. Je fonctionnais comme ça mais certains sites demande de la ponctuation, d’autre pas, d’autre 2 types de ponctuations différent mais pas de point. Je passe aussi le site qui dit que ton mot de passe doit faire entre 6 et 8 caractères, pas de bol si le tiens en fait 9… Avec 2 majuscules qui ne se suivent pas etc. etc.

 

 Chaque site a son système, ce qui fait que la recette que j’appliquais de base… Bah elle marche plus. J’ai oublié les sites qui t’interdisent d’utiliser le même mot de passe que les 30 années précédentes (j’exagère à peine)…

 

 Bref aujourd’hui c’ets impossible de gérer tous ses mots de passes. Heureusement certains sites sont patients avec 5 essais, 3 essais c’est déjà + galère… J’aimerais vraiment un système mieux pensé mais je sais que c’est pas simple. La preuve, c’est que si je comprends bien Medium, il suffirait d’avoir accès au mail pour se connecter partout… Ah bah c’ets à peu près déjà le cas en faisant mot de passe oublié en fait. Donc pour moi c’est pas vraiment moins sécurisé… Faudrait juste ajouter une double authentification avec téléphone mobile.


C’est exactement ce qu’on entend par “Les humains sont une mauvaise source d’entropie”: l’existence d’une recette pour générer des mots de passe.



compte gmail: user=toto pass=totogmail

compte facebook: user=titi pass=titifacebook

compte itunes: user=tata pass=tataitunes

compte NXI: user=tutu pass=???? <– hmmmm let me guess



<img data-src=" />








azerty774 a écrit :



il suffit de pénétrer le compte mail pour ainsi pouvoir contrôler le compte Medium.



+1

De plus, certain mdp comme sur steam ou SW:toR mettent déjà 15 minutes à arriver dans la BaL…



Encore une fausse bonne idée.

Ton serveur mail est en carafe, fini, plus d’accès à quoi que ce soit



Sans compter l’interception d’e-mails.



Encore une boîte qui veut faire parler d’elle


ce que je trouve le mieux c’est l’authentification par téléphone. Il existe des applis professionnel qui gère via une auth un popup sur le téléphone et il suffit de cliquer dessus et ça marche.





Après c’est pro c’est payant mais je trouve l’idée bonne.









127.0.0.1 a écrit :



compte NXI: user=tutu pass=???? &lt;– hmmmm let me guess



Comment connais-tu les mots de passe utilisés sous gmail, facebook et itunes ?&nbsp;&nbsp;&nbsp;

Et sans eux, comment devines-tu celui de NXI ?



Il te suffit de n’en connaitre qu’un seul, si il contient des caractères manifestement liés au service (xxx_FB pour Facebook, xxx_NI pour Next Inpact, etc.) tu vas vite tenter ta chance sur les autres services les plus connus ^^



Et pour ça il suffit de regarder les leaks réguliers de BDD volées aux services, les mots de passes enregistrés sur les ordis public, le shoulder surfing et j’en passe…


Enfin ton compte mail est compromis, quels que soient les méthodes de login choisis, tous les sites qui permettent de réintialiser leur mot de passe tombent également. Donc non, ce n’est ni mieux, ni pire de ce point de vue là.


Mouais les authentifications via téléphone pose quand même un problème : pas de téléphone = pas d’accès.

Du coup dès que tu es à l’étranger, que tu ne captes pas, que tu n’a plus de batterie ou encore que t’as oublié ton téléphone (cas qui peut arriver régulièrement) ça peut vite devenir la grosse galère..



Ça me fait penser à ma copine qui à voulue se connecter à son compte hotmail depuis l’espagne : par mesure de sécurité l’accès demandais de confirmer l’identité via téléphone ou via une autre adresse email. Malheureusement pas de réseau en espagne (avec free) et la boite mail de secours était aussi une hotmail qui lui demandais la même chose.<img data-src=" />



Bon heureusement j’avais mon compte gmail qui lui ne faisait pas chier..<img data-src=" />








3rr0r404 a écrit :



Il te suffit de n’en connaitre qu’un seul, si il contient des caractères manifestement liés au service





DayWalker a parlé de recette, pas de recette débile.&nbsp;

Et si tu vois le mot de passe “knsD2zen” pour NXI, vas-tu perdre du temps à trouver le mot de passe pour facebook, ou vas-tu t’intéresser davantage à ceux qui ont mis 123546 ?&nbsp;



&nbsp;PS: on peux imaginer que pour facebook, le password soit ksfD3zna selon une recette assez simple pour FB et gksD1mzn pour gmail



“Les mots de passe ne sont ni sûrs ni simples. De plus, ils sont soit difficiles à se rappeler, soit faciles à deviner”



Randal Munroe l’avait anticipé, en ces termes exacts.

La solution : des passphrase. Facile a retenir, dur à bruteforcer.


A chaque news password, l’éternel débat.


C’est vachement novateur, mozilla avait fait la même chose il y a quelques années…

&nbsp;



&nbsphttps://www.mozilla.org/en-US/persona/


Je mets tout mes mots de passe sous drive, des mots de passe compliqués.

J’ai bien évidement une recette universelle à appliquer à tous ces MDP pour les utiliser.

&nbsp;

&nbsp;Quelques secondes pour ouvrir drive et trouver le MDP.


Pas téléphone dans ce cas il propose par email. Après quand on perd ses clefs de voiture on ne peu plus la démarrer..


Je pense que les solutions KeePass et consœurs + cloud (Google Drive, OneDrive, …) ont de l’avenir devant elles !

1 master password + 1 mot de passe aléatoire pour chaque site.

En plus, avec des applications Android qui se font passer pour un clavier, même plus besoin de taper.








Koxinga22 a écrit :



“Les mots de passe ne sont ni sûrs ni simples. De plus, ils sont soit difficiles à se rappeler, soit faciles à deviner”



Randal Munroe l’avait anticipé, en ces termes exacts.

La solution : des passphrase. Facile a retenir, dur à bruteforcer.





sauf pour la pas-tout-a-fait-brute-force &nbsp;combiné a des dictionnaires&nbsp;

&nbsp;

passphrase &nbsp;+ caracteres speciaux

&nbsp;

&nbsp;



Oui, enfin, une phrase contient de la ponctuation, donc des caractères spéciaux non ?








127.0.0.1 a écrit :



C’est exactement ce qu’on entend par “Les humains sont une mauvaise source d’entropie”: l’existence d’une recette pour générer des mots de passe.




 compte gmail:   user=toto  pass=totogmail       

compte facebook: user=titi pass=titifacebook

compte itunes: user=tata pass=tataitunes

compte NXI: user=tutu pass=???? &lt;-- hmmmm let me guess





<img data-src=" />






&nbsp;Forcément, mais bon, on peut générer plus compliqué ^^, comme "Mon chien s'appelle félix" donne la base "mochsapfe", et sur le site facebook, tu rajoutes un "f" en huitième position (vu que facebook comporte huit lettres, par exemple). C'est une recette pas bien dure à retenir.     



&nbsp;





Pumpk1n a écrit :



Ça marche jamais ça. Je fonctionnais comme ça mais certains sites demande de la ponctuation, d’autre pas, d’autre 2 types de ponctuations différent mais pas de point. Je passe aussi le site qui dit que ton mot de passe doit faire entre 6 et 8 caractères, pas de bol si le tiens en fait 9… Avec 2 majuscules qui ne se suivent pas etc. etc.



 &nbsp;





Effectivement, ca peut parfois poser soucis, mais bon, il n’est pas bien dur de retenir une base avec juste des lettres, une autre avec de la ponctuation et de la variation de casse. Ca ne fait jamais que deux choses à retenir. Au pire, si tu te trompes de mot de passe, tu testes la seconde formule !



&nbsp;


Chez Google on a moins ce problème : l’application Google Authentificator qui génère le code de sécurité n’a plus besoin de réseau une fois paramétrée, il faut alors juste de la batterie ;)&nbsp;


Les passphrases ça revient tout le temps dans les débats, c’est séduisant mais avoir une passphrase différente pour chaque compte est à peu près aussi difficile à retenir que pour les mots de passe.

Les “recettes”, idem: plus la recette est complexe, plus elle est difficile à retenir/appliquer. Et si je me faisais voler un mot de passe utilisant une recette, je ne serais pas rassuré pour les autres utilisant la même recette.

Pour moi, la seule bonne solution à l’heure actuelle, c’est le gestionnaire de mots de passe. Les mots de passe sont tous indépendants, et complètement aléatoires dont très robustres, 0 effort de mémoire (sauf pour retenir le mot de passe maître), saisie automatique plus rapide que la saisie manuelle.

J’ai environs 150 entrées dans cette base, je ne me vois pas retenir autant de mots de passe ni de phrases de passe.


Heu… C’est quoi Medium. Je pige pas trop le concept là. Faut créer un compte pour pouvoir lire le contenu c’est ça ? <img data-src=" />


Mouais, ça prendra jamais, trop long pour le réaliser. Une double authentification avec un SMS est plus rapide. Surtout que les mails arrivent dans 95% des cas dans les quelques secondes, mais on a tous déjà attendu un mail généré automatiquement qui devrait arriver, etqui finalement, a force de F5, débarque dans une lenteur mystérieuse. Or il suffit d’une fois ou l’on ne peut pas utiliser le service pour faire demi tour.&nbsp;

&nbsp;

&nbsp;Bon, ceci dit j’ai déjà aussi attendu le SMS de double authentification qui a mis 5 min a arriver…

&nbsp;

&nbsp;Sinon perso j’utilise une recette (addition de la première lettre du site en question, d’un mot de passe générique et d’un nombre), qui fonctionnne sur “presque” tout, suffisament sécurisé et très facile. A côté de ça j’ai un conteneur keepass pour enregistrer mes mots de passe mais qui n’a besoin d’être ouvert que rarement.&nbsp;

&nbsp;

&nbsp;

&nbsp;NB : ma “recette” est un tout petit peu différente, mais c’est pour illustrer…


&nbsp;Hum, conseille lui d’utiliser l’application Authenticator de Microsoft. Plus besoin d’attendre un email, l’appli génère un code et ca fonctionne en hors ligne aussi.


Aucune logique : identification sur le site sans mot de passe ok, mais identification dans la boite de réception par mot de passe. Une alternative incomplète, et le manque de sécurité d’un mot de passe est toujours présent.








Faith a écrit :



DayWalker a parlé de recette, pas de recette débile. 

Et si tu vois le mot de passe “knsD2zen” pour NXI, vas-tu perdre du temps à trouver le mot de passe pour facebook, ou vas-tu t’intéresser davantage à ceux qui ont mis 123546 ? 



 PS: on peux imaginer que pour facebook, le password soit ksfD3zna selon une recette assez simple pour FB et gksD1mzn pour gmail







Disons que si t’as un compte sur paypal, y a des chances que j’essaie de me connecter sur ton compte avec pksD1azn <img data-src=" />









127.0.0.1 a écrit :



C’est exactement ce qu’on entend par “Les humains sont une mauvaise source d’entropie”: l’existence d’une recette pour générer des mots de passe.



compte gmail: user=toto pass=totogmail

compte facebook: user=titi pass=titifacebook

compte itunes: user=tata pass=tataitunes

compte NXI: user=tutu pass=???? &lt;– hmmmm let me guess



<img data-src=" />









pass: wxD345(-è_}}==123vbn?

On ne rigole pas avec son compte NXi <img data-src=" />









127.0.0.1 a écrit :



Disons que si t’as un compte sur paypal, y a des chances que j’essaie de me connecter sur ton compte avec pksD1azn <img data-src=" />





Parce que tu as eu accès à 3 mots de passe, sur des applis importantes et que tu t’es penché spécifiquement sur mon compte (parmi quelques centaines de millions).

&nbsp;



&nbsp;En vrai, les éventuels hackers ont mille fois plus vite fait de s’intéresser à d’autres.



Cela ne fait que détourner le problème. Cela impose l’accès à la boite e-mail, on doit toujours d’y connecter pour accéder aux autres sites. On se fait hacker la boite e-mail&nbsp; = pareil pour tous les sites basés sur ce système. Et souvent il n’y a aucune vérification pour changer le mot de passe (juste être connecté et aller dans son compte puis valider).


Il n’y a pas de solution miracle.

&nbsp;

À partir du moment où on a intégré ça, tout devient plus logique bordélique <img data-src=" />








Faith a écrit :



Parce que tu as eu accès à 3 mots de passe, sur des applis importantes et que tu t’es penché spécifiquement sur mon compte (parmi quelques centaines de millions).



 En vrai, les éventuels hackers ont mille fois plus vite fait de s’intéresser à d’autres.







En vrai, les hackers s’intéressent aussi parfois à une personne spécifique qui a protégé son compte, et pas seulement à une masse de gens qui utilisent leur date de naissance comme password.



Puisqu’on parle de medium.com, de password par email et de hacker spécialisé: How I Lost My $50,000 Twitter Username









127.0.0.1 a écrit :



Puisqu’on parle de medium.com, de password par email et de hacker spécialisé: How I Lost My $50,000 Twitter Username





On ne protège pas quelque chose qui vaut 50.000$ comme on protège un compte mail.

&nbsp;Là est la principale erreur.



Oui, enfin faut aussi faire un tout petit effort à un moment (et je pense que c’est ça le souci : les gens ne comprennent pas l’intérêt de faire un effort) ; faire une recette du style : “deux chaînes de chiffres” + “1 chaîne de caractères en Majuscules” + “1 chaîne de caractères en minuscule” + “un caractère spécial”, que tu peux mixer/utiliser partiellement à ta guise, ça offre déjà des possibilités.

Alors oui, du coup des fois sur des sites tu vas douter “merde, j’ai utilisé quel combo déjà ?!” mais ce n’est pas si grave de faire 1, 2 tentatives ou finir par demander un changement de mots de passe.



Mais l’idée du process “réinitialisation de mot de passe” pour l’authentification est une idée “d’appoint” intéressante ; bien sûr, elle est insuffisante tant que les clients emails sont soumis à une authentification par mot de passe, ça rend la connexion au site dépendante d’un service tiers, MAIS ça reste intéressant <img data-src=" />


Enfin là si tu t’en fais griller un, les autres vont suivre.

&nbsp;



&nbsp;Faudrait au mini remplacer aussi le nom du site pas un truc “construit”.


Personnellement, je vais rester avec la double authentification, qui apporte un réel plus au niveau de la sécurité. Il faut juste avoir le téléphone avec soi, mais bonne chance aux éventuels pirates <img data-src=" />








Koxinga22 a écrit :



Oui, enfin, une phrase contient de la ponctuation, donc des caractères spéciaux non ?





C’était pas pour te corriger &nbsp;hein :)

C’est juste que quand je lis certains…

Pour eux il est utile de préciser que l’utilisation de “Mots” ne dispense pas de

Majuscules + Minuscules +&nbsp;Chiffre + Caractères Spéciaux

&nbsp;

et donc qu’ils n’y a pas que la force brute pour craquer les mots de passe

quelque’un qui vous pirate n’est pas forcement un inconnu à l ‘autre bout du monde , ca peut être un proche : un collègue , de la famille&nbsp;

&nbsp;

&nbsp;

&nbsp;

sinon pour les ptis malins et leur super recettes : testez la force de vos mots de passe , vaut mieux

https://apps.cygnius.net/passtest



<img data-src=" /> Sympa comme site, je cherchais justement des password checker, ceux que j’ai trouvé étaient beaucoup plus permissifs que celui-là.



Pour “Ô nombre d’élégance”, il me dit que ca prendrait des siècles à bruteforcer mais que le mdp n’est pas acceptable car il ne contient pas de chiffre. Idem pour “Que j’aime à faire connaitre un nombre utile”.



Au final, la plupart des mes mdp usuels sont trop courts pour lui, le seul qui est acceptable est : “@rretez2LireMesMDP!!” (n’essayez pas, je ne l’utilise plus ^^)



Edit : marrant

“1PourTous,EtTousPour1” n’est pas acceptable et craqué en 5 mois selon lui, mais si je retire un “t” pour avoir “1PourTous,ETousPour1”, la ça devient 5 ans et donc acceptable.


Un pattern qui marche bien, c’est de faire du JSON : {MDP2015=“secure”} est un bon mot de passe selon lui.

Après, on peut utiliser son imagination pour mapper diverses variables à l’application concernée ^^



{“site”:“NXI”,“pwd”:“1”}








Koxinga22 a écrit :



Edit : marrant

“1PourTous,EtTousPour1” n’est pas acceptable et craqué en 5 mois selon lui, mais si je retire un “t” pour avoir “1PourTous,ETousPour1”, la ça devient 5 ans et donc acceptable.





C’est toujours les mêmes âneries, ces vérificateurs de mots de passe: ils partent du mot de passe pour calculer le temps, mais en faisant cela, il utilisent des informations sur le password pour choisir quel algo utiliser.&nbsp;



Le premier mot de passe est visiblement sensible aux attaques basées sur les pass-phrases.&nbsp;




  • comment le hacker sait-il qu’il s’agit d’une phrase ? S’il ne le savait pas, combien de temps aurait-il passé à brute-forcer les mots de passe de 1 à 8 caractères, se serait-il arrêté à 8, pourquoi ne serait-il pas allé à 10 ?&nbsp;

  • comment sait-il qu’il s’agit de français ? tente-t-il toutes les langues ?&nbsp;

  • combien de temps aura-t-il passé à faire des passphrases françaises de 1015 mots avant de tenter de rajouter de la ponctuation ? (peu d’utilisateurs en mettent, alors pourquoi perdre un temps monstrueux à tester avec)&nbsp;

    &nbsp;

    Ces outils sont toujours un peu bidons quand il s’agit de comparer des mots complexes.&nbsp;

    Ils sont seulement utiles pour montrer aux utilisateurs de mots simplistes qu’ils sont potentiellement en danger.

    &nbsp;



Assez d’accord en général.



Cependant, dans l’exemple que je donne, on voit que le système est assez malin car il ne s’est pas basé sur la longueur du mot de passe (le plus court est jugé meilleur) mais sur l’entropie : supprimer un “t” qui était déjà présent 2 fois dans le mdp fait augmenter le désordre.



Je ne vois pas l’outil comme un réel indicateur de craquage mais un vérificateur que certaines règles sont bien respectées. Les règles en question ayant été dictées par la logique mathématique, et des experts.








Koxinga22 a écrit :



&nbsp;“1PourTous,EtTousPour1” n’est pas acceptable et craqué en 5 mois



J’ai fait le test pour le mot de passe que j’ai proposé un peu plus haut: sans ponctuation, juste alpha+maj+chiffre de 8 caractères.&nbsp;

Résultat: 9 mois.&nbsp;

&nbsp;

&nbsp;Ca voudrait dire que l’algo teste les pass phrases françaises de 8 composants avec ponctuation + chiffre + majuscules AVANT les mots de passe “simples” de 8 caractères !!!&nbsp;

Ridicule…&nbsp;

&nbsp;

&nbsp;

Pire: dans les résultats, il me dit que son calcul repose sur un composant “bruteforce de 6 caractères” + “dictionnaire pour le ‘en’ final” !!!&nbsp;



Ca n’a aucun sens.



Ve genre de batard de développeur méritent des bonnes tartes. Et malheureusement il en a trop qui sont des bon attardés de la sécurité et qui emmerdent tous les user avec des règles ultra spécifiques et débile sur la struture de leur mdp.

Il y a aussi les trou de balles qui stockent la base de mdp en clair sans hash et les transit de mdp en clair.&nbsp;&nbsp;



&nbsp;C’est bien ça qui est dangereux, c’est qu’il faut faire confiance aux service que l’on utilise si l’on utilise plusieurs fois le même mot de passe.&nbsp;



&nbsp;Je dois avoir au moins 500 comptes un peu partout sur le net, il devient impossible d’un point de vue pratique d’utiliser des mdp tout le temps différents.


J’avoue que je n’ai pas bien saisi son découpage. Comme tu le faisait remarquer, c’est un raisonnement a posteriori qui ne cadre pas avec la réalité (pour ce que j’en sais).



Cependant, c’est un des moins permissifs que j’ai utilisé, on va dire qu’il encourage à forger des mdp vraiment secure.








Faith a écrit :



J’ai fait le test pour le mot de passe que j’ai proposé un peu plus haut: sans ponctuation, juste alpha+maj+chiffre de 8 caractères.&nbsp;



Résultat: 9 mois.&nbsp;      

&nbsp;

&nbsp;Ca voudrait dire que l'algo teste les pass phrases françaises de 8 composants avec ponctuation + chiffre + majuscules AVANT les mots de passe "simples" de 8 caractères !!!&nbsp;

Ridicule...&nbsp;



&nbsp;

&nbsp;

Pire: dans les résultats, il me dit que son calcul repose sur un composant “bruteforce de 6 caractères” + “dictionnaire pour le ‘en’ final” !!!&nbsp;



Ca n’a aucun sens.





non ce qui n ‘as aucun sens c’est de ce dire q’on est a l ‘abri de telle ou telle sorte d’attaque

faut voir ca en global

&nbsp;

Pour la securité c’est ceinture ET bretelle&nbsp;

&nbsp;

le mot de passe MonBeauSapinRoiDesForets&nbsp;&nbsp;est tres bon d’un point de vue force brute

en plus on va pas utiliser un algo specialement pour toi hein, &nbsp;l’algo de craquage peut pas deviner que tu n ‘utilises pas de nombre ou de signes , donc de ce point de vue il est aussi bon que n’importe quel mdp de 24 caracteres

Par contre il ne résistera pas a une attaque par dictionnaire



Le site n’essaye pas de craquer vraiment le mot de passe , il te mets l ‘accents sur les faiblesses de ce dernier.

&nbsp;

Et avant de crier au ridicule , rien n’empeche une attaque combinée , plusieurs algos …



Bahhhh.

Quand ce sera au point, Google ou Apple vont racheter Medium, et voilà.








jeffster a écrit :



non ce qui n ‘as aucun sens c’est de ce dire q’on est a l ‘abri de telle ou telle sorte d’attaque

&nbsp;



Je ne sais pas qui a dit une telle chose…



&nbsp;

le mot de passe MonBeauSapinRoiDesForets&nbsp; (…)

Par contre il ne résistera pas a une attaque par dictionnaire



On demande au site, et il nous répond:

“crack time (display):



 centuries"   



&nbsp;C’est à dire bien meilleur que le passe proposé précédemment avec autant de mots, et une virgule en prime.

&nbsp;

&nbsp;Comme quoi ce site n’est vraiment pas d’accord avec la logique élémentaire…





Et avant de crier au ridicule , rien n’empeche une attaque combinée , plusieurs algos …IO



Le goulet d’étranglement, c’est le temps de traitement.

Multiplier les stratégies, c’est multiplier le temps de traitement, pas tellement pertinent.

&nbsp;

&nbsp;Pour protéger des comptes mails, n’importe quel mot de passe pas trop simple suffit.

&nbsp;Pour protéger des trucs un peu plus sérieux, on utilise des méthodes de connexion plus sérieuses (token, SMS, etc)

&nbsp;



Pas convaincu du tout, vive le SMS.