Les 25 pires mots de passe de l'année, l'histoire se répète encore et toujours

Les 25 pires mots de passe de l’année, l’histoire se répète encore et toujours

Adobe fait une entrée fracassante

Avatar de l'auteur
Sébastien Gavois

Publié dans

Logiciel

20/01/2014 3 minutes
155

Les 25 pires mots de passe de l'année, l'histoire se répète encore et toujours

Comme chaque début d'année, SpashData nous propose un classement des pires mots de passe et, malgré les nombreux piratages et autres fuites de données qui ont eu lieu l'année dernière, le top 5 reste le même. Encore plus inquiétant, sur les vingt premiers, on retrouve dans dix d'entre eux la suite de chiffres « 123 ».

Intel mot de passe

 

La sécurité sur Internet n'est pas une chose à prendre à la légère, notamment en ce qui concerne la gestion de ses mots de passe. S'il est recommandé d'en choisir un complexe mélangeant caractères spéciaux, chiffres, minuscules et majuscules, certains n'en tiennent toujours pas compte, un constat qui se renouvelle malheureusement d'année en année.

« password » perd son titre et passe second, « 123456 » le pire mot de passe de 2013

En effet, SplashData propose une nouvelle synthèse des pires mots de passe trouvés sur le web. Pour cela, la firme spécialisée dans la sécurité se base sur les millions d'identifiants qui ont été déversés sur Internet, notamment à cause de piratages. Pour la première fois, « 123456 » occupe la première place, volant ainsi la vedette à « password ».

 

Voici le classement :

  1. 123456
  2. password
  3. 12345678
  4. qwerty
  5. abc123
  6. 123456789
  7. 111111
  8. 1234567
  9. iloveyou
  10. adobe123
  11. 123123
  12. admin
  13. 1234567890
  14. letmein
  15. photoshop
  16. 1234
  17. monkey
  18. shadow
  19. sunshine
  20. 12345
  21. password1
  22. princess
  23. azerty
  24. trustno1
  25. 000000

2,9 millions de comptes Adobe piratés, « adobe123 » et « photoshop » dans le top 15

Parmi les nouveautés, on retrouve « adobe123 » et « photoshop », un impact sans doute du récent piratage des serveurs d'Adobe qui avait entraîné la fuite de pas moins de 2,9 millions de comptes. Plusieurs nouvelles combinaisons de chiffres font leur entrée : « 1234 », « 12345 », « 123456789 » et « 1234567890 ». Elles viennent donc compléter « 123456 » et « 12345678 », des habituées du podium.

 

Bien évidemment, si votre mot de passe fait partie de cette liste, il est plus qu'urgent d'en changer pour un plus sécurisé, ce qui ne devrait pas être trop difficile. De plus, il est important de ne pas toujours réutiliser le même, car s'il devait être compromis sur un site, des pirates pourraient s'en servir afin d'accéder à d'autres services comme les réseaux sociaux (Facebook, Twitter, Google+), un exemple parmi tant d'autres.

 

Afin de mesurer la « résistance » de votre mot de passe à une attaque, Intel se propose de calculer le temps nécessaire afin de le trouver, tandis que Microsoft essaye de le deviner. Évitez évidemment de donner votre véritable mot de passe et orientez-vous plutôt une combinaison du même acabit. Une précaution qui s'applique d'ailleurs à tous les sites qui veulent « tester » votre mot de passe.

Générateurs de mots de passe ou moyens mnémotechniques, les solutions existent

Pour rappel, si vous êtes en manque d'inspiration, il existe des solutions afin de vous aider. Des sites comme Générateur De Mot De Passe ou encore Maord vous permettent d'en créer facilement en ligne. Mais il reste tout de même la possibilité qu'ils soient enregistrés, même si les deux exemples cités précédemment s'en défendent.

 

Il est aussi possible de jouer avec son cerveau afin de créer des mots de passe sécurisés et pourtant simples à retenir, du moins après une période d'adaptation. Vous trouverez plusieurs exemples au sein de ce sujet de notre forum.

 

Intel mot de passe

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

« password » perd son titre et passe second, « 123456 » le pire mot de passe de 2013

2,9 millions de comptes Adobe piratés, « adobe123 » et « photoshop » dans le top 15

Générateurs de mots de passe ou moyens mnémotechniques, les solutions existent

Commentaires (155)


Vous pouvez ajouter celui de mon voisin, particulièrement confiant :



abcdef



(non je ne dirais pas où j’habite… <img data-src=" />)


Rassurez moi, c’est pour des logins à la con ? Sans trop d’importance ? <img data-src=" />





CONGRATULATIONS!

It would take about 30255643682575413000 years to crack your password.





Yeah j’suis trop fort. Qui dit mieux ? <img data-src=" />



(j’avais oublié de faire le test la dernière fois <img data-src=" /> )


‘tain le “trustno1” est encore là, ya des furieux de X-Files encore, chapeau ^^



Sinon je resort encore le sempiternelhttps://xkcd.com/936/?


Parmi ceux là, combien correspondent à des comptes dont on se fout complètement ? Ceux qu’on crée “pour voir” avec des données volontairement fausses, et donc un mdp volontairement pourri ?



Edit : Grillé par Cara62 <img data-src=" />




Bien évidemment, si votre mot de passe fait partie de cette liste, il est plus qu’urgent d’en changer pour un plus sécurisé, ce qui ne devrait pas être trop difficile





Fait! Je suis passe de “123456” à “password”. Je me sens en sécurité maintenant. Merci PCI!



:vroum:








Natsume a écrit :



Parmi ceux là, combien correspondent à des comptes dont on se fout complètement ? Ceux qu’on crée “pour voir” avec des données volontairement fausses, et donc un mdp volontairement pourri ?



Edit : Grillé par Cara62 <img data-src=" />









Ouep, c’est ce que à quoi je pensais. <img data-src=" />



Par contre ce qui serait intéressant, c’est de connaître le pourcentage de chaque rang.

Car par exemple, si le premier “123456” est à 75% du total, c’est pas pareil que s’il est à 2% du total …

Dans le premier cas ça voudrait dire que ce mot de passe pourri est bien trop utilisé, que ça craint un max, alros que dans le deuxième cas, certes il est encore trop utilisé, mais il est quand mêm eassez dilué dans les autres mots de passe fréquents…



De même, on pourrait très bien avoir le premier rang à disons 20% du total, le deuxième rang à 18%, et les 8 autres rangs à 1 ou 2% maxi …








Natsume a écrit :



Parmi ceux là, combien correspondent à des comptes dont on se fout complètement ? Ceux qu’on crée “pour voir” avec des données volontairement fausses, et donc un mdp volontairement pourri ?



Edit : Grillé par Cara62 <img data-src=" />







La question est pertinente ! C’est clair que des comptes bidons avec des mots de passe encore plus bidon chacun de nous doit en avoir une sacrée liste !



Ca serait sympa d’avoir les chiffres qui prendrait en compte ceci. Mais comment le mesurer ? :s



It would take a desktop PC about 4 thousand years to crack your password

^^ love it



pour ceux qui veulent tester



https://howsecureismypassword.net/




il existe des solutions afin de vous aider. Des sites comme Générateur De Mot De Passe ou encore Maord vous permettent d’en créer facilement en ligne. Mais il reste tout de même la possibilité qu’ils soient enregistrés, même si les deux exemples cités précédemment s’en défendent.





Il y a aussi KeePass, qui a l’avantage d’être libre et qui s’utilise en local <img data-src=" />


Au bureau tout le monde a le même mot de passe non modifiable : password <img data-src=" />








TBirdTheYuri a écrit :



Au bureau tout le monde a le même mot de passe non modifiable : password <img data-src=" />







Mouais pas pire qu’ici ou on interdit d’utiliser des caractères spécifiques du clavier (tout ceux n’étant pas commun à tous les claviers) dans les mots de passes sur des machines dites “critiques”



j’aime bien le mot de passe “password1”, qui laisse suggérer que l’utilisateur a voulu complexifier un peu le mot de passe, mais pas trop quand même, faut pas déconner <img data-src=" />


et les solutions proposés sont des générateurs de mots de passe qui sont super durs à mémoriser pour les humains mais assez facilement crackable pour les ordinateurs. Et ce juste parce que le mot de passe ne doit pas dépasser une certaine taille. Ah, les temps sont durs, madame. La crise du stockage est forte. Il faut économiser la place sur les mots de passes, car c’est ce qui prend le plus de place, c’est bien connu.








kurasul a écrit :



It would take a desktop PC about 4 thousand years to crack your password

^^ love it



pour ceux qui veulent tester



https://howsecureismypassword.net/





la version d’Intel est moins optimiste!









Vieux_Coyote a écrit :



j’aime bien le mot de passe “password1”, qui laisse suggérer que l’utilisateur a voulu complexifier un peu le mot de passe, mais pas trop quand même, faut pas déconner <img data-src=" />







Si je laissai le domaine avec modification de mot de passe sans restriction , je serais sur le top 5 de la liste surement <img data-src=" />









geekounet85 a écrit :



la version d’Intel est moins optimiste!









oui ta raison





CONGRATULATIONS!

It would take about 1721418052035469 years to crack your password.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />










John Shaft a écrit :



Il y a aussi KeePass, qui a l’avantage d’être libre et qui s’utilise en local <img data-src=" />





<img data-src=" />

Que j’utilise tout le temps.



La base de données - cryptée par Keepass - est stockée sur mon Dropbox, avec un mot de passe très fort.

Et je peux y accéder soit à partir de mes PC (avec le logiciel Keepass, et il y’a même pas besoin d’avoir dropbox installé sur sa machine), soit sur mon smartphone (7Pass pour mon WP)



Hyper pratique :)









kurasul a écrit :



It would take a desktop PC about 4 thousand years to crack your password

^^ love it



pour ceux qui veulent tester



https://howsecureismypassword.net/





Faut que tu mettes ton login aussi et le site sur lequel tu utilises la combinaison?



<img data-src=" />









kurasul a écrit :



It would take a desktop PC about 4 thousand years to crack your password

^^ love it



pour ceux qui veulent tester



https://howsecureismypassword.net/







“It would take a desktop PC about 4 trillion years to crack your password”

ça devrait le faire pour un petit moment



(pour répondre au commentaire d’au dessus, j’ai d’ailleurs pris soin de remplacer des chiffres par d’autres, et des caractères spéciaux par d’autres (j’ai été fou, j’ai gardé les même lettres ! ))









Cara62 a écrit :



Rassurez moi, c’est pour des logins à la con ? Sans trop d’importance ? <img data-src=" />







Yeah j’suis trop fort. Qui dit mieux ? <img data-src=" />



(j’avais oublié de faire le test la dernière fois <img data-src=" /> )



moi : mieux <img data-src=" />



On se demande d’ailleurs à quoi servent encore les mots de passe comme pour des services qui incitent les gens à tout partager.



C’est comme les speudos, les mots de passe devraient être interdits !

Signé : un député.



<img data-src=" />








kurasul a écrit :



It would take a desktop PC about 4 thousand years to crack your password

^^ love it



pour ceux qui veulent tester



https://howsecureismypassword.net/











geekounet85 a écrit :



la version d’Intel est moins optimiste!







Je viens de tester mon mot de passe super safe (1234567890123456) :




  • Premier site : 28 jours pour le trouver

  • Intel : 0,0018 secondes.



    Je fais plus confiance à Intel du coup <img data-src=" />







    Vanilys a écrit :



    <img data-src=" />

    Que j’utilise tout le temps.







    Pareil, sauf que la base est stockée sur un serveur à moi dans mon cas



    Dur dur de s’en passer une fois qu’on y a goûté (que l’on utilise le générateur de mots de passe ou pas d’ailleurs) <img data-src=" />



Objectif 2014, pousser le pwd PCinpact dans le top.

Plus sérieusement, un compte Lastpass ou autre avec une double authentification peut être sympa pour les comptes non critiques.








Cara62 a écrit :



Rassurez moi, c’est pour des logins à la con ? Sans trop d’importance ? <img data-src=" />



CONGRATULATIONS!

It would take about 30255643682575413000 years to crack your password.



Yeah j’suis trop fort. Qui dit mieux ? <img data-src=" />



(j’avais oublié de faire le test la dernière fois <img data-src=" /> )









CONGRATULATIONS!

It would take about 83442938948370220000 years to crack your password.

Je te bat <img data-src=" />



It would take about 1.220205455003854e+24 years to crack your password.



Suivant ?








cid_Dileezer_geek a écrit :



Je te bats <img data-src=" />







ça marche avec les copier/coller?





CONGRATULATIONS!

It would take about 83442938948370220001 years to crack your password.





ha bah oui <img data-src=" />



Le problème des 123456 et consorts, c’est quand on fait une attaque “humaine”, ou avec un hachage connu.



En brute force, ils tiendraient statistiquement autant que 1,ZIp8.



Bien sûr, on attaque par dictionnaire et donc ceux-là tombent en premier.



A la limite, certains sites devraient les utiliser comme pot de miel.[Edit]C’est idiot, le pot à miel c’est de donner un faux accès à la 253ème tentative[/edit]








Vanilys a écrit :



<img data-src=" />

Que j’utilise tout le temps.



La base de données - cryptée par Keepass - est stockée sur mon Dropbox, avec un mot de passe très fort.

Et je peux y accéder soit à partir de mes PC (avec le logiciel Keepass, et il y’a même pas besoin d’avoir dropbox installé sur sa machine), soit sur mon smartphone (7Pass pour mon WP)



Hyper pratique :)





Comme un Lastpass, la limite étant qu’un logiciel très utilisé a de grande chance de se faire analyser par les hackers. Pour les comptes critiques, la tête est le meilleur endroit.



On se casse la tête à chercher des mots de passe… N’en mettez pas, les gens chercheront bêtement dans le vide <img data-src=" />





(pour les plus naïfs d’entre vous, ceci est de l’ironie)


perso je ne les connais pas par coeur, mais peux le retrouver.

exemple:



echo -n “pcimpact:monloggin” | openssl enc -base64



echo -n “facebook:monloggin” | openssl enc -base64


Mon mot de passe wifi ^^



CONGRATULATIONS!

It would take about 1.2494903859239465e+27 years to crack your password.








kurasul a écrit :



It would take a desktop PC about 4 thousand years to crack your password

^^ love it



pour ceux qui veulent tester



https://howsecureismypassword.net/







j’ai mieux et plus simple :



It would take a desktop PC about

4 quintillion years

to crack your password



le pass : lechatestdanslachambre5 <img data-src=" />









NonMais a écrit :



ça marche avec les copier/coller?







ha bah oui <img data-src=" />



tricheur, je l’ai battu à la régulière, avec un password de même type que les miens, par contre :



Ellierys a écrit :



It would take about 1.220205455003854e+24 years to crack your password.



Suivant ?







il suffit de jouer à kikalaplugrosse pour écraser tlm <img data-src=" />









fubiga a écrit :



perso je ne les connais pas par coeur, mais peux le retrouver.

exemple:



echo -n “pcimpact:monloggin” | openssl enc -base64



echo -n “facebook:monloggin” | openssl enc -base64







Le problème de base dans ce cas est qu’il faut écrire le nom du site correctement… <img data-src=" />



Perso j’utilise 00000000



C’est super secure, la preuve, c’est même utilisé par l’armée US…








cid_Dileezer_geek a écrit :



tricheur, je l’ai battu à la régulière, avec un password de même type que les miens, par contre :



il suffit de jouer à kikalaplugrosse pour écraser tlm <img data-src=" />







J’ai fait le test avec ma passphrase pour le Wi-Fi <img data-src=" />



Le problème c’est pas tant que le password que le site web qui t’oblige à créer un compte (user/password) pour te “fidéliser”.



Y a pas tellement de site où j’ai réellement besoin d’être authentifié formellement.








Ellierys a écrit :



J’ai fait le test avec ma passphrase pour le Wi-Fi <img data-src=" />







idem pour plus haut



le meme mot de passe sur l’autre site



It would take a desktop PC about

633 decillion years

to crack your password



mais bon il fait 32 caractères aussi ^^









Avygeil a écrit :



Sinon je resort encore le sempiternelhttps://xkcd.com/936/?





ben oui c’est un classique <img data-src=" />



Mon password de l’accès Wifi :



CONGRATULATIONS!

It would take about 1.6544349115234861e+131 years to crack your password.





Ca devrai aller <img data-src=" />


J’avais bien reçu une carte bancaire du crédit agricole avec comme mot de passe inclus 0000 et ceux la on peut pas les changer. Ça parait incroyable mais c’est vrai et je me suis toujours demandé si ça avait été un oublis d’affectation de leur part ou si c’est un pur hasard.



en tout cas c’était facile à retenir :)








127.0.0.1 a écrit :



Le problème c’est pas tant que le password que le site web qui t’oblige à créer un compte (user/password) pour te “fidéliser”.



Y a pas tellement de site où j’ai réellement besoin d’être authentifié formellement.





Tout à fait d’accord. L’internaute n’a AUCUN INTERET à créer un compte sur Adobe ! Alors 000000 ou abcd n’a aucune importance. Ce sont les sites web qui obligent à créer un compte inutilement qui “passent pour des imbéciles” et non l’internaute comme le laisse supposer Sébastien…









Ellierys a écrit :



J’ai fait le test avec ma passphrase pour le Wi-Fi <img data-src=" />







C’est bien ce que je disais, en augmentant le nombre de caractères tu augmente la durée pour le casser, mais bon, je trouves que plusieurs milliards de milliards d’années c’est déjà bien, sinon y a le meilleur mot de passe jamais utilisé: Best Password Oo —–&gt; 8mois chez intel (espaces inclus hein) <img data-src=" /><img data-src=" />



Le mot de passe “admin” en 12ème position est celui qui m’inquiète le plus <img data-src=" />


J’arrive pas à rentrer le MdP de Stallman* dans leurs machins respectif <img data-src=" />



* Appui sur la touche Entrée de mémoire <img data-src=" />








sebcap26 a écrit :



Le mot de passe “admin” en 12ème position est celui qui m’inquiète le plus <img data-src=" />





En fait c’est souvent le mot de passe par défaut sur les solutions web. J’imagine que certains ne touchent pas à la config par défaut <img data-src=" />



Sinon il n’y a pas pouet et prout suis déçu <img data-src=" />



Celui de ma femme y est toujours !! :) J’adore ! :)


Intel : 131612043904891 years to crack your password

howsecureismypassword.net : 33 trillion years



{~[#|{[\|^@]^}@]



Il est pas forcement nécessaire de faire un mot de passe de 400 caractères …

Sans le ALT+GR en chiffre ça donne : 142536475869708°9+0° (décalage de deux cases sur le numérique du haut sur toute la ligne, taper se mot de passe prend 3 secondes au bout de la 5éme fois)








pecos a écrit :



Vous pouvez ajouter celui de mon voisin, particulièrement confiant :



abcdef



(non je ne dirais pas où j’habite… <img data-src=" />)







le mien s’appelle ludovic, il a 37 ans. son mot de passe wifi est ludovic37,(Précision : Il est en WEP)

et pour sa sécurité chaque année il change de mot de passe, me dit-il avec applomb…..<img data-src=" />



Les fleurs du mal devraient être LA référence pour choisir son mot de passe <img data-src=" />








kurasul a écrit :



It would take a desktop PC about 4 thousand years to crack your password

^^ love it

pour ceux qui veulent tester

https://howsecureismypassword.net/











geekounet85 a écrit :



la version d’Intel est moins optimiste!







<img data-src=" />



Les plus proches de la réalité, c’est quand même la NSA <img data-src=" />

“It would take less than 5 minutes to crack any password … If not, we kill the service<img data-src=" /> <img data-src=" /> <img data-src=" />









SuperNiko a écrit :



Celui de ma femme y est toujours !! :) J’adore ! :)





letmein ? <img data-src=" />









Patch a écrit :



moi : mieux <img data-src=" />







Je m’incline. <img data-src=" />







cid_Dileezer_geek a écrit :



Je te bat <img data-src=" />







<img data-src=" />









Takoon a écrit :



le mien s’appelle ludovic, il a 37 ans. son mot de passe wifi est ludovic37,(Précision : Il est en WEP)

et pour sa sécurité chaque année il change de mot de passe, me dit-il avec applomb…..<img data-src=" />





tu pourras lui apporter un cadeau lorsque tu vois que son mot de passe a changé.<img data-src=" />



le pire mot de passe est 1234 pour les carte sim neuve, madame michu ne pense pas a le changer. <img data-src=" />








Vanilys a écrit :



<img data-src=" />

Que j’utilise tout le temps.



La base de données - cryptée par Keepass - est stockée sur mon Dropbox, avec un mot de passe très fort.

Et je peux y accéder soit à partir de mes PC (avec le logiciel Keepass, et il y’a même pas besoin d’avoir dropbox installé sur sa machine), soit sur mon smartphone (7Pass pour mon WP)



Hyper pratique :)





même avec keepassx et un mot de passe très fort, je n’oserai jamais mettre un fichier keepass en cloud s’il contient des informations concernant mes comptes en banque. Sauf peut-être en backup dans un volume truecrypt.









gokudomatic a écrit :



même avec keepassx et un mot de passe très fort, je n’oserai jamais mettre un fichier keepass en cloud s’il contient des informations concernant mes comptes en banque. Sauf peut-être en backup dans un volume truecrypt.







Surtout en cloud sur dropbox hébergé par amazon aux US xD









Avygeil a écrit :



‘tain le “trustno1” est encore là, ya des furieux de X-Files encore, chapeau ^^



Sinon je resort encore le sempiternelhttps://xkcd.com/936/?





<img data-src=" />









TBirdTheYuri a écrit :



Mon password de l’accès Wifi :





Ca devrai aller <img data-src=" />





c’est recevable en cas de lettre Hadopi, ce genre de relevé ?









WereWindle a écrit :



c’est recevable en cas de lettre Hadopi, ce genre de relevé ?





non, car il y a une grosse faute de conjugaison.









Takoon a écrit :



le mien s’appelle ludovic, il a 37 ans. son mot de passe wifi est ludovic37,(Précision : Il est en WEP)

et pour sa sécurité chaque année il change de mot de passe, me dit-il avec applomb…..<img data-src=" />





<img data-src=" /> Gros niveau… Une clef WEP, ça tient combien, deux trois minutes?



Je n’ai pas le temps de lire les 6 pages de commentaire, là, donc je vais peut-être répéter le message de quelqu’un d’autre mais…



Je félicite tous ceux qui viennent de comparer la robustesse de leur mot de passe en allant le tester sur howsecureismypassword. Ils viennent de gagner le droit d’en changer, et donc de rendre la comparaison inutile. <img data-src=" />



Première règle d’or, qui découle de la définition même du mot de passe: ne révèle ton mot de passe à personne. P-e-r-s-o-n-n-e. Personne ne veux pas dire “personne sauf une bande de gars dont tu ne sais absolument rien, par l’intermédiaire d’un outil qui n’a pas été audité, qui s’exécute dans un environnement connecté à Internet, et qui est techniquement maqué à Twitter, Facebook et Google Analytics”. Personne veut dire personne.





azerty 23e, tout se perd ma bonne dame <img data-src=" />



Perso c’est un fichier txt chiffré par ccrypt et axcrupt (selon si je suis sur Win ou Linux), le tout dans un container truecrypt, sur ma clé usb qui ne me quitte jamais (avec divers backups en cas de perte).



Je vais regarder Keepass, mais lequel est le bon, .com ou .fr ? <img data-src=" />








DetunizedGravity a écrit :



Première règle d’or, qui découle de la définition même du mot de passe: ne révèle ton mot de passe à personne. P-e-r-s-o-n-n-e. Personne ne veux pas dire “personne sauf une bande de gars dont tu ne sais absolument rien, par l’intermédiaire d’un outil qui n’a pas été audité, qui s’exécute dans un environnement connecté à Internet, et qui est techniquement maqué à Twitter, Facebook et Google Analytics”. Personne veut dire personne.





“oh bah non, on s’fait confiance ! En plus, j’ai rien à cacher”

(entendu plusieurs fois au taff et que j’appelle, à titre perso, le combo de l’apocalypse <img data-src=" />)









Dams20 a écrit :



Intel : 131612043904891 years to crack your password

howsecureismypassword.net : 33 trillion years



{~[#|{[\|^@]^}@]



Il est pas forcement nécessaire de faire un mot de passe de 400 caractères …

Sans le ALT+GR en chiffre ça donne : 142536475869708°9+0° (décalage de deux cases sur le numérique du haut sur toute la ligne, taper se mot de passe prend 3 secondes au bout de la 5éme fois)





Donc ton mot de passe est inutilisable à l’étranger (machine non AZERTY) ou sur un Mac, un smartphone … ?



Mon mot de passe pour PCI a une durée de vie de 7 jours avant cassage, faut que j’en change !



Note pour moi-même : apprendre par coeur l’hymne national polonais et l’article R115-6 du Code de la sécurité sociale, et faire un mix des deux.








WereWindle a écrit :



“oh bah non, on s’fait confiance ! En plus, j’ai rien à cacher”

(entendu plusieurs fois au taff et que j’appelle, à titre perso, le combo de l’apocalypse <img data-src=" />)







Ca dépend où tu bosses. Tu n’es pas censé y avoir des comptes perso, et tu dois pouvoir partager les dossiers comme pour du papier.



Au boulot de ma femme, c’est interdiction de mettre un mdp. Parce qu’en cas d’absence, tout le monde doit pouvoir accéder à ses dossiers. C’est un risque en cas de vol des machines, mais ça reste moins probable que de faire capoter un dossier parce que personne ne peut prendre le relais. Seul le grand chef et sa secrétaire ont un mdp, probablement pour masquer les 5 à 7 <img data-src=" />










Commentaire_supprime a écrit :



Mon mot de passe pour PCI a une durée de vie de 7 jours avant cassage, faut que j’en change !



Note pour moi-même : apprendre par coeur l’hymne national polonais et l’article R115-6 du Code de la sécurité sociale, et faire un mix des deux.





Tu as peur que Tim-Timmy te fasse poster des messages pro ayants-droit et Pro HADOPI ?



J’aurai jamais pensé que ma phrase à la con que j’ai en password puisse être si longue à trouvé.



It would take a desktop PC about

116 tredecillion years

to crack your password








DetunizedGravity a écrit :



Je n’ai pas le temps de lire les 6 pages de commentaire, là, donc je vais peut-être répéter le message de quelqu’un d’autre mais…



Je félicite tous ceux qui viennent de comparer la robustesse de leur mot de passe en allant le tester sur howsecureismypassword. Ils viennent de gagner le droit d’en changer, et donc de rendre la comparaison inutile. <img data-src=" />



Première règle d’or, qui découle de la définition même du mot de passe: ne révèle ton mot de passe à personne. P-e-r-s-o-n-n-e. Personne ne veux pas dire “personne sauf une bande de gars dont tu ne sais absolument rien, par l’intermédiaire d’un outil qui n’a pas été audité, qui s’exécute dans un environnement connecté à Internet, et qui est techniquement maqué à Twitter, Facebook et Google Analytics”. Personne veut dire personne.





Même si ca dit que ça vérifie que ton mot de passe est solide? Faut arrêter la paranoïa à un moment donné.









fred42 a écrit :



Tu as peur que Tim-Timmy te fasse poster des messages pro ayants-droit et Pro HADOPI ?







<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



On ne sait jamais.









Jarodd a écrit :



Ca dépend où tu bosses. Tu n’es pas censé y avoir des comptes perso, et tu dois pouvoir partager les dossiers comme pour du papier.



Au boulot de ma femme, c’est interdiction de mettre un mdp. Parce qu’en cas d’absence, tout le monde doit pouvoir accéder à ses dossiers.





les dossiers/lecteurs partagés c’est tellement XXème siècle aussi (avoir une personne admin itou d’ailleurs) <img data-src=" />



Je comprends parfaitement le pourquoi de la chose mais son comment me laisse perplexe.



How to secure my password c’est de la fumisterie.



11111111111111111111 mettrait 792 années à être cracké. C’est vrai c’est très secure !



Et sinon, on parle des sites qui limitent le nombre de caractères ? Qui les stocke en clair dans leur SI ? Qui les renvoie par mail non chiffré ? Ou qui n’acceptent que [a-z][0-9] et remplacent tout autre caractère par un espace ? Dédicace à Oxybul qui fait les quatre <img data-src=" />








DetunizedGravity a écrit :



Je n’ai pas le temps de lire les 6 pages de commentaire, là, donc je vais peut-être répéter le message de quelqu’un d’autre mais…



Je félicite tous ceux qui viennent de comparer la robustesse de leur mot de passe en allant le tester sur howsecureismypassword. Ils viennent de gagner le droit d’en changer, et donc de rendre la comparaison inutile. <img data-src=" />



Première règle d’or, qui découle de la définition même du mot de passe: ne révèle ton mot de passe à personne. P-e-r-s-o-n-n-e. Personne ne veux pas dire “personne sauf une bande de gars dont tu ne sais absolument rien, par l’intermédiaire d’un outil qui n’a pas été audité, qui s’exécute dans un environnement connecté à Internet, et qui est techniquement maqué à Twitter, Facebook et Google Analytics”. Personne veut dire personne.









Évitez évidemment de donner votre véritable mot de passe et orientez-vous plutôt une combinaison du même acabit. Une précaution qui s’applique d’ailleurs à tous les sites qui veulent « tester » votre mot de passe.





Oui, c’était indiqué dans l’article pour éviter des soucis àlakon









linkin623 a écrit :



<img data-src=" /> Gros niveau… Une clef WEP, ça tient combien, deux trois minutes?







4mn avec un eeePc 901 depuis ma terrasse, juste pour voir…hein ?









WereWindle a écrit :



les dossiers/lecteurs partagés c’est tellement XXème siècle aussi (avoir une personne admin itou d’ailleurs) <img data-src=" />



Je comprends parfaitement le pourquoi de la chose mais son comment me laisse perplexe.







Si tu savais le nombre de boites où c’est la personne le plus calée en informatique qui gère tout cet aspect (c-a-d celle qui a W7 chez elle, quand les autres ont Vista), et le nombre où il n’y a pas de budget pour avoir un admin…









gokudomatic a écrit :



Même si ca dit que ça vérifie que ton mot de passe est solide? Faut arrêter la paranoïa à un moment donné.







Le site en question te dit que “00000000000000000” est un mot de passe solide. A vrai dire, j’ai moins peur que le site collecte les mdp plutôt qu’il soit pris au sérieux par quelqu’un qui verrais que “jeff123456” prend 8 siècles à être brisé.









psn00ps a écrit :



Celui de ma femme y est toujours !! :) J’adore ! :)









letmein ?





<img data-src=" /><img data-src=" />









Jarodd a écrit :



Je vais regarder Keepass, mais lequel est le bon, .com ou .fr ? <img data-src=" />







Je relance de quinze, car l’un propose la version 1.26, et l’autre 2.24. Est-ce vraiment le même produit ? <img data-src=" />



Moi je ne files mes mots de passe ni à untel ni à Intel. <img data-src=" />








Jarodd a écrit :



Je relance de quinze, car l’un propose la version 1.26, et l’autre 2.24. Est-ce vraiment le même produit ? <img data-src=" />





et il y a aussi la version x (keepassx) mais qui est seulement une ancienne version portée sur linux, et qui n’est donc pas une verson eXtra.

Je me couche.









Jarodd a écrit :



Ca dépend où tu bosses. Tu n’es pas censé y avoir des comptes perso, et tu dois pouvoir partager les dossiers comme pour du papier.



Au boulot de ma femme, c’est interdiction de mettre un mdp. Parce qu’en cas d’absence, tout le monde doit pouvoir accéder à ses dossiers. C’est un risque en cas de vol des machines, mais ça reste moins probable que de faire capoter un dossier parce que personne ne peut prendre le relais. Seul le grand chef et sa secrétaire ont un mdp, probablement pour masquer les 5 à 7 <img data-src=" />







Ca fait peur de savoir comment certaines choses sont gérées. Dans une petite structure, c’est pas difficile à faire pourtant.




C’est pourtant pas très compliqué de faire des séries de mots de passe relativement robustes aux attaques bruteforce/dictionnaires tout en étant tout de même assez facile à retenir pour un être humain.



Perso je part d’un mot de passe classique avec lettres et chiffres mais qui reste simple à retenir car ayant une signification pour moi et j’y adjoint un acronyme spécifique en fonction du service auquel il sert.



De cette façon j’ai des mots de passes différents pour chaque comptes, avec suffisamment de caractères pour dissuader une personne normale d’utiliser une attaque bruteforce basique (après pour la NSA et leurs supercalculateurs là bah … <img data-src=" />), tout en étant faciles à retenir (depuis que j’utilise cette technique je n’ai pratiquement plus oublié un mot de passe)



Utiliser des caractères spéciaux dans ses mots de passe c’est juste pour ceux qui veulent se la jouer 1337, c’est excessivement difficile à retenir pour une personne normale mais en bruteforce ça tombera aussi vite qu’avec des caractères conventionnels.








gokudomatic a écrit :



même avec keepassx et un mot de passe très fort, je n’oserai jamais mettre un fichier keepass en cloud s’il contient des informations concernant mes comptes en banque. Sauf peut-être en backup dans un volume truecrypt.





J’y pensais, à utiliser TrueCrypt, mais le problème c’est qu’on perd immédiatement la possibilité de l’utiliser immédiatement par une application (KeePass, LastPass, 7Pass…), il faut au préalable le décrypter, donc … :-/



Je sais bien que ce n’est pas totalement secure sur dropbox, mais bon, je me dis que c’est un compromis entre le cryptage de la BD avec un mot de passe fort, et la facilité d’utilisation.

De plus, quand on l’utilise sur PC, y’a différentes techniques qui rendent également plus safe l’utilisation du mot de passe enregistré : Manuellement, un utilisateur tapera les lettres/chiffres les uns après les autres. Avec Keepass, il y a des protections supplémentaires en utilisant le mécanisme de copié/collé de Kepass : le password sur le site ou logiciel où tu veux te logguer sera “copié/collé” en utilisant le Two-Channel AutoType Obfuscation (et il y a en + d’autres petites techniques supplémentaires), ce qui rend difficile voire impossible à un keylogger de récupérer ton mot de passe.



L’algo utilisé par Keepass pour la BDD est Rijndael (AES). Le mot de passe principal est encodé en SHA-256, en ajoutant un salt hash de 128 bits aléatoire en complément du SHA-256.



Donc bon, tout ça fait que c’est quand même bien secure :)



Plus d’infos :

http://keepass.info/help/base/security.html









Jarodd a écrit :



azerty 23e, tout se perd ma bonne dame <img data-src=" />



Perso c’est un fichier txt chiffré par ccrypt et axcrupt (selon si je suis sur Win ou Linux), le tout dans un container truecrypt, sur ma clé usb qui ne me quitte jamais (avec divers backups en cas de perte).



Je vais regarder Keepass, mais lequel est le bon, .com ou .fr ? <img data-src=" />





.info :

http://keepass.info









Guinnness a écrit :



C’est pourtant pas très compliqué de faire des séries de mots de passe relativement robustes aux attaques bruteforce/dictionnaires tout en étant tout de même assez facile à retenir pour un être humain.



Perso je part d’un mot de passe classique avec lettres et chiffres mais qui reste simple à retenir car ayant une signification pour moi et j’y adjoint un acronyme spécifique en fonction du service auquel il sert.



De cette façon j’ai des mots de passes différents pour chaque comptes, avec suffisamment de caractères pour dissuader une personne normale d’utiliser une attaque bruteforce basique (après pour la NSA et leurs supercalculateurs là bah … <img data-src=" />), tout en étant faciles à retenir (depuis que j’utilise cette technique je n’ai pratiquement plus oublié un mot de passe)



Utiliser des caractères spéciaux dans ses mots de passe c’est juste pour ceux qui veulent se la jouer 1337, c’est excessivement difficile à retenir pour une personne normale mais en bruteforce ça tombera aussi vite qu’avec des caractères conventionnels.





ouais, essaie donc de faire ça lorsque le site te dit que le mot de passe ne doit pas dépasser 8 caractères.









TaigaIV a écrit :



Moi je ne files mes mots de passe ni à untel ni à Intel. <img data-src=" />





<img data-src=" />





Groumfy a écrit :



Ca fait peur de savoir comment certaines choses sont gérées. Dans une petite structure, c’est pas difficile à faire pourtant.





Si tu savais …..









Vanilys a écrit :



J’y pensais, à utiliser TrueCrypt, mais le problème c’est qu’on perd immédiatement la possibilité de l’utiliser immédiatement par une application (KeePass, LastPass, 7Pass…), il faut au préalable le décrypter, donc … :-/



Je sais bien que ce n’est pas totalement secure sur dropbox, mais bon, je me dis que c’est un compromis entre le cryptage de la BD avec un mot de passe fort, et la facilité d’utilisation.

De plus, quand on l’utilise sur PC, y’a différentes techniques qui rendent également plus safe l’utilisation du mot de passe enregistré : Manuellement, un utilisateur tapera les lettres/chiffres les uns après les autres. Avec Keepass, il y a des protections supplémentaires en utilisant le mécanisme de copié/collé de Kepass : le password sur le site ou logiciel où tu veux te logguer sera “copié/collé” en utilisant le Two-Channel AutoType Obfuscation (et il y a en + d’autres petites techniques supplémentaires), ce qui rend difficile voire impossible à un keylogger de récupérer ton mot de passe.



L’algo utilisé par Keepass pour la BDD est Rijndael (AES). Le mot de passe principal est encodé en SHA-256, en ajoutant un salt hash de 128 bits aléatoire en complément du SHA-256.



Donc bon, tout ça fait que c’est quand même bien secure :)



Plus d’infos :

http://keepass.info/help/base/security.html





tant que c’est pour stocker ton mot de passe steam, c’est encore ok. Mais si ça contient le mot de passe pour l’usage de ta carte visa sur une page web (le truc que tu utilises rarement mais qui est vachement important, tant à s’en souvenir qu’à ne pas laisser connaitre, et qui doit donc être fort), je ne pense pas que tu prendrais si facilement ce risque.









Cara62 a écrit :



Rassurez moi, c’est pour des logins à la con ? Sans trop d’importance ? <img data-src=" />







Yeah j’suis trop fort. Qui dit mieux ? <img data-src=" />



(j’avais oublié de faire le test la dernière fois <img data-src=" /> )







CONGRATULATIONS!

It would take about 8.959617346634368e+29 years to crack your password.







kurasul a écrit :



It would take a desktop PC about 4 thousand years to crack your password

^^ love it



pour ceux qui veulent tester



https://howsecureismypassword.net/







It would take a desktop PC about 197 quindecillion years to crack your password



Y’a pas a dire, les passphrase avec ponctuation, ça poutre :3









gokudomatic a écrit :



tant que c’est pour stocker ton mot de passe steam, c’est encore ok. Mais si ça contient le mot de passe pour l’usage de ta carte visa sur une page web (le truc que tu utilises rarement mais qui est vachement important, tant à s’en souvenir qu’à ne pas laisser connaitre, et qui doit donc être fort), je ne pense pas que tu prendrais si facilement ce risque.





Le code de ma CB n’est jamais stockée nulle part, pas même au sein de Keepass. Ni même mon password de compte bancaire. Ni mon code PIN de smartphone.

Par contre oui, les password Steam ou autre, ils y sont. Et les e-mails, par exemple. Ce qui fait qu’en se débrouillant bien, un mec qui arriverait à avoir ces passwords pourrait éventuellement faire une demande de reset de password et vérifier dans ma BAL …

Bref, y’a toujours un risque. Mais c’est pourquoi il faut le limiter au maximum…



Perso j’utilise dashlane. Génération de mot de passe, saisie automatique, multiplateforme avec synchro du compte en mode premium (6 mois offerts par parrainage).



Plu besoin de mon cerveau !








GoGator a écrit :



Plu besoin de mon cerveau !







<img data-src=" />









Vanilys a écrit :



Le code de ma CB n’est jamais stockée nulle part, pas même au sein de Keepass. Ni même mon password de compte bancaire. Ni mon code PIN de smartphone.

Par contre oui, les password Steam ou autre, ils y sont. Et les e-mails, par exemple. Ce qui fait qu’en se débrouillant bien, un mec qui arriverait à avoir ces passwords pourrait éventuellement faire une demande de reset de password et vérifier dans ma BAL …

Bref, y’a toujours un risque. Mais c’est pourquoi il faut le limiter au maximum…





Il est vrai que l’exemple de la cb est extrême, mais moi, par exemple, j’ai mis toutes les infos de config de mon routeur/wifi et tout sur keepass. Même l’accès à mon compte chez mon FAI. Et j’ai pas du tout envie que d’autres le lisent. Mais j’ai assez confiance en la sécurité de mon disque dur dans mon pc pour y mettre ce genre d’info crypté sous keepass.









HeLLSoNG a écrit :



Y’a pas a dire, les passphrase avec ponctuation, ça poutre :3





le côté vraiment positif de cette actu, c’est que j’apprends plein de mots nouveaux (genre quindecillion)









Vanilys a écrit :



.info :

http://keepass.info







Merci <img data-src=" />



Mais quel est l’intérêt de la version Classic ? Il lui manque plein de trucs par rapport à la Pro, et les deux sont gratuites… Et en plus elle tourne sur Linux sans passer par Wine.









John Shaft a écrit :



Je viens de tester mon mot de passe super safe (1234567890123456) :




  • Premier site : 28 jours pour le trouver

  • Intel : 0,0018 secondes.

    Je fais plus confiance à Intel du coup <img data-src=" />





    Mon pass serveur OVH testé chez Intel (légèrement modifié mais en gardant maj/min et chiffres) :

    CONGRATULATIONS!

    It would take about 2143250418 years to crack your password.



    Cela dit j’y mettrais pas mes réf. de CB quand même <img data-src=" />









Vanilys a écrit :



Le code de ma CB n’est jamais stockée nulle part, pas même au sein de Keepass. …Bref, y’a toujours un risque. Mais c’est pourquoi il faut le limiter au maximum…







je te rassure, si comme moi ton code de CB n’a pas changé en 10 ans ça fait longtemps qu’il est cramé (c’est pas une raison pour le mettre en poster non plus, mais bon).



De toutes façons à moins de vouloir piquer physiquement ta CB le code est inutile. Ton numéro de CB est archi-cramé, date d’expiration incluse (vu le nombre de commerçants physiques ou online à qui on le communique …) Ne manque plus que le “code de sécurité” mais entre le fait que personne ne l’efface de l’arrière de sa CB, et le fait que là encore on l’a communiqué à plusieurs dizaines de sites online …



tout ça pour dire que si ta CB est globalement cramée il y a peu de chance que ça soit à cause de ton logiciel de gestion de mots de passe.









Jarodd a écrit :



Merci <img data-src=" />



Mais quel est l’intérêt de la version Classic ? Il lui manque plein de trucs par rapport à la Pro, et les deux sont gratuites… Et en plus elle tourne sur Linux sans passer par Wine.





Je me suis toujours posé la même question (peut-être est-elle moins “complexe” pour l’utilisateur ?) :)

Mais je prends toujours la version pro, pis voilà.



EDIT :

Ou alors poru garder une compatibilité quelconque avec d’anciens plugins utilisables qu’en 1.X ?



Vivement qu’on remplace les mots de passe par une identification à la voix, à la cornée ou encore mieux à l’activité électrique du coeur ! (mais là je rêve ^^)








baldodo a écrit :



je te rassure, si comme moi ton code de CB n’a pas changé en 10 ans ça fait longtemps qu’il est cramé (c’est pas une raison pour le mettre en poster non plus, mais bon).



De toutes façons à moins de vouloir piquer physiquement ta CB le code est inutile. Ton numéro de CB est archi-cramé, date d’expiration incluse (vu le nombre de commerçants physiques ou online à qui on le communique …) Ne manque plus que le “code de sécurité” mais entre le fait que personne ne l’efface de l’arrière de sa CB, et le fait que là encore on l’a communiqué à plusieurs dizaines de sites online …



tout ça pour dire que si ta CB est globalement cramée il y a peu de chance que ça soit à cause de ton logiciel de gestion de mots de passe.





<img data-src=" /> <img data-src=" />









Jarodd a écrit :



Ca dépend où tu bosses. Tu n’es pas censé y avoir des comptes perso, et tu dois pouvoir partager les dossiers comme pour du papier.



Au boulot de ma femme, c’est interdiction de mettre un mdp. Parce qu’en cas d’absence, tout le monde doit pouvoir accéder à ses dossiers. C’est un risque en cas de vol des machines, mais ça reste moins probable que de faire capoter un dossier parce que personne ne peut prendre le relais. Seul le grand chef et sa secrétaire ont un mdp, probablement pour masquer les 5 à 7 <img data-src=" />







Un mot de passe sert à authentifier son propriétaire, ce qui à son tour permet d’appliquer les bons droits d’accès. L’existence de ce mot de passe ne préjuge pas de ce que seront ces droits d’accès.



Prétendre que mettre un mot de passe empêche le partage de documents c’est mélanger authentification et habilitation, et ça montre juste qu’on ne sait pas de quoi on parle.









Jarodd a écrit :



Merci <img data-src=" />



Mais quel est l’intérêt de la version Classic ? Il lui manque plein de trucs par rapport à la Pro, et les deux sont gratuites… Et en plus elle tourne sur Linux sans passer par Wine.







Les différences sont trouvables ici.



La principale différence que je vois est que - sous Windows - la branche classique (1.x) nécessite GDI+, là où la Pro (branche 2.x) nécessite le framework .NET.



Bon dans tous les cas, .NET est suffisamment répandu maintenant <img data-src=" /> (Et pis sous Linux, il n’y a que la Pro dans les dépôts - testé sous Debian et Ubuntu)









gokudomatic a écrit :



Même si ca dit que ça vérifie que ton mot de passe est solide? Faut arrêter la paranoïa à un moment donné.







C’est pas de la paranoïa. C’est mon métier de “penser comme les méchants” dans ce domaine, et je peux dire que créer un “site de vérification de robustesse de mot de passe” est très haut dans ma liste des “bonnes méthodes pour convaincre les gens de me filer leur mot de passe”.



C’est une méthode de phishing comme les autres.



Une objection presque valable aurait été “oui mais on ne me demande pas à quel compte ce mot de passe s’applique donc je suis tranquille”.



Sauf qu’ils ont aussi votre IP (et peut-être d’autres sources d’informations liées à l’IP) et toutes les infos que votre browser veut bien fournir ce qui n’est pas rien. De là à être capable de reconstituer des “comptes probables à tester”, il n’y a qu’un pas que je franchis allègrement.



Et aussi le but peut aussi être de construire des dictionnaires de mots de passes fréquemment utilisés pour améliorer l’efficacité des casseurs de mdp. De ce point de vue, les fuites comme celle des 3 millions de compte Adobe sont une véritable aubaine.









John Shaft a écrit :



Les différences sont trouvables ici.



La principale différence que je vois est que - sous Windows - la branche classique (1.x) nécessite GDI+, là où la Pro (branche 2.x) nécessite le framework .NET.



Bon dans tous les cas, .NET est suffisamment répandu maintenant <img data-src=" /> (Et pis sous Linux, il n’y a que la Pro dans les dépôts - testé sous Debian et Ubuntu)







Oui merci, mais c’est le même lien que le mien <img data-src=" />



Je suis en train de tester Keepass <img data-src=" />









Jarodd a écrit :



Oui merci, mais c’est le même lien que le mien <img data-src=" />







Ahah !



:bombinette-a-fumee-ninja:









Jarodd a écrit :



Je relance de quinze, car l’un propose la version 1.26, et l’autre 2.24. Est-ce vraiment le même produit ? <img data-src=" />







Même produit, obsolète vs. à jour. Cela, dit, allez plutôt le chercher à la source, sur le site officiel sur SourceForge. Keepass.com comme keepass.fr me paraissent douteux à première vue.



http://sourceforge.net/projects/keepass/?source=directory










DetunizedGravity a écrit :



C’est pas de la paranoïa. C’est mon métier de “penser comme les méchants” dans ce domaine, et je peux dire que créer un “site de vérification de robustesse de mot de passe” est très haut dans ma liste des “bonnes méthodes pour convaincre les gens de me filer leur mot de passe”.



C’est une méthode de phishing comme les autres.



Une objection presque valable aurait été “oui mais on ne me demande pas à quel compte ce mot de passe s’applique donc je suis tranquille”.



Sauf qu’ils ont aussi votre IP (et peut-être d’autres sources d’informations liées à l’IP) et toutes les infos que votre browser veut bien fournir ce qui n’est pas rien. De là à être capable de reconstituer des “comptes probables à tester”, il n’y a qu’un pas que je franchis allègrement.



Et aussi le but peut aussi être de construire des dictionnaires de mots de passes fréquemment utilisés pour améliorer l’efficacité des casseurs de mdp. De ce point de vue, les fuites comme celle des 3 millions de compte Adobe sont une véritable aubaine.





En tous cas, ma méthode de fishing marche bien. T’as mordu à pleines dents.<img data-src=" />









DetunizedGravity a écrit :



Même produit, obsolète vs. à jour. Cela, dit, allez plutôt le chercher à la source, sur le site officiel sur SourceForge. Keepass.com comme keepass.fr me paraissent douteux à première vue.



http://sourceforge.net/projects/keepass/?source=directory





Le site officiel est http://keepass.info/

Et le téléchargement est redirigé sur sourceforge :)









Shimaran a écrit :



Vivement qu’on remplace les mots de passe par une identification à la voix, à la cornée ou encore mieux à l’activité électrique du coeur ! (mais là je rêve ^^)







Données biométriques, qui sont synthétisées en données numériques pour pouvoir les comparer facilement. Données numériques qui sont ensuite stockées quelque part. et qui, donc, peuvent être volées et “rejouées” en votre absence.



Et quand quelqu’un vous aura volé votre “mot de passe biométrique” et commencera à se faire passer pour vous, dites-moi, vous ferez comment pour en changer? Just sayin’.









gokudomatic a écrit :



En tous cas, ma méthode de fishing marche bien. T’as mordu à pleines dents.<img data-src=" />







Si le but était de me faire réagir, ce n’est pas du phishing. C’est du trolling. Et donc je vais arrêter de te nourrir tout de suite.









DetunizedGravity a écrit :



Si le but était de me faire réagir, ce n’est pas du phishing. C’est du trolling. Et donc je vais arrêter de te nourrir tout de suite.





<img data-src=" />









Mithrill a écrit :



Bien vu, maintenant on va devoir recréer un nouveau site pour appâter le chaland pffff <img data-src=" />





et si on essayait de faire un site qui vérifie la sécurité des fichiers keepass? On propose de faire uploader un fichier, et par routine de verification, on demande à un moment donné la clé maitre.









gokudomatic a écrit :



et si on essayait de faire un site qui vérifie la sécurité des fichiers keepass? On propose de faire uploader un fichier, et par routine de verification, on demande à un moment donné la clé maitre.





non tester la robustesse du mot de passe gmail & ou facebook

et bien sur il faut fournir ID du compte pour éviter les mot de passe identique à l’ID ….









Cara62 a écrit :



Rassurez moi, c’est pour des logins à la con ? Sans trop d’importance ? <img data-src=" />







Yeah j’suis trop fort. Qui dit mieux ? <img data-src=" />



(j’avais oublié de faire le test la dernière fois <img data-src=" /> )





Sauf qu’en ligne le bruteforce n’est pas possible si les sites sont pas trop neuneus. Là leur outil il suffit juste de taper un truc long genre “motdepassedelamortquitue” et ça marche.

Il serait mieux tant qu’à faire de la pédagogie de bien différentier attaque en ligne (où une confirmation sms va être demandée si trop de bots tentent trop de mdp sur un compte) de bruteforce local où tout est permis et où l’usage d’un lexique est généralement utilisé ce qui fait que “motdepassedelamortquitue” ne tient pas des centaines de milliers d’années.






CONGRATULATIONS!It would take about 2607591842136569000 years to crack your password



Dieudonné M’Bala M’Bala est un super mot de passe!!!<img data-src=" />


you:pi

crackable en 39 secondes, pas cool ca <img data-src=" />


(…)Dieudonné M’Bala M’Bala est un super mot de passe!!! (…)



Maintenant que tu viens de le révéler, il l’est dejà un peu moins …








tic tac a écrit :



(…)Dieudonné M’Bala M’Bala est un super mot de passe!!! (…)



Maintenant que tu viens de le révéler, il l’est dejà un peu moins …





M’en fous, c’est pas le mien <img data-src=" />









misterdupond a écrit :



you:pi

crackable en 39 secondes, pas cool ca <img data-src=" />





et dire que : blablabla yakyakyak

lui, il met 204 trillions d’années (263000 années chez intel) pour être cracké. Y a pas de justice!<img data-src=" />









gokudomatic a écrit :



et dire que : blablabla yakyakyak

lui, il met 204 trillions d’années (263000 années chez intel) pour être cracké. Y a pas de justice!<img data-src=" />





Hum, c’est un peu what the fox says XD









Jarodd a écrit :



Merci <img data-src=" />



Mais quel est l’intérêt de la version Classic ? Il lui manque plein de trucs par rapport à la Pro, et les deux sont gratuites… Et en plus elle tourne sur Linux sans passer par Wine.







C’est pour ceux qui trouvent ça trop simple et qui veulent du challenge en plus dans la vie.









XalG a écrit :



C’est pour ceux qui trouvent ça trop simple et qui veulent du challenge en plus dans la vie.





c’est sur qu’installer une application mono sécurisée sous linux, c’est comme de jouer à un roguelike dans lequel on n’a droit qu’à un seul essai.









gokudomatic a écrit :



c’est sur qu’installer une application mono sécurisée sous linux, c’est comme de jouer à un roguelike dans lequel on n’a droit qu’à un seul essai.







Je vois pas le soucis <img data-src=">









XalG a écrit :



Je vois pas le soucis <img data-src=">





Ben j’attend la speedrun de l’installation de keepass 2 sur ubuntu avant de l’installer. Je préfère le bon vieux keepassx totalement stable et dans les dépôts.







…Attends. Quelqu’un n’avait pas dit que keepass 2 pro était aussi dans les dépôts?









Cara62 a écrit :



Rassurez moi, c’est pour des logins à la con ? Sans trop d’importance ? <img data-src=" />







Yeah j’suis trop fort. Qui dit mieux ? <img data-src=" />



(j’avais oublié de faire le test la dernière fois <img data-src=" /> )









kurasul a écrit :



oui ta raison





CONGRATULATIONS!

It would take about 1721418052035469 years to crack your password.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





Et sinon ça ne prendra que quelques secondes pour l’admin qui gère le site où vous avez rentré votre mot de passe. <img data-src=" /> <img data-src=" />









gokudomatic a écrit :



Ben j’attend la speedrun de l’installation de keepass 2 sur ubuntu avant de l’installer. Je préfère le bon vieux keepassx totalement stable et dans les dépôts.







…Attends. Quelqu’un n’avait pas dit que keepass 2 pro était aussi dans les dépôts?







sudo apt-get install keepass2



A priori ça y est





It would take a desktop PC about

35 sextillion years

to crack your password





CONGRATULATIONS!

It would take about 1573727075901 years to crack your password.





Bon, ça va, j’ai de la marge.








kurasul a écrit :



It would take a desktop PC about 4 thousand years to crack your password

^^ love it



pour ceux qui veulent tester



https://howsecureismypassword.net/









It would take a desktop PC about

169 sexdecillion years

to crack your password





J’apprends des mots en plus <img data-src=" />





et orientez-vous plutôt une combinaison du même acabit.



Je crois que je vais orienter moi plutôt un bon verre. <img data-src=" />








Takoon a écrit :



4mn avec un eeePc 901 depuis ma terrasse, juste pour voir…hein ?





<img data-src=" /> juste pour voir <img data-src=" />



La preuve qu’il manque réellement une vraie formation sérieuse des utilisateurs à l’informatique.



On aura fait un grand pas le jour ou le monde réalisera que la formation des utilisateurs sur le tas ne pose que des problèmes.



Ne rigolez pas, ça peut coûter très cher à une nation quand les grandes entreprises se retrouvent avec leurs appels d’offre piratés par les concurrents à cause d’utilisateurs qui sont des vrais trous de sécurité vivants.









John Shaft a écrit :



Il y a aussi KeePass, qui a l’avantage d’être libre et qui s’utilise en local <img data-src=" />





Faut que j’y passe, je suis actuellement sous FPM2, mais il ne semble plus maintenu.

Sinon le mot de passe qui pourrait être dans ce top tout en étant toujours différent en fonction de la personne, c’est la date de naissance. Grand classique.









dualboot a écrit :



Sinon le mot de passe qui pourrait être dans ce top tout en étant toujours différent en fonction de la personne, c’est la date de naissance. Grand classique.







1 chance sur 365 multiplié par 80 -&gt; env. 29 200 possibilités (sans compter les années bissextiles), modulo les permutations liés au système de notation (aaaammdd, ddmmaaa, …)



Pas si dur à trouver effectivement



Autant mettre l’âge du capitaine en MdP <img data-src=" />









sr17 a écrit :



Ne rigolez pas, ça peut coûter très cher à une nation quand les grandes entreprises se retrouvent avec leurs réponses à appels d’offre piratées par les concurrents à cause d’utilisateurs qui sont des vrais trous de sécurité vivants.





<img data-src=" />

Bien pire que l’appel en lui-même <img data-src=" />



Celui qui n’a rien à se reprocher n’a rien à cacher…. donc le lambda pigeon lobotomiser en a strictement rien à faire


Bon ca devrait aller pour mon mot de passe wifi : CONGRATULATIONS!

It would take about 3.2114142708729976e+38 years to crack your password



Par contre il est long à écrire avec une telecommande ou un téléphone <img data-src=" />


j’ai un client qui a mise son nom de famille en MDP sur une mail composée de son pré[email protected]



y’a vraiment des fous <img data-src=" />


En même temps quand tu vois ce que peut faire la NSA tu te demandes si ca vaut le coup de se creuser les méninges


AZERTY 23eme ???



mais on peut carément dire COCORICOO !!!

y’a qu’en Français que les claviers commencent par AZERTY non ?


Tiens, cette année, “Dragon” est sorti du top est a été remplacé par “monkey”, ca dépend de l’année du calendrier chinois ? <img data-src=" />


UN bon mot de passe , je part d’un poème.

Et je prend les premières lettres ,



remplace le “et” par “&” et les son “AU, O” par 0, “sur” par “/” etc….



http://poesie.webnet.fr/vospoemes/poemes/charly_lellouche/tu_es_mon_livre_ouvert…



Exemple:





Celle dont je sais tout, d’aujourd’hui et d’hier,——————————&gt; CDjCt,D0&h

Celle qui se confie et me dit “je t’adore”, ———————————–&gt; Ckiccon&md”jt’A”

Qui murmure “j’ai froid” lorsque survient l’hiver,————————— &gt; kim”j’èf”lsl’h

Et puis “réchauffe moi” et “aime moi encore”. ——————————&gt; Ep”rm”&ame


c’est très théorique, ce délai, tout dépend de l’ordre d’envoi des lettres ou mots,

dans les films ils trouvent en quelques secondes, sauf quand le scénariste est audacieux, le portable qui s’efface <img data-src=" />



et quand on oublie le mdp, en cliquant le lien pour le réinitialiser (ou le recevoir)

c’est pas le mdp en lui même qui doit être blindé, mais le serveur où il est installé



ou carrément plus simple, pourquoi seulement 2 cases (identifiant et mdp) ? on ajoute une clé de sécurité et même avec 2 mdp pourris, les possibilités sont augmentées (même en mettant de fois le même)








John Shaft a écrit :



1 chance sur 365 multiplié par 80 -&gt; env. 29 200 possibilités (sans compter les années bissextiles), modulo les permutations liés au système de notation (aaaammdd, ddmmaaa, …)



Pas si dur à trouver effectivement



Autant mettre l’âge du capitaine en MdP <img data-src=" />





Non non, je voulais dire : avec un peu ingénierie sociale, si tu arrive à déterminer le propriétaire d’un compte, la date de naissance est souvent associée au mot de passe.









dualboot a écrit :



Non non, je voulais dire : avec un peu ingénierie sociale, si tu arrive à déterminer le propriétaire d’un compte, la date de naissance est souvent associée au mot de passe.







Ah dans ce cas <img data-src=" />



Bon la brute force me semble plus simple tout de même, surtout qu’avec un peu de fourberie, il suffit de choisir la date de naissance du chat et ça complique les chose pour l’ingénierie sociale <img data-src=" /><img data-src=" />









John Shaft a écrit :



Ah dans ce cas <img data-src=" />



Bon la brute force me semble plus simple tout de même, surtout qu’avec un peu de fourberie, il suffit de choisir la date de naissance du chat et ça complique les chose pour l’ingénierie sociale <img data-src=" /><img data-src=" />





C’est vrai qu’un chat c’est plus difficile à interroger. <img data-src=" />









dualboot a écrit :



C’est vrai qu’un chat c’est plus difficile à interroger. <img data-src=" />







Faut choper son tatouage <img data-src=" />









gokudomatic a écrit :



ouais, essaie donc de faire ça lorsque le site te dit que le mot de passe ne doit pas dépasser 8 caractères.





Bah sur ce genre de sites en carton c’est adresse mail temporaire générée via jetable.org ou équivalent et remplissage de profils au minimum toléré et bien sur avec des infos 100% bidon, le tout étant de garder une trace de ses infos de connexion quelquepart car forcément pas moyen de récupérer un mot de passe oublié.









thieb03 a écrit :



En même temps quand tu vois ce que peut faire la NSA tu te demandes si ca vaut le coup de se creuser les méninges







ta remarque serait valable si ton seul “ennemi” était la NSA (qui a un peu plus de moyen qu’un simple escroc, fut-il doué)