Utilisons-nous des mots de passe difficiles à retenir, mais inefficaces ?

Gordon Fowler · 23/08/2011, 13h22

Utilisons-nous des mots de passe difficiles à retenir... mais inefficaces ?
Oui, d'après un développeur qui explique son idée en dessin

« Après 20 ans d'efforts, nous avons réussi à convaincre tout le monde d'utiliser des mots de passe difficiles à retenir pour les humains... mais faciles à deviner pour une machine ».

C'est ce qu'affirme ce développeur/dessinateur qui explique son raisonnement dans le détail (et non sans humour) dans cette planche :

Etes-vous d'accord avec lui ?

Que proposez-vous pour y remédier ?

Source

PatteDePoule · 23/08/2011, 13h48

Si on rajoute qu'il faut changer son mot de passe à chaque mois, ça devient vraiment difficile à retenir.

Donc les personnes prennent des mots de passe séquentiel et n'incrémente que le chiffre, ou encore l'inscrivent sur un bout de papier sur le bureau.

!1Qwerty
!2Qwerty
!3Qwerty
...

frfancha · 23/08/2011, 13h51

Mes mots de passe "importants" sont de la deuxième catégorie ;-)

ithel · 23/08/2011, 13h55

Ce dessin, au demeurant excellent (comme souvent), est tiré du site xkcd. Il aurait peut être été convenable de l'indiquer quelque part dans l'article?

Citation:

Note: You are welcome to reprint occasional comics pretty much anywhere (presentations, papers, blogs with ads, etc). If you're not outright merchandizing, you're probably fine. Just be sure to attribute the comic to xkcd.com.

Willy_XIII · 23/08/2011, 13h59

C'est pas bête, mais ils oublient un détail important : les mots de passe sont souvent limités en caractères.

Gordon Fowler · 23/08/2011, 13h59

Citation:

Envoyé par ithel

Il aurait peut être été convenable de l'indiquer quelque part dans l'article?

Bonjour,

Comme dans tous nos articles, la source avec lien direct vers l'auteur original est indiquée en fin d'article.

Respectueusement,

Gordon

Neko · 23/08/2011, 14h00

C'est vrai pour une attaque en brute force. Mais pour une attaque par dictionnaire je suppose que le second mot de passe tombera le premier

Fanvan · 23/08/2011, 14h01

Cette idée est essentiellement fausse. Elle avait été longuement discutée ici il y a plusieurs années. Il en ressort qu'un mot de passe composé de plusieurs mots du dictionnaire peut se fait étriper en un clin d'oeil à partir d'un hash non salé en utilisant une technique de rainbow table.

ithel · 23/08/2011, 14h01

oups au temps pour moi.

Fanvan · 23/08/2011, 14h08

Citation:

Envoyé par ithel

oups au temps pour moi.

Le comic provient effectivement de xkcd (en apparence en tout cas). L'argument de l'entropie semble par contre bien plus ancien.

Louhike · 23/08/2011, 14h26

Citation:

Envoyé par Fanvan

Cette idée est essentiellement fausse. Elle avait été longuement discutée ici il y a plusieurs années. Il en ressort qu'un mot de passe composé de plusieurs mots du dictionnaire peut se fait étriper en un clin d'oeil à partir d'un hash non salé en utilisant une technique de rainbow table.

Il en ressort surtout que les Rainbow Tables ne sont utiles que dans certains cas (mots de passe de compte pour certains OS, nécessité d'une présence physique).
Et dans le cas des Rainbow Tables, quelque soit le mot de passe, le mot de passe peut être craqué, ce n'est pas lié spécifiquement à la combinaison de mots.

siger95 · 23/08/2011, 14h29

j'utilise linux et notamment l'application pwgen , pour générer des mots de passes durs à retenir et trouver mais faciles à prononcer. exemple : Shaeth8sha. très efficace. Il en propose un e liste de 20 et la longueur et les types de caractères sont réglables.

gagaches · 23/08/2011, 14h32

le mieux c'est mix des deux :

4 mots simples agrégés ou une petite phrase + écriture leet partielle sur les voyelles et les s (par exemple, ou totale selon votre aisance dans l'écriture)

L'exemple donné devient :

Correct horse battery staple

c0rr3ct h0r$3 b4tt3ry $t4pl3

et là, c'est quand même bien plus compliqué à trouver.

Freem · 23/08/2011, 14h47

C'est complètement faux.

A ce que je me souviens du moment ou je m'amusais a fouiller les techniques du côté obscur du net (mais j'ai jamais été super bon, j'ai toujours préféré le offline), on utilise d'abord une attaque par dico avant l'attaque en force brute.

D'ailleurs, les soft de brute force, il me semble, intègrent le dico avant.
Il me semble également qu'il est possible de régler une "priorité" sur les caractères utilisés, ce qui fait que selon la personne que l'on attaque, on va régler tout ça différemment. Si c'est pas un geek (majorité des gens tout de même) on peut être quasi sûr qu'il y aura peu de caractères exotiques, et on peut donc les mettre en priorité faible.
Les algo s'appliquent aussi au brute force...

Je me trompe peut-être, je n'ai jamais aimé le brute force, ou l'attaquant ne fais rien... ni côté artistique ni côté technique, tant qu'a faire bosser mon pc, autant que ce soit pour compiler...

vivoli12 · 23/08/2011, 14h49

gagaches> ça peut être un bon exemple. On peut aussi s'amuser à remplacer les espaces par un (ou plusieurs) caractère spécial.

Par contre c'est galère pour taper ça sur un smartphone ou une tablette.

Si on se retrouve à devoir passer 5 minutes pour taper un mot de passe, les utilisateurs vont vite revenir à des mots de passe bateaux.

TheDrev · 23/08/2011, 14h53

1000 requetes a la second ca me parait beaucoup...
de plus il n'est pas tenu compte des attaques par dictionnaire.

gagaches · 23/08/2011, 15h05

Citation:

Envoyé par Freem

C'est complètement faux.

qu'est-ce qui est complètement faux ?
ce que je dis ?

Au contraire, une attaque par dico est compliquée quand elle ne connait pas toutes les règles de permutations appliquées.

Exple :
- permutation partielle des voyelles en leet
- permutation des e et des s en leet
- permutation des e en z (pas de leet, juste un choix de permutation connu)
- etc

Ce sont des règles que notre cerveau fera facilement :
" phrase simple" + "règle de permutation"
c'est bcp plus facile à retenir qu'un !%*45au#pùk£nou%$

Et à attaquer, c'est quasiment aussi compliqué.

Le point le plus important :
trouver des règles de permutations simples mais peu utilisées.

Ce que j'ai pu constaté, c'est que les règles de permutations partielles sont peu utilisées.

Sur les sites internets, ça marche très bien :

Un "J4ch3t3ch3zm4t3ri3ln3t" se génère facilement :
"Jachetechez" + <nom de la boutique tout attaché> + "e->3, a->4"

idem, "J4ch3t3ch3zgro$billcom".
Etc.

Et il permet de dédoubler les mots de passe facilement sans avoir un motif reconnaissance (genre un 0811 à la fin du mdp)

Mais heureusement, j'ai un pavé numérique et l'accès aux numéros se fait rapidement. Sur un smartphone, ca sera plus compliqué !

Branch · 23/08/2011, 15h10

Citation:

Envoyé par TheDrev

1000 requetes a la second ca me parait beaucoup...
de plus il n'est pas tenu compte des attaques par dictionnaire.

Si je me trompe pas, les 2^44 correspondent au nombre de combinaison de 4 mots parmi les 2000 mots les plus courrant... Du coup, on peut quand même dire que ça prend en compte les attaques par dictionnaire

rawsrc · 23/08/2011, 15h25

Salut,

J'ai résolu le problème depuis belle lurette en utilisant un coffre-fort numérique qui me génère d'une part tous mes mots de passe et surtout qui me remplit les formulaires.
Bon, le seul point très important c'est le mot de passe du coffre-fort, il doit être béton par ce que s'il tombe, bonjour les dégâts...
Vive KeePass

Freem · 23/08/2011, 15h36

Citation:

Envoyé par gagaches

qu'est-ce qui est complètement faux ?
ce que je dis ?

Non, ce que le gars a dis dans ses dessins... Que les pass sont inutilement trop complexes.
(pi oui, j'admet, je devrai pas dire un truc aussi tranché mais bon...)

Le seul truc qu'il dis qui est pas faux (ce qui rend mon "c'est complètement faux" complètement faux

) c'est le fait qu'un mot de passe long est plus dur à casser qu'un cour.

23/08/2011, 13h22	#1
Gordon Fowler Chroniqueur Actualités Inscription : juillet 2009 Messages : 2 727 Détails du profil Informations forums : Inscription : juillet 2009 Messages : 2 727 Points : 43 836 Points : 43 836	Utilisons-nous des mots de passe difficiles à retenir, mais inefficaces ? Utilisons-nous des mots de passe difficiles à retenir... mais inefficaces ? Oui, d'après un développeur qui explique son idée en dessin « Après 20 ans d'efforts, nous avons réussi à convaincre tout le monde d'utiliser des mots de passe difficiles à retenir pour les humains... mais faciles à deviner pour une machine ». C'est ce qu'affirme ce développeur/dessinateur qui explique son raisonnement dans le détail (et non sans humour) dans cette planche : Etes-vous d'accord avec lui ? Que proposez-vous pour y remédier ? Source
	60

23/08/2011, 13h48	#2
PatteDePoule Membre éclairé Inscription : août 2008 Messages : 230 Détails du profil Informations personnelles : Localisation : Canada Informations forums : Inscription : août 2008 Messages : 230 Points : 349 Points : 349	Si on rajoute qu'il faut changer son mot de passe à chaque mois, ça devient vraiment difficile à retenir. Donc les personnes prennent des mots de passe séquentiel et n'incrémente que le chiffre, ou encore l'inscrivent sur un bout de papier sur le bureau. !1Qwerty !2Qwerty !3Qwerty ... __________________ Les fautes d'orthographes sus-citées sont déposées auprès de leurs propriétaires respectifs. Aucune responsabilité n'est engagée sur la lisibilité du message ou les éventuels dommages qu'il peut engendrer. Votre internet est fourni avec Vidéotron? Téléchargez CIV
	20

23/08/2011, 14h00	#7
Neko Membre Expert Développeur informatique Inscription : juillet 2005 Messages : 512 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : juillet 2005 Messages : 512 Points : 1 869 Points : 1 869	C'est vrai pour une attaque en brute force. Mais pour une attaque par dictionnaire je suppose que le second mot de passe tombera le premier
	21

23/08/2011, 14h01	#8
Fanvan Membre habitué Étudiant Inscription : mai 2009 Messages : 21 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Étudiant Secteur : Enseignement Informations forums : Inscription : mai 2009 Messages : 21 Points : 130 Points : 130	Cette idée est essentiellement fausse. Elle avait été longuement discutée ici il y a plusieurs années. Il en ressort qu'un mot de passe composé de plusieurs mots du dictionnaire peut se fait étriper en un clin d'oeil à partir d'un hash non salé en utilisant une technique de rainbow table.
	50

23/08/2011, 14h49	#15
vivoli12 Nouveau Membre du Club Inscription : juin 2006 Messages : 39 Détails du profil Informations forums : Inscription : juin 2006 Messages : 39 Points : 37 Points : 37	gagaches> ça peut être un bon exemple. On peut aussi s'amuser à remplacer les espaces par un (ou plusieurs) caractère spécial. Par contre c'est galère pour taper ça sur un smartphone ou une tablette. Si on se retrouve à devoir passer 5 minutes pour taper un mot de passe, les utilisateurs vont vite revenir à des mots de passe bateaux.
	30

23/08/2011, 13h51	#3
frfancha Membre du Club Inscription : novembre 2009 Messages : 77 Détails du profil Informations forums : Inscription : novembre 2009 Messages : 77 Points : 69 Points : 69	Mes mots de passe "importants" sont de la deuxième catégorie ;-)
	01

23/08/2011, 13h59	#5
Willy_XIII Membre confirmé William Wojciechowski Inscription : mars 2007 Messages : 69 Détails du profil Informations personnelles : Nom : William Wojciechowski Âge : 22 Localisation : France Informations forums : Inscription : mars 2007 Messages : 69 Points : 230 Points : 230	C'est pas bête, mais ils oublient un détail important : les mots de passe sont souvent limités en caractères.
	10

23/08/2011, 14h01	#9
ithel Membre régulier Développeur Java Inscription : juillet 2009 Messages : 45 Détails du profil Informations personnelles : Localisation : France, Côte d'Or (Bourgogne) Informations professionnelles : Activité : Développeur Java Informations forums : Inscription : juillet 2009 Messages : 45 Points : 98 Points : 98	oups au temps pour moi.
	22

23/08/2011, 14h29	#12
siger95 Membre du Club Régis Brion Inscription : octobre 2009 Messages : 25 Détails du profil Informations personnelles : Nom : Régis Brion Informations forums : Inscription : octobre 2009 Messages : 25 Points : 49 Points : 49	j'utilise linux et notamment l'application pwgen , pour générer des mots de passes durs à retenir et trouver mais faciles à prononcer. exemple : Shaeth8sha. très efficace. Il en propose un e liste de 20 et la longueur et les types de caractères sont réglables.
	10

23/08/2011, 14h32	#13
gagaches Membre éclairé Inscription : novembre 2003 Messages : 65 Détails du profil Informations forums : Inscription : novembre 2003 Messages : 65 Points : 314 Points : 314	le mieux c'est mix des deux : 4 mots simples agrégés ou une petite phrase + écriture leet partielle sur les voyelles et les s (par exemple, ou totale selon votre aisance dans l'écriture) L'exemple donné devient : Correct horse battery staple c0rr3ct h0r$3 b4tt3ry $t4pl3 et là, c'est quand même bien plus compliqué à trouver.
	32

23/08/2011, 14h47	#14
Freem Membre Expert Développeur informatique Inscription : décembre 2008 Messages : 433 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : décembre 2008 Messages : 433 Points : 1 493 Points : 1 493	C'est complètement faux. A ce que je me souviens du moment ou je m'amusais a fouiller les techniques du côté obscur du net (mais j'ai jamais été super bon, j'ai toujours préféré le offline), on utilise d'abord une attaque par dico avant l'attaque en force brute. D'ailleurs, les soft de brute force, il me semble, intègrent le dico avant. Il me semble également qu'il est possible de régler une "priorité" sur les caractères utilisés, ce qui fait que selon la personne que l'on attaque, on va régler tout ça différemment. Si c'est pas un geek (majorité des gens tout de même) on peut être quasi sûr qu'il y aura peu de caractères exotiques, et on peut donc les mettre en priorité faible. Les algo s'appliquent aussi au brute force... Je me trompe peut-être, je n'ai jamais aimé le brute force, ou l'attaquant ne fais rien... ni côté artistique ni côté technique, tant qu'a faire bosser mon pc, autant que ce soit pour compiler...
	11

23/08/2011, 14h53	#16
TheDrev Membre confirmé Inscription : novembre 2006 Messages : 302 Détails du profil Informations personnelles : Âge : 28 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : novembre 2006 Messages : 302 Points : 209 Points : 209	1000 requetes a la second ca me parait beaucoup... de plus il n'est pas tenu compte des attaques par dictionnaire. __________________ all your base are belong to us.
	02

23/08/2011, 15h25	#19
rawsrc Expert Confirmé Martin Dev indep Inscription : mars 2004 Messages : 1 461 Détails du profil Informations personnelles : Nom : Martin Âge : 35 Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur) Informations professionnelles : Activité : Dev indep Informations forums : Inscription : mars 2004 Messages : 1 461 Points : 2 551 Points : 2 551	Salut, J'ai résolu le problème depuis belle lurette en utilisant un coffre-fort numérique qui me génère d'une part tous mes mots de passe et surtout qui me remplit les formulaires. Bon, le seul point très important c'est le mot de passe du coffre-fort, il doit être béton par ce que s'il tombe, bonjour les dégâts... Vive KeePass __________________ # Dans la Création, tout est permis mais tout n'est pas utile...
	20

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email