Microsoft veut en finir avec les mots de passe trop simples

Microsoft veut en finir avec les mots de passe trop simples

En tout cas certains d'entre eux

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

28/05/2016 3 minutes
55

Microsoft veut en finir avec les mots de passe trop simples

Microsoft veut en finir avec les mots de passe jugés trop faibles. L’éditeur travaille actuellement à modifier l’ensemble des services reposant sur les comptes Microsoft et Azure AD pour que plus aucun utilisateur ne puisse créer une protection trop simple à deviner.

Les mots de passe faibles sont l’une des principales raisons aux soucis de sécurité que l’on peut rencontrer aujourd’hui, si l’on excepte les fuites de données chez les entreprises. Peu originaux, n’utilisant pas assez de caractères différents (minuscules, majuscules, chiffres et caractères spéciaux) et souvent trop réutilisés d’un site à l’autre, ils n’offrent que de piètres barrières face aux intrusions.

Mots de passe : l'éternel maillon faible

Il existe plusieurs manières de renforcer les mots de passe, dont la méthode pédagogique : marteler les conseils. Mais en arrière-plan, les entreprises qui proposent des services en ligne peuvent aussi mettre en place des processus détectant la force. Beaucoup donnent aujourd’hui un tel indicateur, souvent accompagné par une barre de couleur qui passe du rouge au vert, selon que le mot de passe grandit et que l’on utilise des caractères différents.

Microsoft veut ajouter une protection supplémentaire à ce système. L’éditeur travaille à intégrer dans le processus de création un moteur de comparaison. Objectif : trouver les éventuelles correspondances dans une liste de mots de passe jugés beaucoup trop courants. Si le mot choisi par l’utilisateur y figure, un message l’en informe et lui demande de recommencer.

Chercher les mots de passe trop communs

Dans un petit billet d’annonce, le responsable Alex Simmons rebondit en fait sur la confirmation récente que la fuite chez LinkedIn était beaucoup plus importante que prévu. Rappelons que cette dernière impacte pas moins de 117 millions de comptes, provoquant une réinitialisation des mots de passe pour l’ensemble des utilisateurs touchés.

Cependant, si mettre en place une comparaison de liste est une mesure bienvenue, son efficacité dépend de son exhaustivité. Sur ce point, Ars Technica note que si des mots de passe comme « 1234678 » et « password » sont effectivement refusés, d’autres comme « Pa$$w0rd1 » sont acceptés. Or, en cas de fuite d’informations, le travail des pirates va consister à tenter de deviner les mots de passe des comptes. Selon nos confrères, il ne faudra guère de temps avant que « Pa$$w0rd1 » soit deviné. Ils notent également que d’autres éditeurs, comme Google, l’acceptent également.

En attendant mieux

Reste que les mots de passe, s’ils sont un moyen « commode » de créer un compte, n’ont jamais représenté une protection très fiable. Nombreuses sont les entreprises à tenter d’autres approches, dont la biométrie. Les capteurs ont tendance par exemple à se démocratiser sur les smartphones. Mais dans la plupart des cas, la solution est matérielle et repose sur un mot de passe de secours.

On peut néanmoins recommander les gestionnaires de mots de passe comme Dashlane, LastPass, Keepass ou encore 1Password, qui peuvent non seulement retenir tous les identifiants, mais surtout créer de longs mots complexes.

55

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Mots de passe : l'éternel maillon faible

Chercher les mots de passe trop communs

En attendant mieux

Commentaires (55)


Quid de la sécurité avec les gestionnaires de mots de passe ? Mettre tous ses oeufs dans le même panier, n’est ce pas risqué en cas de piratage dudit service, qui stocke en clair nos mots de passe ?


A priori, c’est une excellente nouvelle que MicroSoft s’attaque, enfin, à l’épineux problème des mots de passe faibles.



Cependant, je plains une certaine Mme Michu qui va devoir faire acte de courage et de pugnacité pour trouver un MdP original et fort, et surtout s’en souvenir, ni oublier de le changer de manière régulière.



C’est un exercice délicat auquel peu d’utilisateurs (trices) sont habitués. Mais la sécurité et la sureté de leur vie numérique future est à ce prix.

<img data-src=" />


Bonjour,



Sauf erreur de ma part, les mots de passe sont stockés chiffrés. Une « clé maître » qui doit être très résistante est utilisée pour sécuriser tous les autres mots de passe.








AxelFoley a écrit :



Quid de la sécurité avec les gestionnaires de mots de passe ? Mettre tous ses oeufs dans le même panier, n’est ce pas risqué en cas de piratage dudit service, qui stocke en clair nos mots de passe ?







Oui, effectivement, doit-on (peut-on?) accorder une confiance aveugle et donc inconsidérée, à des entreprises tierces, de droit privé la plupart du temps, qui sont censées gérer NOS mots de passe sur des serveurs dont on aperçoit, presque toutes les semaines, les fuites massives sur le réseau ?

Je ne mets pas, ici, les liens vers les différents scandales qui ont été largement évoqués dans les colonnes de NXI ou d’autres sites en ligne.

<img data-src=" />



Cette comparaison avec un dictionnaire va se faire avant l’enregistrement ? Car une fois stocké, personne de peut lire le mdp, sauf exception…








tpeg5stan a écrit :



Bonjour,



Sauf erreur de ma part, les mots de passe sont stockés chiffrés. Une « clé maître » qui doit être très résistante est utilisée pour sécuriser tous les autres mots de passe.





Etant serrurier de métier, UNE seule clé maitresse me parait etre insuffisante pour sécuriser tout le reste.

&nbsp;

Surtout si cette clé est détenue, parallèlement, &nbsp;par deux personnes situées à deux endroits différents de la planète (le détenteur officiel de la clé ainsi que le dépositaire officiel de la clé).

D’autant plus que, la plupart du temps, les législations risquent d’etre différentes dans les deux endroits &nbsp; ….

Il y a là un véritable problème de sureté et de sécurité auquel je n’ai pas encore de réponse.



<img data-src=" />



D’où l’importance de choisir son gestionnaire de mots de passe. Personnellement j’utilise keepass (logiciel libre et open source) , qui génère une bdd de mdp chiffré en aes256 que je synchronise entre mes devices via un owncloud hébergé sur mon dédié. J’estime qu’il faudrait vraiment me cibler personnellement pour récupérer la plupart de mes mots de passe.


J’étais très sceptique mais Apple a trouvé une solution assez cohérente et moins contraignante que taper le mot de passe.



Pour ma part, j’aimerais que MS s’inspire très fortement de ce système.








metaphore54 a écrit :



J’étais très sceptique mais Apple a trouvé une solution assez cohérente et moins contraignante que taper le mot de passe.



Pour ma part, j’aimerais que MS s’inspire très fortement de ce système.





C’est a dire ? (Je connais pas trop le monde Apple)



Je ne suis pas très au fait des qualités intrinsèques des différentes propositions présentées par Vincent dans son article.

En revanche, oui, le fait que certains gestionnaires soit libres et open-source me parait bénéfiques aux utilisateurs meme si ceux-ci n’y comprennent rien à l’usage.

&nbsp;Quant au chiffrement par AES 256, c’est devenu incontournable bien entendu.



<img data-src=" />


Tu peux toujours comparer les versions “chiffrées”, m’enfin même si cette comparaison avait lieu en clair je vois pas trop le problème, c’est fait au moment de l’inscription ou changement donc rien n’est enregistré.


Je suis très étonne de lire que Vincent Hermann considère la biométrie comme étant plus forte que l’utilisation de mots de passe.



J’ai très souvent lu personnellement des experts dirent totalement l’inverse …


&lt;/dev/urandom tr -dc ‘12345!@#$%qwertQWERTasdfgASDFGzxcvbZXCVB’ | head -c12; echo “”



Et voilà.<img data-src=" />








Glyphe a écrit :



Je suis très étonne de lire que Vincent Hermann considère la biométrie comme étant plus forte que l’utilisation de mots de passe.



J’ai très souvent lu personnellement des experts dirent totalement l’inverse …





Moi aussi.<img data-src=" />









David.C a écrit :



C’est a dire ? (Je connais pas trop le monde Apple)





L’empreinte digitale qui est bien utilisé et rapide. Qui te permet de mettre un mot de passe complexe sans avoir à le retenir puisque tu utilise ensuite l’empreinte digitale.









Vin Diesel a écrit :



Oui, effectivement, doit-on (peut-on?) accorder une confiance aveugle et donc inconsidérée, à des entreprises tierces, de droit privé la plupart du temps, qui sont censées gérer NOS mots de passe sur des serveurs dont on aperçoit, presque toutes les semaines, les fuites massives sur le réseau ?

Je ne mets pas, ici, les liens vers les différents scandales qui ont été largement évoqués dans les colonnes de NXI ou d’autres sites en ligne.

<img data-src=" />





Hein ? De quelles sociétés tu parles ? Là c’est des logiciels libres installables et sans serveurs distants pour les meilleurs.









metaphore54 a écrit :



L’empreinte digitale qui est bien utilisé et rapide. Qui te permet de mettre un mot de passe complexe sans avoir à le retenir puisque tu utilise ensuite l’empreinte digitale.





Ha… ce vieux système qui est cassé depuis plusieurs années ? Marrant ça. <img data-src=" />









Glyphe a écrit :



Je suis très étonne de lire que Vincent Hermann considère la biométrie comme étant plus forte que l’utilisation de mots de passe.



J’ai très souvent lu personnellement des experts dirent totalement l’inverse …





Le sujet est vaste.

On a en effet en tête les articles qui racontent qu’une simple photo peut tromper la reconnaissance faciale sur certains accès par exemple, mais ça peut rester plus sécurisé qu’un mot de passe vraiment simpliste.

Un des inconvénients de la biométrie, c’est qu’il n’y a pas de deuxième chance : en cas de piratage d’une BDD par exemple, on peut demander aux utilisateurs de changer leur mot de passe, mais tu ne pourra pas leur demander de changer d’œil ou de visage.



Pourtant ce n’est pas les mots de passe simple qui font le plus de degats actuellement :/





mais bien l’ingenerie sociale





par ailleur, on est dans le deni &gt; ce n’est pas a la victime d’etre acculee dans tout un tas de procedures pour se proteger

mais a systematiquement poursuivre les auteurs de ses violations



pour faire le paralelle : on a inventer le velo .. on pouvait poser tranquillement son velo sans crainte qu’il soit volé

puis le cadenas parce qu’il y avait des voles et que la repression n’a pas ete a la hauteur du larcin

maintenant il y a des numeros sur les cadres des velos pourtant les voles de velos avec cadenas en U, acier ou chaine rotatives + numeros sur le cadre n’empeche pas les voleurs de continuer et voient meme les chiffres en constante augmentation …



Pour revenir sur l’histoire du mot de passe c’est identique, on aura beau avoir 36 layers de mot de passe des captcha ou autres conneries (avec des images maintenant :/ dont, le comble, les infos passent par les cookies …. en claire )

ca ne fait que ralentir l’utilisateur lambda par des exces de lourdeur, le degouter puis le faire fuir vers d’autres solutions plus simples

&gt; c’est tellement facile de retenir dfb6ec4967d628O79893a44de247a6fba4d54d8533d8e938a5O231c82f66484c amusez vous a essayer de le taper sans faire d’erreur ( sans faire de ctrl c / ctrl v ) :(








Ricard a écrit :



Ha… ce vieux système qui est cassé depuis plusieurs années ? Marrant ça. <img data-src=" />





Oui, mais il faut un accès physique. Le système à l’avantage d’être peu contraignant.



Reste le problème de certains qui ont une conception de la sécurité des mots de passe très bizarre. Ainsi, la Caisse de Retraite (en France) accepte, lors de la création d’un compte, “bateau123” mais rejette toute tentative d’un mot de passe plus corsé avec mélange de lettres / chiffres / caractères spéciaux et minuscules / majuscules. Bref, selon cette administration (oui tout est dit avec ce mot administration à priori), “bateau123” est réputé plus robuste qu’un mot de passe bien pénible à la “mords-moi-le-noeud”. Ca fait peur !


Comme certains android Hauts de gamme en fait ?


c’est un des tests les plus élaborés que j’ai trouvé:



&nbsphttps://apps.cygnius.net/passtest/


“Microsoft veut en finir avec les mots de passe trop simples”

&nbsp;

&nbsp;Et ils n’y vont pas qu’à moitié <img data-src=" />



&nbsphttps://support.microsoft.com/fr-fr/kb/276304


Sur Mac il y a le trousseau d’accès qui permet de suggérer des mots de passe forts, en général du style 6eg4-gfh5-GJy5-QZp1(tapé au hasard mais reprenant la forme générale), tu peux bien évidement choisir ton propre mot de passe, puis il est stocké et synchronisé entre tes appareils pommés. Lorsque safari reconnaît un site avec un mot de passe enregistré, il propose de pré remplir les champs. Ici encore tout repose sur l’utilisation d’un mot de passe fort pour la session ou pour le déverrouillage du tel.&nbsp;&nbsp;



@metaphore54: ce que tu dis n'est pas exactement vrai. L'iPhone réclame le code en plus de l'empreinte une fois par semaine depuis iOS8 ou 9 je ne sais plus, justement car trop d'utilisateurs avaient tendance à n'utiliser que touchID et donc oublier leur mot de passe, enfin c'est ce que j'ai entendu dire.&nbsp;&nbsp;     



@GentooUser: énorme, ça c’est de la politique de sécurité !&nbsp;<img data-src=" />


Pour le chiffrement des mots de passe (trousseau, portefeuille, etc),&nbsp; il faut abonner le mot de passe pour une phrase passe (minimum 30 caractères) .




aGuy a écrit :&nbsp;



  @metaphore54: ce que tu dis n'est pas exactement vrai. L'iPhone réclame le code en plus de l'empreinte une fois par semaine depuis iOS8 ou 9 je ne sais plus, justement car trop d'utilisateurs avaient tendance à n'utiliser que touchID et donc oublier leur mot de passe, enfin c'est ce que j'ai entendu dire.&nbsp;&nbsp;





Au temps pour moi, je ne suis pas sur IOS, je me fie à ce que je vois autour de moi.&nbsp;


La meilleure stratégie est d’utiliser un password manager genre keepass&nbsp;http://keepass.info/ &nbsp;avec un unique bon mot de passe bien long et de mettre ensuite des vraies longues chaines aléatoires comme mot de passe pour ses comptes.

Le problème: ne pas oublier le mot de passe principal et ne pas perdre le fichier crypté contenant tout ses mots de passe.

Pour le premier point, une stratégie c’est de le noter (ça c’est pas sûr) au début mais comme on doit l’entrer régulièrement, il est vite appris et on détruit (brûle et on disperse les cendres si on est parano) le bout de papier au bout de quelques jours.

Pour le stockage du fichier: on backup voir on fait un “backup sur papier” grâce à&nbsp;http://ollydbg.de/Paperbak/ par exemple. On met ensuite le papier dans un coffre (non la NSA n’est pas à ma recherche)

&nbsp;








van25fr a écrit :



Pour le chiffrement des mots de passe (trousseau, portefeuille, etc),&nbsp; il faut abonner le mot de passe pour une phrase passe (minimum 30 caractères) .





Dans le style : “Les-Sanglots-Longs-De-Lautomne-Berce-Mon-Coeur-Dune-Langueur-Monotone” ?



Il me semble que ça s’est déjà pratiqué sur radio Londres dans les années 40 &nbsp; …. &nbsp;&nbsp;<img data-src=" />









Vin Diesel a écrit :



Dans le style : “Les-Sanglots-Longs-De-Lautomne-Berce-Mon-Coeur-Dune-Langueur-Monotone” ?



Il me semble que ça s’est déjà pratiqué sur radio Londres dans les années 40 &nbsp; …. &nbsp;&nbsp;<img data-src=" />





Non pas dans ce style là.



Les phrases issues d’oeuvres culturelles (citations, livres, BD, musiques, etc …) sont de très mauvaises phrase de passe.

Il vaut mieux en inventer une soi-même issue de souvenirs, expériences personnelles. Elles sont souvent plus facilement mémorisable et elles sont généralement bien plus uniques.



“Microsoft veut en finir avec les mots de passe trop simples”

Aaah la Sécurité !

Mesdames et Messieurs les simplistes, vous devez évoluer, un PC c’est quelque chose de sérieux et de compliqué, il faut bien réfléchir avant d’adopter un mot de passe !



Hé, Microsoft, on parle un peu des bugs dans les applis, hmmm ?


J’avais bien compris ton message, je me permettais seulement de montrer ce qu’il NE fallait PAS faire dans un mot de passe fort.

Ma référence aux années de guerre en Europe est, en revanche, tout à fait volontaire.



<img data-src=" />&nbsp;








Vin Diesel a écrit :



Dans le style : “Les-Sanglots-Longs-Des-violons-De-Lautomne-Berce-Mon-Coeur-Dune-Langueur-Monotone” ?



Il me semble que ça s’est déjà pratiqué sur radio Londres dans les années 40   ….   <img data-src=" />







<img data-src=" />



Faut être précis avec l’Histoire ^^



Le problème n’est pas seulement dans la piètre sécurité apportée par les mots de passe, mais dans le rôle qu’on leur fait jouer :



Jusqu’ici un mot de passe avait pour but de ne permettre que l’accès de son détenteur à un site.



Les méthodes alternatives proposées permettent en outre l’identification de l’utilisateur par le serveur !



Ce n’est pas la même chose d’intervenir avec un pseudo “-zardoz-” et un mot de passe bidon sur ce site et de permettre au site de savoir qu’il s’agit de Jules Dupont qui habite 3, rue du Pou qui vole, à Tarascon !



Et de savoir ainsi, que c’est le même qui intervient ailleurs, sous un autre pseudo, en tant qu’employé d’un annonceur…



Une IP ça peut se déguiser, une empreinte digitale ?








metaphore54 a écrit :



Oui, mais il faut un accès physique. Le système à l’avantage d’être peu contraignant.





Cépafo



Oui, la biométrie identifie mais n’authentifie pas. (Le propre d’un authentifiant correct est de pouvoir être changé d’un claquement de doigt en cas de compromission. C’est un peu plus dur dans le cas d’une empreinte digitale ou d’une rétine <img data-src=" />)



Je ne comprends pas pourquoi MS n’intègre pas un trousseau de clefs comme le fait Apple (de mémoire). Un truc sécurisé, qui génère des MdP fiables et qui s’intègre dans le système pour faire de l’auto-complétion. Un peu ce que propose KeePass quoi.


Elle est efficace contre les scripts-kiddies germanophones uniquement <img data-src=" />


Ah c’est sûr que rentrer les 3 premiers chapitres d’A La Recherche du Temps Perdu, ça doit être efficace <img data-src=" />




<img data-src=" />



Faut être précis avec l’Histoire ^^





Ah oui, tu as raison. Toutes mes confuses &nbsp; &nbsp;…








John Shaft a écrit :



Elle est efficace contre les scripts-kiddies germanophones uniquement <img data-src=" />





C’est donc particulièrement insuffisant, en conclusion.

<img data-src=" />





Peu originaux, n’utilisant pas assez de caractères différents (minuscules, majuscules, chiffres et caractères spéciaux) et souvent trop réutilisés d’un site à l’autre, ils n’offrent que de piètres barrières face aux intrusions.





Pourtant c’est simple de se souvenir de mot-de-passe windows avec de minuscules, majuscules, chiffres et caractères spéciaux… Par exemple:



StopPissingMeWithWindows10Upgrade!



<img data-src=" />








John Shaft a écrit :



Oui, la biométrie identifie mais n’authentifie pas. (Le propre d’un authentifiant correct est de pouvoir être changé d’un claquement de doigt en cas de compromission. C’est un peu plus dur dans le cas d’une empreinte digitale ou d’une rétine <img data-src=" />)&nbsp;





Ça dépend à quelle vitesse tu claques des doigts, en y allant vite tu peux peut-être te les cramer ou te faire des cals. Pour la rétine je conseille pas d’essayer par contre…



moi qui utilise le même mot de passe depuis 1997 sur mon hotmail, 4 lettres seulement comme mot de passe!



Je ne peux pas me connecter sur mon compte de xbox live sur la 360 avec ce mot de passe, mais sur la One je peux me connecter, bizzard quand-même.



Je refuse de changer mon mot de passe, et je sait que personne ne pourra le trouver.



J’ai perdu 2 autres comptes hotmail à cause de leur renforcement de sécurité et qui demande des infos que je ne me rapelle plus car j’ai marqué n’importe quoi comme date de fête et infos, car j’avais peur que big brother nous surveille trop.



Mais aussi j’ai souvent vu des amis avoir perdu leur compte de jeu sur battle net à cause qu’ils ne se souviennent plus de leur email. Moi je pense à l’argent qu’ils ont dépensé pour des jeux en téléchargement digital qu’ils ne pourront plus jamais accéder.



Je comprend leur côté de la paranoïa de renforcer leur sécurité, mais c’est à nous de faire attention sur quel site on entre nos infos.Et utiliser plusieurs style de mot de passe permet de se protéger, mais trop de mot de passe différent mènent à l’oubli…




On peut néanmoins recommander les gestionnaires de mots de passe comme



Dashlane, LastPass, Keepass ou encore 1Password, qui peuvent non       

seulement retenir tous les identifiants, mais surtout créer de longs

mots complexes.








Mouais... Encore faut-il pouvoir les utiliser.   






Depuis un an, je constate de plus de plus de services qui REFUSENT des mots de passe supérieurs à 16 caractères, sans aucune raison.     






Parfois même après coup, comme Ubisoft où j'y avais un mot de passe à 20 caractères et qui a descendu à 16 sans prévenir, ce qui a posé quelques complications pour son changement...      






 D'un côté on nous dit qu'il faut des longs et de l'autre on nous y empêche. J'aimerai juste savoir... pourquoi ? Pourquoi cette tendance à vouloir restreindre nos mots de passe ?

J’utilise keepass aussi. Mais au démarrage de windows (au moins le 1er) si je dois me taper un pass généré par keepass en 128 bits… Je vais mourir avant d’avoir réussi 😂



Dommage que Hello ne soit pas un peu plus comme le smart lock d’Android


Je vois un seul problème à Keepass, c’est que quand je n’ai pas la base de données avec moi, je suis incapable de me connecter à certains services… <img data-src=" />


Surtout que la longueur n’a normalement aucune importance, s’il est haché derrière.








127.0.0.1 a écrit :



Pourtant c’est simple de se souvenir de mot-de-passe windows avec de minuscules, majuscules, chiffres et caractères spéciaux… Par exemple:



StopPissingMeWithWindows10Upgrade!



<img data-src=" />







Figure toi que mon MDP chez Apple a fini dans ce genre là à force de devoir le changer. Il se faisait régulièrement bloquer (probablement de nombreuses tentatives de bruteforce…) et j’ai fini par mettre un truc du genre “J’enAiRazLeCulDeChangerTousLes2JoursBerdelDeMorde!!!!!”.



Vive keepass pour stocker ça … + les phrases secrètes associées.

(et depuis n’ayant plus de device Apple, le compte a fini supprimé)



D’ailleurs rappelons un détail simple mais que tout le monde oublie (comme ses mots de passe complexes) : ne répondez JAMAIS de vraie chose aux “questions secrètes”, l’ingénierie sociale est idéale pour ça après.

Perso je mets toujours des conneries du genre “mon cheval aime manger du saucisson” en “quelle est votre ville de naissance”.









-zardoz- a écrit :



Le problème n’est pas seulement dans la piètre sécurité apportée par les mots de passe, mais dans le rôle qu’on leur fait jouer :



Jusqu’ici un mot de passe avait pour but de ne permettre que l’accès de son détenteur à un site.



Les méthodes alternatives proposées permettent en outre l’identification de l’utilisateur par le serveur !



Ce n’est pas la même chose d’intervenir avec un pseudo “-zardoz-” et un mot de passe bidon sur ce site et de permettre au site de savoir qu’il s’agit de Jules Dupont qui habite 3, rue du Pou qui vole, à Tarascon !



Et de savoir ainsi, que c’est le même qui intervient ailleurs, sous un autre pseudo, en tant qu’employé d’un annonceur…



Une IP ça peut se déguiser, une empreinte digitale ?





+1000!



SebGF a écrit :



D’ailleurs rappelons un détail simple mais que tout le monde oublie (comme ses mots de passe complexes) : ne répondez JAMAIS de vraie chose aux “questions secrètes”, l’ingénierie sociale est idéale pour ça après.

Perso je mets toujours des conneries du genre “mon cheval aime manger du saucisson” en “quelle est votre ville de naissance”.





D’accord, mais le problème dans ce cas-là c’est que tu ne t’en souviendra pas si tu venais à oublier le MDP…<img data-src=" />









Vin Diesel a écrit :



A priori, c’est une excellente nouvelle que MicroSoft s’attaque, enfin, à l’épineux problème des mots de passe faibles.



Cependant, je plains une certaine Mme Michu qui va devoir faire acte de courage et de pugnacité pour trouver un MdP original et fort, et surtout s’en souvenir, ni oublier de le changer de manière régulière.



C’est un exercice délicat auquel peu d’utilisateurs (trices) sont habitués. Mais la sécurité et la sureté de leur vie numérique future est à ce prix.

<img data-src=" />





3M aime ça









mooms a écrit :



D’accord, mais le problème dans ce cas-là c’est que tu ne t’en souviendra pas si tu venais à oublier le MDP…<img data-src=" />







Pour ça que Keepass ça roxxe du méga poney d’la mort. <img data-src=" />



Si l’utilisateur a un gestionnaire de ce genre, il peut mettre n’imp dans les phrases “secrètes” (suffit de mettre les réponses dans le gestionnaire) et ainsi ça grille tout détournement de compte à coup d’ingénierie sociale.



Vu que de nos jours les gens sont du genre à exhiber le moindre détail de leur vie sur les rézosociaux, le boulot des pirates est juste facilité… Le jour où ces sites se font voler leurs BDD (et ça arrivera, vous en faites pas), le carnage va être colossal <img data-src=" />



J’ai hâte de voir ça ! (et suis sûr que même moi, non utilisateur, sera impacté)









Vin Diesel a écrit :



A priori, c’est une excellente nouvelle que MicroSoft s’attaque, enfin, à l’épineux problème des mots de passe faibles.



Cependant, je plains une certaine Mme Michu qui va devoir faire acte de courage et de pugnacité pour trouver un MdP original et fort, et surtout s’en souvenir, ni oublier de le changer de manière régulière.



C’est un exercice délicat auquel peu d’utilisateurs (trices) sont habitués. Mais la sécurité et la sureté de leur vie numérique future est à ce prix.

<img data-src=" />







J’ai fait le compte :

J’ai 143 comptes et autant de mots de passe complexes différents pour la dématérialisation totale sur internet



Et toi, combien de mdp complexe arrive tu a te souvenir sans gestionnaire ?









TheKillerOfComputer a écrit :



Depuis un an, je constate de plus de plus de services qui REFUSENT des mots de passe supérieurs à 16 caractères, sans aucune raison.






Parfois même, ils ne te le disent pas. Orange, par exemple, ne prend que les seize premiers caractères, et n'affiche aucune erreur.     



Heureusement, ils ont une technique sécurisée pour te rendre l’accès à ton compte : ils t’envoient ton mot de passe (oui, oui, le tien), en clair, par courrier… postal.&nbsp; <img data-src=" />

&nbsp;





zefling a écrit :



Je vois un seul problème à Keepass, c’est que quand je n’ai pas la base de données avec moi, je suis incapable de me connecter à certains services… <img data-src=" />






Il y a des solutions à tout. En l'occurrence, Owncloud et KeeWeb te permettent d'avoir accès à tes mots de passe depuis n'importe quel équipement (jugé suffisamment sûr pour pouvoir écrire un mot de passe, évidemment) raccordé à internet.