Discussion :

[Stéphane le calme]

À 11 ans, elle vend des mots de passe forts moyennant deux dollars
en se servant de la méthode Diceware

La vie privée numérique. Un sujet qui revient souvent sur le tapis, boosté par des révélations comme celles d’Edward Snowden, par des découvertes sur des failles critiques de sécurité sur Android, Flash ou ailleurs, mais aussi par des rapports qui montrent la recrudescence des attaques à l’instar de la campagne de publicité malveillante dont a été victime Yahoo! Les guides ou conseils sur la façon d’améliorer sa sécurité numérique se multiplient. L’un des points qui sont souvent évoqués est l’utilisation d’un mot de passe fort.

C’est sur cette vague que va surfer Mira Modi, une jeune fille âgée d’à peine 11 ans, qui va développer une petite activité économique : moyennant 2 dollars, elle va créer et envoyer à ses clients des mots de passe sécurisés en se servant de la méthode Diceware. Cette méthode consiste à jeter des dés, afin de générer des nombres aléatoires. Ces nombres sont ensuite rapportés à un dictionnaire numéroté de 7776 mots et Mira peut en tirer une suite de mots qui constitueront son mot de passe. Ces chaînes de mots étant générées de manière totalement aléatoire, le mot de passe est très difficile à deviner, mais facile à retenir pour les utilisateurs.

Concrètement, Mira lance un dé cinq fois en notant à chaque fois le résultat. Puis elle convertit la combinaison de chiffres en un mot en consultant le dictionnaire des mots et abréviations conçu spécialement pour cette méthode. Elle recommence l’opération cinq fois pour obtenir un total de six mots qui est, selon le concepteur de la méthode, le minimum requis pour un mot de passe sécurisé (ou alors cinq mots et un caractère). Le concepteur estime qu’un mot de passe constitué de cinq mots pourrait être trouvé avec un millier de PC équipés de processeurs graphiques haut de gamme (des botnets de PC infectés par exemple). Une fois toutes ces opérations terminées, elle obtient une phrase qui n’a pas de sens littéral et aura la faculté d’être difficile à deviner bien que facile à mémoriser.

L’idée lui est venue de sa mère, Julia Angwin, une journaliste d’investigation pour ProPublica spécialisée dans les questions de vie privée, et auteur de « Dragnet Nation », un ouvrage sur la technologie de la surveillance aux États-Unis. Pendant ses recherches, elle a sollicité sa fille pour l’aider à générer des mots de passe grâce à la méthode Diceware développée par Arnold G. Reinhold.

« J’ai commencé ce business parce que ma maman avait la flemme de lancer autant de fois des dés, alors elle m’a payée pour le faire et donc pour lui créer des phrases de passe. J’ai réalisé ensuite que d’autres gens voudraient la même chose », va-t-elle expliquer sur son site web.

Mais Mira n’a pas conclu assez de ventes à son goût. « Je voulais en faire quelque chose de public parce que je ne gagnais pas assez d’argent », dit-elle. « Je pensais que ce serait amusant d’avoir mon propre site web ». Raison pour laquelle elle a déporté son activité sur le net : l’utilisateur passe une commande sur son site web, Mira se charge de lancer les dés et envoie le mot de passe obtenu par la poste. Elle rappelle que l’enveloppe ainsi envoyée ne peut être ouverte par le gouvernement sans mandat de perquisition. Elle précise également qu’une fois que vous entrez en possession de votre mot de passe, vous pouvez effectuer des changements comme mettre des lettres en majuscules ou ajouter des symboles comme un point d’exclamation afin d’être certain que le mot de passe ne soit plus le même que celui qu’elle vous a donné.

Et qu’en pense Arnold Reinold ? Lors d’une interview avec ARS Technica, il a expliqué que « dans une perspective de sécurité, il est préférable de générer derechef votre propre mot de passe Diceware, mais il est peu probable qu’elle travaille pour les méchants, et tout effort pour faire connaître l’importance des mots de passe forts doit être loué ».

Source : Diceware Passewords, ARS Technica

Et vous ?

Que pensez-vous de cette méthode ?

Voir Aussi

le dictionnaire Diceware (au format PDF)

[Iradrille]

Et qu’en pense Arnold Reinold ? Lors d’une interview avec ARS Technica, il a expliqué que « dans une perspective de sécurité, il est préférable de générer derechef votre propre mot de passe Diceware, mais il est peu probable qu’elle travaille pour les méchants, et tout effort pour faire connaître l’importance des mots de passe fort doit être loué ».

Tout est dit : quelqu'un qui veut un password solide le génèrera lui-même.

[Jarodd]

Idéal pour les gens qui ignorent qu'on peut utiliser un générateur !

Je vais développer mon idée : vous me dites ce que vous cherchez, et je vous donne une liste de résultats (après avoir lancé 3 dés et fait une danse du ventre pour renforcer le côté mystique et inédit de la chose)

[Issam]

a 11 ans, moi je dis bravo!

une future bill gates ou steve jobs peut être

[Matthieu Vergne]

J'espère ni l'un ni l'autre, personellement. {'^_^}

[jopopmk]

a 11 ans, moi je dis bravo!

une future bill gates ou steve jobs peut être

Arf, je voulais troller avec ça mais trop tard ...

[eldran64]

Le problème des générateurs de mdp sur le web c'est que tu peux les intercepter facilement si la connexion est en clair.
Dans les autres cas, c'est plus coton mais largement réalisable.
La seule solution consisterai à construire son propre ordinateur quantique avec son propre programme de génération de mot de passe.
Lui seul pourrait fournir un mdp totalement aléatoire.

Donc, sa solution n'est pas si idiote que ça semble paraitre.

Après, sans aller jusqu'au pc quantique, comme dis ci-dessus: une phrase sans queue ni tête peut largement suffire.
Exemple:
"Le S0le1l est doux et soy3u#".
Ça ne veut rien et c'est facile à retenir.

[G'Optimus]

C'est un peut facile a faire je trouve .Je préfère générer mes propre mot de passe

[fabiin]

https://xkcd.com/936/

[ticNFA]

Je prends la remarque d'Issam pour de l'humour. Car je ne sais pas ce qui est le plus inquiétant, la mère qui monétise cela avec sa fille parce qu'elle n'est pas foutue d'automatiser cela ou sa fille qui pense tout de suite au pognon qu'elle pourrait retirer de cela ou encore les gens prêts à payer pour cela (en plus c'est migon c'est une petite fille !). Donc point de génie ici mais de l'âpreté au gain... Pauvre monde.

[Voyvode]

À ce rythme, on va faire vendre des mots de passe basés sur l’entropie du placenta par des nouveau-nés.

[ticNFA]

À ce rythme, on va faire vendre des mots de passe basé sur l’entropie du placenta par des nouveaux-nés.

Il va falloir commencer plus tôt pour payer sa retraite.

[Neckara]

Elle rappelle que l’enveloppe ainsi envoyée ne peut être ouverte par le gouvernement sans mandat de perquisition.

C'est vrai qu'ils vont se gêner…

[ticNFA]

C'est vrai qu'ils vont se gêner…

C'est une commerçante qui vous le dit.

[eldran64]

C'est une commerçante qui vous le dit.

Si elle le dit, c'est forcément vrai!

[hugobob]

Pour générer un mot de passe solide, je prends une suites de caractères bizarres (du genre 4çT-dhjS5ds45!&) sans aucun sans, et m’entraîne à le mémoriser.

[Aooka]

Pour générer un mot de passe solide, je prends une suites de caractères bizarres (du genre 4çT-dhjS5ds45!&) sans aucun sans, et m’entraîne à le mémoriser.

Exactement pareil, je fais un des mots de passes de plusieurs dizaines de caractères comme cela. Mais au lieu de les mémoriser, je les imprimes sur une feuille de papier que je met dans un petit coffre

[NSKis]

Plus que solutionner la problèmatique d'avoir des mots de passe solide, l'histoire est rigolote et permet d'enrichir un peu la légende du monde numérique... Le garage de Steve Jobs ou les péripéties du jeunes Bill Gates commencent à dater un peu.

Bonne continuation à la gamine de 11 ans!

[TheLastShot]

Je ne sais pas trop ce qui m’effraie le plus là dedans:
- Le fait que les gens (et les "concepteurs" de sites qui te demandent un mot de passe entre 8 et 10 caractères (jamais compris pourquoi ils mettaient un maximum O_o) avec des chiffres, des majuscules, des caractères spéciaux, etc.) qu'un mot de passe simple mais long étaient beaucoup mieux.
- Le fait qu'une gamine de 11 ans se f**te de la gueule des gens de cette manière (parce que oui, se faire payer pour jeter un dé, j'appel pas ça autrement)
- Le fait qu'il y en ai qui paie pour ça -_-'

@Issam: Si c'est un troll, Billou et Stevie ont, qu'on le veuille ou non, bien participer au domaine de l'informatique (n'en déplaise aux haters). Si c'en est pas un... Je te rajoute à ma liste du dessus.

[crocus]

Passionnant comme activité. Qu'il y ait des gens qui payent pour ca, ca tue.
Il y a des tonnes de methodes pour générer des bons mots de passe . Le plus dur c'est comment on se souvient de ces super bons mots de passe ?