Discussion :

[Traroth2]

Qu'est-ce que ça change ?

Là, au lieu d'avoir une combinaison de caractères, on a une combinaison de mots, de longueur inconnue.

Donc même en considérant que notre dictionnaire est de 10000 mots, si on compare avec les mots de passe actuels qui sont composés d'environ 256 caractères possibles différents (et encore, c'est beaucoup moins que ça) on en déduit aisément qu'un mot de passe formé par une phrase de 8 mots est bien plus sécurisé qu'un mot de passe de 8 caractères.

J'ai pas envie de faire le calcul pour savoir à partir de combien de mots le mot de passe est équivalent (si on se limite aux mots présents dans le dictionnaire du hacker, qu'on considère posséder 10000 entrées) mais à vue de nez ça doit être 5 ou 6. (bon, j'ai été curieux, j'ai fait le calcul et c'est bien 5 : 10^20 possibilités pour 5 mots vs 10^19 possibilités pour 8 caractères).

A partir de là, c'est très simple, on prend un extrait de film ou de livre et le tour est joué :
"La marche du vertueux est semée d'embuches"
"Ah ben le voilà le jus d'orange !"
"Shop smart, shop S-Mart ! You got that ?"
"Les sanglots longs des violons de l'automne"

On saupoudre le tout d'un peu de leet speak, on rajoute un chiffre dedans, de la ponctuation, et même avec un dictionnaire de citations c'est impossible à trouver.

Ce que ça change, c'est qu'en gros, l'attaque en force brute devient impossible et l'attaque avec un dictionnaire devient à peu près aussi efficace que l'attaque en force brute avec un mot de passe traditionnel (chaque mot devient l'équivalent d'un catactère, mais avec bien plus de 255 possibilités, l'alphabet n'étant pas connu avec précision comme il peut l'être pour un jeu de caractère), le tout avec un mot de passe bien plus facile à retenir.

[chaying]

Juste une chtite question en passant : pourquoi des gens aussi aguerris que les developpeurs n'utilisent pas lastpass (ou autre du meme genre) ? Un mot de passe de 32 caracteres formes de lettres minuscules, majuscules, d'alphanum et speciaux devrait faire l'affaire non ? Je garde une version cryptee de l'export de tous mes password (on ne sait jamais) et voili ? non ?

[n5Rzn1D9dC]

Juste une chtite question en passant : pourquoi des gens aussi aguerris que les developpeurs n'utilisent pas lastpass (ou autre du meme genre) ? Un mot de passe de 32 caracteres formes de lettres minuscules, majuscules, d'alphanum et speciaux devrait faire l'affaire non ? Je garde une version cryptee de l'export de tous mes password (on ne sait jamais) et voili ? non ?

Perso mes mots de passe font tous le maximum de caractères autorisé lors de leur création.
Mais ils ne sont pas sur mon pc, au moins je suis sur que personne ne peut les obtenirs hors hack d'un site où je vais.
Et pour certains forums/sites, une adresse mail spéciale a été utilisé, c'est à dire une adresse spécialement créée pour ce compte, et rien d'autre, afin que si il y a hack, la personne ne puisse pas remonter à d'autres comptes.
Par exemple pour Facebook, étant donné que j'utilise mon véritable nom dessus, j'ai jugé utile ce genre de procédure.
J'imagine le mec qui réussirait je-ne-sais-comment à s'infilter dans le compte mail lié à mon compte Facebook: "ho m*rde, ya aucun message, étrange !", Et l'adresse mail de récup est une adresse qui n'existe pas.. Donc à partir de mon compte Facebook, il est possible de remonter à aucun de mes autres comptes, en dehors d'un hack 0day de Facebook lui-même, ou du serveur de mon compte mail, afin d'obtenir mon ip, sinon c'est mort pour lui.
Et ceci, c'est pas à la porté du premier venu..

Ca peut paraître excessif, mais croyait moi, à notre époque avec les réseaux sociaux il faut se méfier bien plus qu'avant.
Il y en a certains qui n'hésitent pas à jouer les cowboys juste pour se faire valoir auprès d'un groupe de personne.
"TIens au faite tu ne connaitrais pas quelqu'un de bon en informatique pour faire ceci, cela ?"
Facebook permet des liens qui n'auraient jamais pu se faire entre des gens à l'époque de l'avant Facebook.
Donc tu peux même venir à te faire hacker par une personne "banale", mais qui connait quelqu'un, qui connait quelqu'un, qui connait quelqu'un, qui veut jouer les cowboys je-suis-dieux.

[Matthieu Vergne]

Un mot de passe fort ? C'est un mot de passe que même vous vous ne pourrez pas vous rappeler :
https://www.grc.com/passwords.htm

Le tout étant de l'écrire là où vous avez confiance en ce que personne ne pourra y accéder à part vous. Si on penche pour un mot de passe facile à retenir, alors c'est à coup de souvenirs (qu'on peut retrouver à coup de social engineering ou plus facilement si vous partager tout et n'importe quoi) ou de moyens mnémotechniques (mais trop simple veut dire que d'autres y ont pensé aussi).

Y'a pas de mot de passe parfait de toute façon.

[Mr_Exal]

Si on penche pour un mot de passe facile à retenir, alors c'est à coup de souvenirs (qu'on peut retrouver à coup de social engineering ou plus facilement si vous partager tout et n'importe quoi) ou de moyens mnémotechniques (mais trop simple veut dire que d'autres y ont pensé aussi).

A moins de l'apprendre par coeur et qu'il n'ait aucune relation avec soit même