IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Utilisons-nous des mots de passe difficiles à retenir, mais inefficaces ?


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 798
    Points
    148 798
    Par défaut Utilisons-nous des mots de passe difficiles à retenir, mais inefficaces ?
    Utilisons-nous des mots de passe difficiles à retenir... mais inefficaces ?
    Oui, d'après un développeur qui explique son idée en dessin

    « Après 20 ans d'efforts, nous avons réussi à convaincre tout le monde d'utiliser des mots de passe difficiles à retenir pour les humains... mais faciles à deviner pour une machine ».

    C'est ce qu'affirme ce développeur/dessinateur qui explique son raisonnement dans le détail (et non sans humour) dans cette planche :



    Etes-vous d'accord avec lui ?

    Que proposez-vous pour y remédier ?

    Source

  2. #2
    Membre éclairé Avatar de PatteDePoule
    Homme Profil pro
    Développeur .NET
    Inscrit en
    août 2008
    Messages
    380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : août 2008
    Messages : 380
    Points : 763
    Points
    763
    Par défaut
    Si on rajoute qu'il faut changer son mot de passe à chaque mois, ça devient vraiment difficile à retenir.

    Donc les personnes prennent des mots de passe séquentiel et n'incrémente que le chiffre, ou encore l'inscrivent sur un bout de papier sur le bureau.

    !1Qwerty
    !2Qwerty
    !3Qwerty
    ...
    Les fautes d'orthographes sus-citées sont déposées auprès de leurs propriétaires respectifs. Aucune responsabilité n'est engagée sur la lisibilité du message ou les éventuels dommages qu'il peut engendrer.

  3. #3
    Membre éprouvé
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    490
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : novembre 2009
    Messages : 490
    Points : 1 136
    Points
    1 136
    Par défaut
    Mes mots de passe "importants" sont de la deuxième catégorie ;-)

  4. #4
    Membre averti
    Homme Profil pro
    Développeur Java
    Inscrit en
    juillet 2009
    Messages
    81
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2009
    Messages : 81
    Points : 344
    Points
    344
    Par défaut
    Ce dessin, au demeurant excellent (comme souvent), est tiré du site xkcd. Il aurait peut être été convenable de l'indiquer quelque part dans l'article?

    Note: You are welcome to reprint occasional comics pretty much anywhere (presentations, papers, blogs with ads, etc). If you're not outright merchandizing, you're probably fine. Just be sure to attribute the comic to xkcd.com.

  5. #5
    Membre émérite
    Avatar de Voyvode
    Profil pro
    Inscrit en
    mars 2007
    Messages
    475
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2007
    Messages : 475
    Points : 2 626
    Points
    2 626
    Par défaut
    C'est pas bête, mais ils oublient un détail important : les mots de passe sont souvent limités en caractères.

  6. #6
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 798
    Points
    148 798
    Par défaut
    Citation Envoyé par ithel Voir le message
    Il aurait peut être été convenable de l'indiquer quelque part dans l'article?
    Bonjour,

    Comme dans tous nos articles, la source avec lien direct vers l'auteur original est indiquée en fin d'article.

    Respectueusement,

    Gordon

  7. #7
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 881
    Points
    1 881
    Par défaut
    C'est vrai pour une attaque en brute force. Mais pour une attaque par dictionnaire je suppose que le second mot de passe tombera le premier
    If it's free, you are not the customer, you are the product.

  8. #8
    Membre actif
    Homme Profil pro
    Enseignant
    Inscrit en
    mai 2009
    Messages
    46
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : mai 2009
    Messages : 46
    Points : 245
    Points
    245
    Par défaut
    Cette idée est essentiellement fausse. Elle avait été longuement discutée ici il y a plusieurs années. Il en ressort qu'un mot de passe composé de plusieurs mots du dictionnaire peut se fait étriper en un clin d'oeil à partir d'un hash non salé en utilisant une technique de rainbow table.

  9. #9
    Membre averti
    Homme Profil pro
    Développeur Java
    Inscrit en
    juillet 2009
    Messages
    81
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2009
    Messages : 81
    Points : 344
    Points
    344
    Par défaut
    oups au temps pour moi.

  10. #10
    Membre actif
    Homme Profil pro
    Enseignant
    Inscrit en
    mai 2009
    Messages
    46
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : mai 2009
    Messages : 46
    Points : 245
    Points
    245
    Par défaut
    Citation Envoyé par ithel Voir le message
    oups au temps pour moi.
    Le comic provient effectivement de xkcd (en apparence en tout cas). L'argument de l'entropie semble par contre bien plus ancien.

  11. #11
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2009
    Messages
    86
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : janvier 2009
    Messages : 86
    Points : 182
    Points
    182
    Par défaut
    Citation Envoyé par Fanvan Voir le message
    Cette idée est essentiellement fausse. Elle avait été longuement discutée ici il y a plusieurs années. Il en ressort qu'un mot de passe composé de plusieurs mots du dictionnaire peut se fait étriper en un clin d'oeil à partir d'un hash non salé en utilisant une technique de rainbow table.
    Il en ressort surtout que les Rainbow Tables ne sont utiles que dans certains cas (mots de passe de compte pour certains OS, nécessité d'une présence physique).
    Et dans le cas des Rainbow Tables, quelque soit le mot de passe, le mot de passe peut être craqué, ce n'est pas lié spécifiquement à la combinaison de mots.

  12. #12
    Invité
    Invité(e)
    Par défaut
    j'utilise linux et notamment l'application pwgen , pour générer des mots de passes durs à retenir et trouver mais faciles à prononcer. exemple : Shaeth8sha. très efficace. Il en propose un e liste de 20 et la longueur et les types de caractères sont réglables.

  13. #13
    Membre confirmé
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    107
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 107
    Points : 582
    Points
    582
    Par défaut
    le mieux c'est mix des deux :

    4 mots simples agrégés ou une petite phrase + écriture leet partielle sur les voyelles et les s (par exemple, ou totale selon votre aisance dans l'écriture)

    L'exemple donné devient :

    Correct horse battery staple

    c0rr3ct h0r$3 b4tt3ry $t4pl3

    et là, c'est quand même bien plus compliqué à trouver.

  14. #14
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2008
    Messages
    831
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2008
    Messages : 831
    Points : 2 605
    Points
    2 605
    Par défaut
    C'est complètement faux.

    A ce que je me souviens du moment ou je m'amusais a fouiller les techniques du côté obscur du net (mais j'ai jamais été super bon, j'ai toujours préféré le offline), on utilise d'abord une attaque par dico avant l'attaque en force brute.

    D'ailleurs, les soft de brute force, il me semble, intègrent le dico avant.
    Il me semble également qu'il est possible de régler une "priorité" sur les caractères utilisés, ce qui fait que selon la personne que l'on attaque, on va régler tout ça différemment. Si c'est pas un geek (majorité des gens tout de même) on peut être quasi sûr qu'il y aura peu de caractères exotiques, et on peut donc les mettre en priorité faible.
    Les algo s'appliquent aussi au brute force...

    Je me trompe peut-être, je n'ai jamais aimé le brute force, ou l'attaquant ne fais rien... ni côté artistique ni côté technique, tant qu'a faire bosser mon pc, autant que ce soit pour compiler...

  15. #15
    Membre régulier
    Profil pro
    Inscrit en
    juin 2006
    Messages
    60
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2006
    Messages : 60
    Points : 96
    Points
    96
    Par défaut
    gagaches> ça peut être un bon exemple. On peut aussi s'amuser à remplacer les espaces par un (ou plusieurs) caractère spécial.

    Par contre c'est galère pour taper ça sur un smartphone ou une tablette.

    Si on se retrouve à devoir passer 5 minutes pour taper un mot de passe, les utilisateurs vont vite revenir à des mots de passe bateaux.

  16. #16
    Membre actif
    Avatar de TheDrev
    Profil pro
    Inscrit en
    novembre 2006
    Messages
    310
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : novembre 2006
    Messages : 310
    Points : 262
    Points
    262
    Par défaut
    1000 requetes a la second ca me parait beaucoup...
    de plus il n'est pas tenu compte des attaques par dictionnaire.
    all your base are belong to us.

  17. #17
    Membre confirmé
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    107
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 107
    Points : 582
    Points
    582
    Par défaut
    Citation Envoyé par Freem Voir le message
    C'est complètement faux.
    qu'est-ce qui est complètement faux ?
    ce que je dis ?

    Au contraire, une attaque par dico est compliquée quand elle ne connait pas toutes les règles de permutations appliquées.

    Exple :
    - permutation partielle des voyelles en leet
    - permutation des e et des s en leet
    - permutation des e en z (pas de leet, juste un choix de permutation connu)
    - etc

    Ce sont des règles que notre cerveau fera facilement :
    " phrase simple" + "règle de permutation"
    c'est bcp plus facile à retenir qu'un !%*45au#pùk£nou%$

    Et à attaquer, c'est quasiment aussi compliqué.

    Le point le plus important :
    trouver des règles de permutations simples mais peu utilisées.

    Ce que j'ai pu constaté, c'est que les règles de permutations partielles sont peu utilisées.

    Sur les sites internets, ça marche très bien :

    Un "J4ch3t3ch3zm4t3ri3ln3t" se génère facilement :
    "Jachetechez" + <nom de la boutique tout attaché> + "e->3, a->4"

    idem, "J4ch3t3ch3zgro$billcom".
    Etc.

    Et il permet de dédoubler les mots de passe facilement sans avoir un motif reconnaissance (genre un 0811 à la fin du mdp)

    Mais heureusement, j'ai un pavé numérique et l'accès aux numéros se fait rapidement. Sur un smartphone, ca sera plus compliqué !

  18. #18
    Nouveau membre du Club
    Homme Profil pro
    Doctorant
    Inscrit en
    juin 2008
    Messages
    12
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Doctorant
    Secteur : Transports

    Informations forums :
    Inscription : juin 2008
    Messages : 12
    Points : 29
    Points
    29
    Par défaut
    Citation Envoyé par TheDrev Voir le message
    1000 requetes a la second ca me parait beaucoup...
    de plus il n'est pas tenu compte des attaques par dictionnaire.
    Si je me trompe pas, les 2^44 correspondent au nombre de combinaison de 4 mots parmi les 2000 mots les plus courrant... Du coup, on peut quand même dire que ça prend en compte les attaques par dictionnaire

  19. #19
    Expert éminent sénior
    Avatar de rawsrc
    Homme Profil pro
    Dev indep
    Inscrit en
    mars 2004
    Messages
    6 142
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Dev indep

    Informations forums :
    Inscription : mars 2004
    Messages : 6 142
    Points : 16 468
    Points
    16 468
    Billets dans le blog
    12
    Par défaut
    Salut,

    J'ai résolu le problème depuis belle lurette en utilisant un coffre-fort numérique qui me génère d'une part tous mes mots de passe et surtout qui me remplit les formulaires.
    Bon, le seul point très important c'est le mot de passe du coffre-fort, il doit être béton par ce que s'il tombe, bonjour les dégâts...
    Vive KeePass

  20. #20
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2008
    Messages
    831
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2008
    Messages : 831
    Points : 2 605
    Points
    2 605
    Par défaut
    Citation Envoyé par gagaches Voir le message
    qu'est-ce qui est complètement faux ?
    ce que je dis ?
    Non, ce que le gars a dis dans ses dessins... Que les pass sont inutilement trop complexes.
    (pi oui, j'admet, je devrai pas dire un truc aussi tranché mais bon...)

    Le seul truc qu'il dis qui est pas faux (ce qui rend mon "c'est complètement faux" complètement faux ) c'est le fait qu'un mot de passe long est plus dur à casser qu'un cour.

Discussions similaires

  1. [WebForms][2.0] Règle de sécurité des mots de passe
    Par oli_carbo dans le forum Général Dotnet
    Réponses: 5
    Dernier message: 20/03/2006, 12h07
  2. fichier des mots de passe
    Par Isabella dans le forum Oracle
    Réponses: 6
    Dernier message: 25/02/2006, 08h52
  3. Sauvegarde des Mots de passe de connexion Web
    Par zakuli dans le forum Windows XP
    Réponses: 5
    Dernier message: 08/12/2005, 19h05
  4. enregistrer et masquer des mots de passe
    Par champion dans le forum PostgreSQL
    Réponses: 2
    Dernier message: 30/08/2004, 20h10
  5. Au sujet des mots de passe
    Par FranT dans le forum Langage
    Réponses: 6
    Dernier message: 17/09/2002, 22h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo