IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Utilisons-nous des mots de passe difficiles à retenir, mais inefficaces ?


Sujet :

Sécurité

  1. #41
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 528
    Points
    2 528
    Par défaut
    Citation Envoyé par Willy_XIII Voir le message
    C'est pas bête, mais ils oublient un détail important : les mots de passe sont souvent limités en caractères.
    Voila bien où est le problème ! Il n'y a aucune raison valable pour les limiter ainsi.

  2. #42
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2008
    Messages
    832
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Décembre 2008
    Messages : 832
    Points : 2 625
    Points
    2 625
    Par défaut
    Peut-être une question de temps de calcul de la machine?
    Plus le pass est long et plus le calcul du hash l'est aussi je suppose?

    Naturellement, je ne dis pas qu'un seul mot de passe long pose problème, surtout à un serveur, mais je suppose que si la taille est limitée, c'est qu'il y a une raison d'ordre technique derrière non?

  3. #43
    Expert éminent sénior

    Homme Profil pro
    pdg
    Inscrit en
    Juin 2003
    Messages
    5 749
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : pdg

    Informations forums :
    Inscription : Juin 2003
    Messages : 5 749
    Points : 10 666
    Points
    10 666
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par iznogoudmc Voir le message
    Citation Envoyé par alain78 Voir le message
    A mon sens, ce qu'il faut limiter pour éviter le crack d'un mot de passe c'est la puissance de la machine attaquante. Comment faire ? Pour ma part je n'autorise que 5 essais pour la saisie du mot de passe. Après 5 tentatives infructueuses, le compte est bloqué pour 5 minutes.
    Bonne piste, mais qui laisse encore une chance à la brute force.

    Une solution plus efficace encore, que j'avais employée à la glorieuse époque du Minitel dans des applications professionnelles (ou, il y en a eu !) : au bout de 5 tentatives je ne testais même plus le mot de passe, je répondais toujours "faux".

    MAIS..... La brute force ou les dictionnaires restent possible si un fichier contenant les mots de passe a été récupéré...... d'où l'intérêt des "phrases de passe" !
    Nan mais lol, en lisant l'article wikipedia donné par alain78, voilà que j'apprends que vous enfreigniez tous les deux un brevet !

    Deux brevets principaux existent à ce sujet :

    * Un des laboratoires Bell consistant à doubler le temps d'attente après chaque essai infructueux, pour le faire redescendre ensuite en vol plané après un certain temps sans attaques.

    * Un de la compagnie IBM consistant à répondre « Mot de passe invalide » après N essais infructueux en un temps T, y compris si le mot de passe est valide : le pirate a alors toutes les chances de rayer de façon erronée le mot de passe valide en le considérant invalide. De plus, cette méthode empêche toute attaque visant à un déni de service pour l'utilisateur.
    Repentez-vous bande de pirates !

  4. #44
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Octobre 2010
    Messages
    83
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Octobre 2010
    Messages : 83
    Points : 536
    Points
    536
    Par défaut
    Mais non, il répond "faux", pas "mot de passe invalide"...

    Et sinon, je trouve que des brevets pareils, c'est n'importe quoi ! (comme beaucoup de brevets d’ailleurs)
    les algorithmes qui oublient leur histoire sont condamnés à la répéter

  5. #45
    Membre habitué
    Homme Profil pro
    Architecte de système d'information
    Inscrit en
    Juin 2006
    Messages
    87
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : France

    Informations professionnelles :
    Activité : Architecte de système d'information
    Secteur : Conseil

    Informations forums :
    Inscription : Juin 2006
    Messages : 87
    Points : 144
    Points
    144
    Par défaut
    Citation Envoyé par Aurelien.Regat-Barrel Voir le message
    Nan mais lol, en lisant l'article wikipedia donné par alain78, voilà que j'apprends que vous enfreigniez tous les deux un brevet !
    Un de la compagnie IBM consistant à répondre « Mot de passe invalide » après N essais infructueux en un temps T, y compris si le mot de passe est valide : le pirate a alors toutes les chances de rayer de façon erronée le mot de passe valide en le considérant invalide. De plus, cette méthode empêche toute attaque visant à un déni de service pour l'utilisateur.
    Repentez-vous bande de pirates !
    Ah ben non : ma méthode est différente, elle se fichait royalement du temps T

    Et en plus, avec ma méthode, comme l'attaquant se connectait en 3615 je me faisais des thunes sur son dos : IBM a pas breveté ça !

  6. #46
    Membre éprouvé

    Homme Profil pro
    Développeur J2EE Senior
    Inscrit en
    Mai 2008
    Messages
    419
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur J2EE Senior
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2008
    Messages : 419
    Points : 900
    Points
    900
    Par défaut
    En tout cas cette discussion est riche en enseignements, non seulement sur la sécurité des mots de passe en elle même, mais aussi sur les connaissances de la plupart d'entre nous sur la question.

    Pour ma part, je me souviens de m'être un jour vanté sur un forum de sécurité d'écrire des mots normaux en leet pour pouvoir les retenir facilement en échappant au dictionnaire. Les autres membres m'avaient alors gentiment informé de l'existence de John The Ripper, qui malheureusement semble tout à fait capable de contourner cette astuce.

    L'idée d'utiliser une combinaison de mots à la place est très intéressante, mais seulement si on ne loupe pas l'idée qui est que les 4 mots choisis ne doivent pas avoir de lien apparent entre eux, si ce n'est dans la tête de la personne, car sinon, il devrait être assez simple d'établir un dictionnaire des phrases ou associations communes (en espérant que les utilisateurs et les crackers ne fassent pas de fautes de grammaire ou d'orthographe ).

    Ce que j'aime bien aussi c'est l'idée de mélanger des mots de plusieurs langues. Mais au final je reste un peu sur ma faim, cette discussion n'a pas l'air de contenir de consensus clair sur la question. De toute manière il est rare qu'on ait besoin de mots de passe totalement inviolables, et comme certains l'ont très bien souligné, toto fait parfaitement l'affaire dans pas mal de cas.

    Petite perle pour finir:
    Une étude portant sur 32 millions de mots de passe du site RockYou.com, obtenus suite à une attaque du site, a montré que 30 % de ces mots de passe comportaient six caractères ou moins, et que le plus fréquent (un peu moins d'un sur cent) est « 123456 »[1].
    Mes cours sur l'écosystème Java EE - N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  7. #47
    Membre régulier
    Femme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    Juin 2011
    Messages
    23
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2011
    Messages : 23
    Points : 76
    Points
    76
    Par défaut
    Je suis parfaitement d'accord avec l'auteur de ce dessin.

    J'ajoute que les mécanismes de protection mis en place par les Administrateurs de réseaux/Webmestres me semblent le plus souvent contre-productifs: expiration des mots de passes, combinaisons chiffres/caractères obligatoires, ou bien interdites, caractères spéciaux interdits, multiples mots de passes pour des applications différentes sur un même réseau etc...

    Il devient impossible d'utiliser un nombre restreint de mots de passe, même compliqués.

    Conclusion: les utilisateurs maintiennent une liste de mots de passe. Les plus avancés les stockent dans un fichier dédié lui-même protégé par un mot de passe fort; le commun des mortels, dans un fichier Excel ouvert à tous les vents, son téléphone portable, son carnet d'adresse...


  8. #48
    Rédacteur

    Avatar de danielhagnoul
    Homme Profil pro
    Étudiant perpétuel
    Inscrit en
    Février 2009
    Messages
    6 389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 73
    Localisation : Belgique

    Informations professionnelles :
    Activité : Étudiant perpétuel
    Secteur : Enseignement

    Informations forums :
    Inscription : Février 2009
    Messages : 6 389
    Points : 22 933
    Points
    22 933
    Billets dans le blog
    125
    Par défaut
    Bonjour

    Le premier inconvénient d'un mot de passe constitué d'assemblage de mots ou trop facile à retenir c'est que l'on à tendance à l'utiliser plus d'une fois.

    Blog

    Sans l'analyse et la conception, la programmation est l'art d'ajouter des bogues à un fichier texte vide.
    (Louis Srygley : Without requirements or design, programming is the art of adding bugs to an empty text file.)

  9. #49
    Membre éprouvé
    Profil pro
    Inscrit en
    Décembre 2004
    Messages
    585
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2004
    Messages : 585
    Points : 1 138
    Points
    1 138
    Par défaut
    On a bien compris : la solution efficace, c'est de toruver des mots de passse assez longs, faciles à retenir mais un peu alambiqués.
    L'avis publié ci-dessus est mien et ne reflète pas obligatoirement celui de mon entreprise.

  10. #50
    Futur Membre du Club
    Homme Profil pro
    Trésorier
    Inscrit en
    Octobre 2007
    Messages
    9
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 69
    Localisation : Réunion

    Informations professionnelles :
    Activité : Trésorier

    Informations forums :
    Inscription : Octobre 2007
    Messages : 9
    Points : 9
    Points
    9
    Par défaut
    des ...
    'mots 2 passse AC longs, faciles à retenir mais un peu alambiqués' ->
    'm2pACl,fàrmupa'
    ça ça peut peut-être même mieux marcher que chevaldireamamere non ?

  11. #51
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par danielhagnoul Voir le message
    ...on à tendance à l'utiliser plus d'une fois.
    Comme login, je mets TOUJOURS : "login"
    En password, je mets TOUJOURS : "password"

    J'ai bon ??

  12. #52
    Membre averti
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    351
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 351
    Points : 432
    Points
    432
    Par défaut
    Beaucoup de gens mettent des prénoms comme mot de passe , des fois même leur prénom !

    Mais même comme ça , la plus par du temps on utilise un mot de passe uniquement pour des services en ligne , et ils sont tous protégés pour empêcher plus de 3 à 5 tentatives erronées ... si tu connais pas bien la personne il y a peu de chance de trouver le bon prénom ^^

    En général la grande majorité par exemple de hacking de compte mail ou services en ligne sont fait soit par l’entourage de la personne ou alors par des key loggers...

    Sinon pour le hacking de serveur en ssh la méthode par brute force peut marcher car beaucoup laisse par défaut et sans limitation de saisie. Mais faut tenter sur plusieurs milliers de serveurs car en général, sur la quantité il y aura toujours un compte admin avec comme mdp un prénom ou un compte mysql mdp: mysql ...

    Bref je pense que 2-3 mots passe simple pour vos services sur internet suffisent largement pas besoin de se prendre la tête.

    Bon pour un réseau en entreprise ou sur des serveurs web , il vaut mieux être plus prudent...

    En tout cas je vois mal les gens saisir une phrase entière à chaque session d'un service en ligne ...

  13. #53
    Membre régulier Avatar de alain78
    Homme Profil pro
    retraité
    Inscrit en
    Mai 2008
    Messages
    160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 71
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : retraité
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 160
    Points : 97
    Points
    97
    Par défaut mot de passe facile ?
    Bonjour,

    En fait dans mon entreprise on recommande comme mot de passe une phrase familière adaptée.

    Exemple :

    "Je suis né à Toulouse en 1952"

    peut donner comme mot de passe

    "#JsnàTe1952#"

    Le dièse (ou autre caractère) est incorporé pour complexifier la chose.

    Simple à retenir.

    Qu'en pensez vous ?
    Donnes un poisson à un homme tu le nourris un jour, apprends lui à pécher tu le nourris toute sa vie.

  14. #54
    Membre averti
    Profil pro
    Inscrit en
    Avril 2008
    Messages
    124
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Avril 2008
    Messages : 124
    Points : 318
    Points
    318
    Par défaut
    Citation Envoyé par Aldian Voir le message
    L'idée d'utiliser une combinaison de mots à la place est très intéressante, mais seulement si on ne loupe pas l'idée qui est que les 4 mots choisis ne doivent pas avoir de lien apparent entre eux, si ce n'est dans la tête de la personne, car sinon, il devrait être assez simple d'établir un dictionnaire des phrases ou associations communes


    Donc mon super mot de passe :
    DSK goes to Sofitel

    C'est pas bon ! Ben zut alors ...




  15. #55
    Rédacteur/Modérateur
    Avatar de Logan Mauzaize
    Homme Profil pro
    Architecte technique
    Inscrit en
    Août 2005
    Messages
    2 894
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : Transports

    Informations forums :
    Inscription : Août 2005
    Messages : 2 894
    Points : 7 083
    Points
    7 083
    Par défaut
    Ajouter du temps entre chaque (ou modulo un nombre) tentative, c'est bien mais pour cela il faut :
    • Pouvoir identifier un "utilisateur"
    • Que l'attaque ne vienne que d'un seul "utilisateur"

    Le problème c'est que les cookies sont uniquement logiciels, et l'IP peut être utilisée par plusieurs utilisateurs via un NAT ou un proxy ou un réseau Tor (assimiblable à un proxy).

    Ensuite impossible de se protéger contre un botnet ou un service de cloud.

    Une méthode pour avoir des mots de passe simples à retenir, un peu complexe et résistant aux attaques par dictionnaire :
    - Prendre une phrase
    - Ne garder que la première de chaque mot
    - On remplace le reste des lettre de chaque mot par le nombre de lettres dans le mot
    ex: "je me suis couché tard !" "j2m2s4c6t4!"

    Ca présente l'avantage de générer des mots de passe assez court pour les systèmes qui limitent la taille.


    Quelque soit la complexité d'un mot de passe, la force brute sera toujours de rigueur tant le nombre de valeurs possibles restent faibles en comparaison de la puissance de calcul.
    A quand l'utilisation de certificats à la place des couples login/password ?
    Java : Cours et tutoriels - FAQ - Java SE 8 API - Programmation concurrente
    Ceylon : Installation - Concepts de base - Typage - Appels et arguments

    ECM = Exemple(reproduit le problème) Complet (code compilable) Minimal (ne postez pas votre application !)
    Une solution vous convient ? N'oubliez pas le tag
    Signature par pitipoisson

  16. #56
    Membre confirmé Avatar de satenske
    Homme Profil pro
    Développeur Java
    Inscrit en
    Mars 2011
    Messages
    143
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2011
    Messages : 143
    Points : 477
    Points
    477
    Par défaut
    Au début, j'utilisais toujours un mot de passe avec chiffres lettre qui ne voulait rien dire.
    Et puis, j'ai commencé à prendre l'habitude d'un amis: utiliser une PHRASE de passe, souvent des phrases de films, que je suis donc capable de retenir. exemple bateau "que la force soit avec toi" (j'ai dit bâteau), après je rajoute une majuscule au début par exemple, un chiffre et/ou un caractère spécial à la fin.
    Je ne sais pas si c'est vraiment sécurisé ou pas en fait du coup....
    Quelqu'un qui fera une attaque par dictionnaire ne trouvera rien, apriori, non?
    la brute force prendrait un sacré temps vu le nombre de caractère....
    Donc j'ai pris cette habitude, si certains se connaissant bien en crackage peuvent dire si c'est efficace... ^^ En tout cas, jamais eu de problème.
    L'inconveignant étant la longueur du "mot" de passe, mais ça me gène pas du tout en fait, parce que je finis par le taper assez rapidement. :p (c'est presque aussi rapide de taper une phrase que de taper un mot ne voulant rien dire)
    « Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it. » – Linus Torvalds

Discussions similaires

  1. [WebForms][2.0] Règle de sécurité des mots de passe
    Par oli_carbo dans le forum Général Dotnet
    Réponses: 5
    Dernier message: 20/03/2006, 13h07
  2. fichier des mots de passe
    Par Isabella dans le forum Oracle
    Réponses: 6
    Dernier message: 25/02/2006, 09h52
  3. Sauvegarde des Mots de passe de connexion Web
    Par zakuli dans le forum Windows XP
    Réponses: 5
    Dernier message: 08/12/2005, 20h05
  4. enregistrer et masquer des mots de passe
    Par champion dans le forum PostgreSQL
    Réponses: 2
    Dernier message: 30/08/2004, 21h10
  5. Au sujet des mots de passe
    Par FranT dans le forum Langage
    Réponses: 6
    Dernier message: 17/09/2002, 23h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo