Peut-être une question de temps de calcul de la machine?
Plus le pass est long et plus le calcul du hash l'est aussi je suppose?
Naturellement, je ne dis pas qu'un seul mot de passe long pose problème, surtout à un serveur, mais je suppose que si la taille est limitée, c'est qu'il y a une raison d'ordre technique derrière non?
Nan mais lol, en lisant l'article wikipedia donné par alain78, voilà que j'apprends que vous enfreigniez tous les deux un brevet !
Repentez-vous bande de pirates !Deux brevets principaux existent à ce sujet :
* Un des laboratoires Bell consistant à doubler le temps d'attente après chaque essai infructueux, pour le faire redescendre ensuite en vol plané après un certain temps sans attaques.
* Un de la compagnie IBM consistant à répondre « Mot de passe invalide » après N essais infructueux en un temps T, y compris si le mot de passe est valide : le pirate a alors toutes les chances de rayer de façon erronée le mot de passe valide en le considérant invalide. De plus, cette méthode empêche toute attaque visant à un déni de service pour l'utilisateur.
Mais non, il répond "faux", pas "mot de passe invalide"...
Et sinon, je trouve que des brevets pareils, c'est n'importe quoi ! (comme beaucoup de brevets d’ailleurs)
les algorithmes qui oublient leur histoire sont condamnés à la répéter
En tout cas cette discussion est riche en enseignements, non seulement sur la sécurité des mots de passe en elle même, mais aussi sur les connaissances de la plupart d'entre nous sur la question.
Pour ma part, je me souviens de m'être un jour vanté sur un forum de sécurité d'écrire des mots normaux en leet pour pouvoir les retenir facilement en échappant au dictionnaire. Les autres membres m'avaient alors gentiment informé de l'existence de John The Ripper, qui malheureusement semble tout à fait capable de contourner cette astuce.
L'idée d'utiliser une combinaison de mots à la place est très intéressante, mais seulement si on ne loupe pas l'idée qui est que les 4 mots choisis ne doivent pas avoir de lien apparent entre eux, si ce n'est dans la tête de la personne, car sinon, il devrait être assez simple d'établir un dictionnaire des phrases ou associations communes (en espérant que les utilisateurs et les crackers ne fassent pas de fautes de grammaire ou d'orthographe ).
Ce que j'aime bien aussi c'est l'idée de mélanger des mots de plusieurs langues. Mais au final je reste un peu sur ma faim, cette discussion n'a pas l'air de contenir de consensus clair sur la question. De toute manière il est rare qu'on ait besoin de mots de passe totalement inviolables, et comme certains l'ont très bien souligné, toto fait parfaitement l'affaire dans pas mal de cas.
Petite perle pour finir:
Une étude portant sur 32 millions de mots de passe du site RockYou.com, obtenus suite à une attaque du site, a montré que 30 % de ces mots de passe comportaient six caractères ou moins, et que le plus fréquent (un peu moins d'un sur cent) est « 123456 »[1].
Mes cours sur l'écosystème Java EE - N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java
Je suis parfaitement d'accord avec l'auteur de ce dessin.
J'ajoute que les mécanismes de protection mis en place par les Administrateurs de réseaux/Webmestres me semblent le plus souvent contre-productifs: expiration des mots de passes, combinaisons chiffres/caractères obligatoires, ou bien interdites, caractères spéciaux interdits, multiples mots de passes pour des applications différentes sur un même réseau etc...
Il devient impossible d'utiliser un nombre restreint de mots de passe, même compliqués.
Conclusion: les utilisateurs maintiennent une liste de mots de passe. Les plus avancés les stockent dans un fichier dédié lui-même protégé par un mot de passe fort; le commun des mortels, dans un fichier Excel ouvert à tous les vents, son téléphone portable, son carnet d'adresse...
Bonjour
Le premier inconvénient d'un mot de passe constitué d'assemblage de mots ou trop facile à retenir c'est que l'on à tendance à l'utiliser plus d'une fois.
Blog
Sans l'analyse et la conception, la programmation est l'art d'ajouter des bogues à un fichier texte vide.
(Louis Srygley : Without requirements or design, programming is the art of adding bugs to an empty text file.)
On a bien compris : la solution efficace, c'est de toruver des mots de passse assez longs, faciles à retenir mais un peu alambiqués.
L'avis publié ci-dessus est mien et ne reflète pas obligatoirement celui de mon entreprise.
des ...
'mots 2 passse AC longs, faciles à retenir mais un peu alambiqués' ->
'm2pACl,fàrmupa'
ça ça peut peut-être même mieux marcher que chevaldireamamere non ?
Beaucoup de gens mettent des prénoms comme mot de passe , des fois même leur prénom !
Mais même comme ça , la plus par du temps on utilise un mot de passe uniquement pour des services en ligne , et ils sont tous protégés pour empêcher plus de 3 à 5 tentatives erronées ... si tu connais pas bien la personne il y a peu de chance de trouver le bon prénom ^^
En général la grande majorité par exemple de hacking de compte mail ou services en ligne sont fait soit par l’entourage de la personne ou alors par des key loggers...
Sinon pour le hacking de serveur en ssh la méthode par brute force peut marcher car beaucoup laisse par défaut et sans limitation de saisie. Mais faut tenter sur plusieurs milliers de serveurs car en général, sur la quantité il y aura toujours un compte admin avec comme mdp un prénom ou un compte mysql mdp: mysql ...
Bref je pense que 2-3 mots passe simple pour vos services sur internet suffisent largement pas besoin de se prendre la tête.
Bon pour un réseau en entreprise ou sur des serveurs web , il vaut mieux être plus prudent...
En tout cas je vois mal les gens saisir une phrase entière à chaque session d'un service en ligne ...
Bonjour,
En fait dans mon entreprise on recommande comme mot de passe une phrase familière adaptée.
Exemple :
"Je suis né à Toulouse en 1952"
peut donner comme mot de passe
"#JsnàTe1952#"
Le dièse (ou autre caractère) est incorporé pour complexifier la chose.
Simple à retenir.
Qu'en pensez vous ?
Donnes un poisson à un homme tu le nourris un jour, apprends lui à pécher tu le nourris toute sa vie.
Ajouter du temps entre chaque (ou modulo un nombre) tentative, c'est bien mais pour cela il faut :
- Pouvoir identifier un "utilisateur"
- Que l'attaque ne vienne que d'un seul "utilisateur"
Le problème c'est que les cookies sont uniquement logiciels, et l'IP peut être utilisée par plusieurs utilisateurs via un NAT ou un proxy ou un réseau Tor (assimiblable à un proxy).
Ensuite impossible de se protéger contre un botnet ou un service de cloud.
Une méthode pour avoir des mots de passe simples à retenir, un peu complexe et résistant aux attaques par dictionnaire :
- Prendre une phrase
- Ne garder que la première de chaque mot
- On remplace le reste des lettre de chaque mot par le nombre de lettres dans le mot
ex: "je me suis couché tard !" "j2m2s4c6t4!"
Ca présente l'avantage de générer des mots de passe assez court pour les systèmes qui limitent la taille.
Quelque soit la complexité d'un mot de passe, la force brute sera toujours de rigueur tant le nombre de valeurs possibles restent faibles en comparaison de la puissance de calcul.
A quand l'utilisation de certificats à la place des couples login/password ?
Java : Cours et tutoriels - FAQ - Java SE 8 API - Programmation concurrente
Ceylon : Installation - Concepts de base - Typage - Appels et arguments
ECM = Exemple(reproduit le problème) Complet (code compilable) Minimal (ne postez pas votre application !)
Une solution vous convient ? N'oubliez pas le tag
Signature par pitipoisson
Au début, j'utilisais toujours un mot de passe avec chiffres lettre qui ne voulait rien dire.
Et puis, j'ai commencé à prendre l'habitude d'un amis: utiliser une PHRASE de passe, souvent des phrases de films, que je suis donc capable de retenir. exemple bateau "que la force soit avec toi" (j'ai dit bâteau), après je rajoute une majuscule au début par exemple, un chiffre et/ou un caractère spécial à la fin.
Je ne sais pas si c'est vraiment sécurisé ou pas en fait du coup....
Quelqu'un qui fera une attaque par dictionnaire ne trouvera rien, apriori, non?
la brute force prendrait un sacré temps vu le nombre de caractère....
Donc j'ai pris cette habitude, si certains se connaissant bien en crackage peuvent dire si c'est efficace... ^^ En tout cas, jamais eu de problème.
L'inconveignant étant la longueur du "mot" de passe, mais ça me gène pas du tout en fait, parce que je finis par le taper assez rapidement. :p (c'est presque aussi rapide de taper une phrase que de taper un mot ne voulant rien dire)
« Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it. » – Linus Torvalds
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager