Idem, j'utilise passwordsafe, le fichier .pws (je crois que c'est son extension) est sauvegarder sur plusieurs support.
Ca pose juste un problème de mise à jour dans le sens où je n'ai accès à certains de ces support que très rarement et que je ne pense pas forcement à remplacer.
Au pire des cas, si je perd tout mes mot de passe, j'ai toujours la possibilité de perdre une journée à cliquer sur "j'ai oublié mon mot de passe" et à tout refaire.
Sinon j'utilise le générateur de mdp aléatoire de passwordsafe, et je mets autant de caractère que m'en autorise le site/le logiciel.
Sinon je m'arréte à une trentaine de caractère.
Par contre, je ne change pas ces mot de passe à moins d'avoir un doute.
Il y avait un sujet un peu similaire ouvert y a pas trop longtemps :
http://www.developpez.net/forums/d13...eme-mot-passe/
Je m'éloigne un tout petit peu pour dire que par du Social Engineering on pourrait éventuellement trouver les réponses aux questions secrètes, et ainsi obtenir obtenir l'accès, peut importe la complexité du mot de passe principal.
Du coup, personnellement, quand ces questions secrètes sont obligatoires, j'y réponds par des mots de passes "aléatoires" super long. Ou bien par un autre mot de passe convenable et retenable, histoire de ne pas rendre la récupération de mot de passe impossible.
"If you can't teach it then you don't know it."
En prenant le nom du site sur lequel on est, et en l'encodant en md5, ca donne ceci : 7376271ad4be66459a921e5c4f6c626b
et donc ceci :
CONGRATULATIONS!
It would take about 4.690072166627129e+21 years to crack your password.
Si besoin d'un caractère spécial, ajouter un '_', et si limité à un certain nombre de caractères, ben.. limiter la suite de caractères.
Facile à retenir, inutile de se balader avec un 'encodeur', (il y en a sur le net), et suffisamment complexe pour regler le problème des mots de passe.
Voiloù !
baser un mot de passe sur un simple hashage MD5 (que tu calcules en ligne en plus !) est une très mauvaise idée...il existe des bases de données en ligne pour retrouver un mot de passe à partir du hash MD5...et je ne serais pas surpris qu'un bon nombre de site de hashage en ligne servent justement à alimenter ces bases
quand à l'évaluateur, il estime à 1 semaine le crakage de "mot de passe"...et 399579 years le mot de passe "je ne sais pas"...j'ai comme un doute sur sa pertinence
Bonjour,
Je suis d'accord avec les 4 citations de Christuff.
Quand je pense que les banques imposent 4 à 6 chiffres comme code sur leur site sécurisé !
A+
md5, sérieux ?... non par pitié...
Thierry Leriche-Dessirier
Consultant Java JEE Web Agile freelance
Rédacteur pour Developpez
Professeur de Génie Logiciel à l'ESIEA
Site : http://www.icauda.com / Linked'in : http://www.linkedin.com/in/thierryler / Twitter : @ThierryLeriche
Cela me rappelle le temps lointain où le centre de calcul que j'utilisais imposais de changer de mot de passe TOUS LES TROIS MOIS (limite de validité automatique).
Le seul moyen de s'en sortir était d'utiliser un algorithme simple pour incrémenter une partie du mot (numéro du mois, etc), ce qui était cousu de fil blanc et peut-être bien contre productif.
GraceGTK: a plotting tool at https://sourceforge.net/projects/gracegtk
Si on remplace Congratulations! (178318434 ans) par Félicitations! on obtient 21,24mn.
Les français sont-ils vraiment des bœufs ?
Je plussoie avec Christuff. Le pire, c'est lorsqu'on essaie de se reloguer avec sa passphrase la fois d'après, pour réaliser que les caractères français (éàç..) ont provoqué un bug silencieux sur le site, et qu'il est impossible de se reloguer...
Sinon, je ne comprends juste pas pourquoi en 2013 on utilise encore des mot de passe (sur un PC potentiellement infesté de keyloggers), alors qu'on pourrait avoir un token pour saler le mot de passe à chaque fois.
Un smartphone, c'est un token, non ? (sauf android le nid à malware )
C'est peut être un peu geek comme concept, mais on pourrait éviter presque la totalité des vols de compte (genre le scénario pourri où on se fait chourer son mot de passe de courriel sur un PC vérolé, courriel qui sert ensuite à réinitialiser les comptes de tous les autres sites...). Belle propagation.
Pour ma part j'utilise des noms de composé chimique que j'écris en l337 (mais pas forcément pour toutes les lettres). C'est juste une affaire de quelques jours pour retenir mon mot de passe.
Je ne suis pas schizophrène, nous sommes unanime !!!
► Pensez à la balise code et au CODE HTML GENERE !!!!
► Au si c'est le cas et au à ceux qui vous ont aidé.
► Vous souhaitez participer aux rubriques CSS et (X)HTML ? Contactez-nous !
Créer des colonnes de même hauteur en CSS
Glossaire CSS
Les bordures en CSS3
Les transitions en CSS3
Apres avoir joue un peu avec le testeur, on s'apercoit que celui-ci prend en compte le contenu du mot de passe, ce que ne peut pas supposer un attaquant.
C'est, comme tres souvent, un probleme de biais restrospectif. En gros, c'est utiliser des informations connus a posteriori pour dire que, a priori, il y avait un probleme.
Dans ce cas precis, si on compare les deux mots de passe suivants :
Bonjours
T9b3CD3a
Ils ont, en brute-force, la meme difficulte d'etre craquee, car ils sont de meme longueur, et on ne peut faire aucune supposition sur le jeu de caractere utilise.
Neanmoins, le premier est un mot du dictionnaire (avec un 's' pour avoir 8 caracteres), donc en cas d'attaque par dictionnaire, il resistera beaucoup moins bien que le second. Mais si l'attaquant utilise ce type d'attaque, c'est qu'il suppose qu'elle a des chances de reussir (utilisateurs non formes a la securite par exemple).
Reste que la plupart des mots de passe sont effectivement complexes a se souvenir pour un etre humain, et pas plus difficile que ca pour une machine.
sur https://www-ssl.intel.com/content/ww...sswordwin.html
j'ai testé "**************" réponse : 3922344 years
sur https://howsecureismypassword.net/
"aaaaaaaaaaaaaa" réponse 511 years
Ya du foutage de gueule dans l'air
François
https://howsecureismypassword.net/ est sans intérêt. azerty12345, 1 an (présent dans toutes les tables depuis... leur création).
Sur le site d'intel ils lui donnent 7.10^-4"... c'est déjà plus crédible. (et 10^37 ans pour mon pass de boot sur partition chiffrée complète... ça devrait aller).
Bonsoir Fagus
Cette question intéresse beaucoup certains hackers d'ailleursComment procédez-vous pour créer un mot de passe fort et facile à retenir ?
Qu'ils soient d'une entreprise ou des particuliers ou même l'état.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager