IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

« Cracker des mots de passe est désormais une activité à la portée de tous », un journaliste explique comment


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 705
    Points
    148 705
    Par défaut « Cracker des mots de passe est désormais une activité à la portée de tous », un journaliste explique comment
    « Cracker des mots de passe est désormais une activité à la portée de tous »
    Un journaliste américain explique comment et donne des parades


    Nat Anderson est un journaliste qui se définit lui-même comme un « script kiddie ». Un connaisseur de l’informatique, mais parfaitement incapable de hacker quoi que ce soit sans les outils des autres.

    Et pourtant, en une seule journée, Nat Andersen affirme avoir réussi à cracker 8 000 mots de passe. Nulle vantardise dans ses propos. Juste un signal d’alarme tiré sur la fragilité du duo id/password.

    « Voir son propre mot de passe tomber en moins de quelques secondes est le genre d’expérience que tout le monde devrait faire, ne serait-ce qu’une fois… ne serait-ce que parce qu’elle permet de mieux concevoir ses propres mots de passe », écrit-il.

    La première étape de son expérience a consisté à trouver un fichier avec une liste de mots de passe « hashés », passés à la moulinette d’algorithmes qui les rendent illisibles. Trouver une telle liste (un fichier « MD5.txt » de 15 000 mots hashés) fut visiblement chose facile sur Internet.

    Le but à partir de là était de retrouver la forme « en clair » de ces mots « hashés ». Pour cela, le journaliste s’est procuré un des plus célèbres « password cracker » - « pardon, "un spécialiste de la récupération de mots de passe" », plaisante-t-il - un logiciel dénommé Hashcat.

    Après des essais infructueux pour le faire marcher directement en ligne de commande sur un MacBook Air, le « script kiddie » passe alors sur un (volontairement) vieux laptop sous Windows et lance, sans aucun problème, Hashcat avec une interface graphique.

    Nat Andersen part alors à la chasse d’une liste de mots de passe « communs ». Le but étant de les passer à la moulinette de Hashcat – qui les hashe - et de comparer chaque résultat aux chaînes de caractères de la liste « MD5.txt » pour retrouver les mots de passe originaux.

    Depuis 2009, une telle liste particulièrement redoutable existe. Avant cette date, les pirates essayaient de constituer un dictionnaire de mots de passe en devinant les plus populaires. Après la perte de 14,5 millions de passwords uniques, lâchés dans la nature par une compagnie de jeux baptisée « Rock You », le piratage a changé d’ère. « Oubliez les spéculations, Rock You nous donne une liste de mots de passe véritablement utilisés par les gens ».


    Extrait de la liste « Rock You »

    « Trouver le fichier Rock You m’a pris trois minutes », constate Nat Anderson. Problème, faire fonctionner Hashcat n’est pas si simple. Et une fois la liste passée dans le « password cracker », aucun mot n’est cassé.

    Un échec total pour un « newbie » ? Oui. Mais heureusement – si l’on peut dire – un expert en sécurité de chez Errata Security a essuyé les mêmes revers et les a racontés, puis a documenté ses propres essais pour déchiffrer une liste similaire volée à LinkedIn.

    La clef se trouvait en fait dans les « règles ». Une règle permet d’extrapoler des combinaisons en fonction de la liste de départ. Par exemple, si un mot de passe est « Developpez », alors une règle pourra faire tester au programme toutes les variantes avec deux chiffres supplémentaires (de « Developpez00 » à « Developpez99 »).

    Les choses étant bien conçues, Hashcat embarque son propre lot de règles complexes, dont une recoupe les pratiques les plus communes des utilisateurs. Nat Anderson repasse alors Rock You dans le programme, mais cette fois-ci avec cette règle « best64.rule » sur les « conseils » involontaires de l’expert de Errata Security.

    En soi, « best64 » est un résumé de toutes les pratiques à bannir pour la sécurité : mot inversé (« zeppoleveD ») , ajout d’un chiffre (« Developpez1 »), ajout des 14 combinaisons de chiffres les plus usités, ajout d’un « s » à la fin du mot, ajout de suffixe populaire (man, dog, 123), puis la même chose mais en pré-fixe (« 1Developpez »), puis essai en Leet (« |)3\/3£0|*|*3% »), puis des rotations de lettres sont tentées.

    Avec cette règle « Best64 », Nat Anderson lance à nouveau le processus. Résultat : un seul mot de passe hacké.

    Déçu, le « script kiddie » décide alors de revenir aux basiques et lance une attaque de force brute. En clair, le logiciel commence par hasher « aaaaa » puis le compare à la liste, puis hashe « aaaab », etc.

    Pour que la méthode fonctionne à peu près, il faut néanmoins l’encadrer avec quelques options pour que le tout ne prenne pas des années. Et là encore, surprise, Hashcat offre des outils préconfigurés. Le journaliste se limite donc aux password de 6 caractères, sans majuscules.

    Résultat, 32 mots de passe tombent en 6 minutes. Trop lent.

    Nat Anderson décide alors de faire encore plus simple. Il retire les chiffres et les symboles des options de l’attaque. Pour 334 résultats en une minute. Des mots simples comme « violet » ou « ludwig » curieusement absents du fichier Rock You.

    Nat Anderson commence à se dire que les choses ne sont pas si simples. Il décide alors de nourrir Hashcat avec des dictionnaires de langues (anglais et allemand) et une liste de noms et prénoms glanés sur Facebook (un fichier téléchargé sur un autre forum de piratage). Mais rien ne fonctionne.

    Nous voilà rassurés. Pirater des mots de passe n’est donc pas à la portée du premier venu.

    Sauf que…

    Sauf que Nat Anderson avait tout faux dès le départ en oubliant simplement de décompresser ses fichiers. Une fois Rock You décompressé, les résultats tournent au carnage : 5 000 passwords tombent en une minute. Puis avec les règles, 8 000.

    Ces résultats restent « modestes ». Mais les vrais pirates utilisent des machines plus puissantes qu’un laptop vieillissant. Voire le Cloud (comme ce fut déjà le cas).

    Nat Anderson souligne par ailleurs qu’il n’a utilisé que deux modes d’attaques du logiciel et que d’autres, plus performantes, mais plus gourmandes en ressources, sont disponibles à portée de clics. Sans oublier que d’autres « password crackers » sont encore plus évolués et s’appuient par exemple sur des statistiques pour déterminer si un caractère a plus ou moins de chance de succéder à un autre (ce qui optimise drastiquement les attaques de force brute).

    Nat Anderson applique ensuite sa méthode « simple » à ses mots de passe à lui et réussit à les faire tomber en quelques secondes. Il décide de les améliorer sur le champ.

    Fort de son expérience, le journaliste donne cinq conseils, que les experts connaissent déjà mais qu’il est toujours bon de rappeler quand on voit avec quelle facilité ces mots de passe sont piratés par des amateurs éclairés : utiliser des algorithmes plus performants que le MD5, « hasher » plusieurs fois le même mot de passe, utiliser le salage (ajouter des caractères aléatoires avant de hasher le password), et surtout avoir des mots de passe beaucoup plus longs (le temps demandé pour une attaque par force brute suit une courbe exponentielle - un mot de passe de plus de 8 caractères rend ainsi la force brute quasi impossible) – et qui sont entrecoupés de caractères choisis au hasard.

    Humainement, Nat Anderson s’est également fait peur. « On se prend très vite au jeu. […] C’est addictif. C’est comme un puzzle mathématique ». L’attrait du côté obscur de la Force.

    Reste que pour pirater des services (comme des sites, ou un compte en banque) le fichier contenant les hash des mots de passe doit lui-même être piraté et divulgué. Ce qui est une autre histoire. Malheureusement plus courante qu'on ne pourrait l'espérer.

    Source : « How I became a password cracker », récit de Nat Anderson sur ArsTechnica

    Et vous ?

    Comment améliorez-vous la sécurité de vos mots de passe ?

  2. #2
    Membre éprouvé
    Profil pro
    Inscrit en
    décembre 2004
    Messages
    581
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2004
    Messages : 581
    Points : 1 091
    Points
    1 091
    Par défaut
    Bon, ça commence à devenir quelque chose de connu...
    Une solution serait que ça devienne connu également aux oreilles des entreprises : tout le monde pourrait bénéficier d'un petit "cours" gratuit qui y serait donné aux employés, et ça serait certainement utile aussi dans la vie privée. Bien sûr, les "gamins" ne pourraient pas en bénéficier, mais comme ils publient volontairement tous leurs secrets sur FaceDeBouc, ça ne doit pas trop les gêner.
    Une autre solution pour éviter l'usage de ces dictionnaire : oublier les "conseils" des informaticiens qu'on voit parfois même ici sur ce site (je cite : "quand tu travailles, oublie tous les accents") ! Non seulement, l'UTF8 ça n'existe pas que pour faire beau, et en plus, en usant et abusant des accents, des cédilles et autres trucs bizarres, qu'on ne trouvera sans aucun doute dans aucun dictionnaire, on obtient des mots de passe qui résistent un peu plus longtemps à la force brute.
    Et enfin, conseil vu récemment, je ne sais plus où (ici par exemple) explique que c'est bien mieux de choisir des mots de passe longs plutôt que des mots de passe compliqués. Quand les développeurs voudront bien nous laisser saisir plus de 8 caractères...
    L'avis publié ci-dessus est mien et ne reflète pas obligatoirement celui de mon entreprise.

  3. #3
    Membre régulier
    Profil pro
    Développeur Web
    Inscrit en
    décembre 2006
    Messages
    105
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : décembre 2006
    Messages : 105
    Points : 114
    Points
    114
    Par défaut
    En même temps s'il y a encore des dev qui s'amusent à faire un simple md5(password) pour leur mots de passe, on ne peut plus rien pour eux...

  4. #4
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 357
    Points
    9 357
    Par défaut
    Faudrait aussi que les Devs soient au courant...
    Car quand on voit des services dont le mot de passe ne doit pas dépasser 8 caractères et ne comporter aucune majuscule, aucun chiffre et surtout aucun caractère spécial (on va dire que c'est parce qu'ils se sont rendu compte que ça soulevait des erreurs SQL dans leur code non ? )...

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  5. #5
    Membre chevronné Avatar de zeyr2mejetrem
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    novembre 2010
    Messages
    471
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Responsable de service informatique

    Informations forums :
    Inscription : novembre 2010
    Messages : 471
    Points : 2 095
    Points
    2 095
    Par défaut
    En même temps s'il y a encore des dev qui s'amusent à faire un simple md5(password) pour leur mots de passe, on ne peut plus rien pour eux...
    Et encore ... si tu savais le nombre de logiciels d'entreprise que j'ai vu où le mot de passe est EN CLAIR dans la BDD !! Tu prendrais peur !!

    Non seulement, l'UTF8 ça n'existe pas que pour faire beau, et en plus, en usant et abusant des accents, des cédilles et autres trucs bizarres, qu'on ne trouvera sans aucun doute dans aucun dictionnaire, on obtient des mots de passe qui résistent un peu plus longtemps à la force brute.
    Le problème est que si le site web que tu veux utiliser est mal foutu, ton mot de passe résiste aussi au login

    Quand les développeurs voudront bien nous laisser saisir plus de 8 caractères...
    +10000 !! Quand tu vois que le mot de passe de l'espace client d'un célèbre opérateur mobile français commencant par B doit être composé de 6 chiffres uniquement !!
    Si tu ne sais pas faire, apprends. Si tu fais, fais bien. Si tu sais bien faire, enseigne.
    Mieux vaut paraître stupide quelques temps que rester stupide toute sa vie.

  6. #6
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 420
    Points : 1 449
    Points
    1 449
    Par défaut
    Citation Envoyé par zeyr2mejetrem Voir le message
    +10000 !! Quand tu vois que le mot de passe de l'espace client d'un célèbre opérateur mobile français commencant par B doit être composé de 6 chiffres uniquement !!
    Il me semble que pour le compte Ameli c'est 8 chiffres également...

  7. #7
    Membre confirmé Avatar de satenske
    Homme Profil pro
    Développeur Java
    Inscrit en
    mars 2011
    Messages
    143
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2011
    Messages : 143
    Points : 474
    Points
    474
    Par défaut
    Personnellement, j'utilise toujours des citations de films, ponctuation comprise, facile à retenir, et quand on a un mot de passe de 15 caractères, ça limite la casse.
    ça me rappelle d'ailleurs cet article de developpez
    http://www.developpez.com/actu/36199...dee-en-dessin/

    Vittavi, ils sont sympa aussi, le liens "j'ai oublié mon mot de passe", envoie un nouveau(?) mot de passe.
    1 mois plus tard, deuxième oubli de mot de passe (), oh, ben ça alors, ils envoient le même que précédemment.
    Deux solutions : ils stockent le mot de passe en clair. Ils génèrent le même mot de passe d'oublis pour tout le monde.
    Dans les deux cas, ça crains un peu.
    « Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it. » – Linus Torvalds

  8. #8
    En attente de confirmation mail
    Profil pro
    Inscrit en
    décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2010
    Messages : 555
    Points : 1 583
    Points
    1 583
    Par défaut
    Citation Envoyé par transgohan Voir le message
    (on va dire que c'est parce qu'ils se sont rendu compte que ça soulevait des erreurs SQL dans leur code non ? )...
    Ça ne tient pas, une fois hashé, ça reste une suite de caractères ANSI... Ou alors ce n'est pas hashé

    Le hashage MD5 pouvant donner 3.40*10^35 combinaisons pour une infinité d'entrées, je me dis que ce serait sacrément c*n d'avoir un mot de passe long et compliqué ayant un hashage identique à celui de "aaaaaa".
    Les chances sont infimes mais il y a toujours un type au karma pourris qui traine sur la planête (okay, c'est du flood...)

  9. #9
    Membre expérimenté Avatar de ctxnop
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    858
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Morbihan (Bretagne)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2007
    Messages : 858
    Points : 1 709
    Points
    1 709
    Par défaut
    Citation Envoyé par Thorna Voir le message
    je cite : "quand tu travailles, oublie tous les accents" ! Non seulement, l'UTF8 ça n'existe pas que pour faire beau, et en plus, en usant et abusant des accents, des cédilles et autres trucs bizarres, qu'on ne trouvera sans aucun doute dans aucun dictionnaire, on obtient des mots de passe qui résistent un peu plus longtemps à la force brute.
    Et enfin, conseil vu récemment, je ne sais plus où (ici par exemple) explique que c'est bien mieux de choisir des mots de passe longs plutôt que des mots de passe compliqués. Quand les développeurs voudront bien nous laisser saisir plus de 8 caractères...
    Malheureusement, comme tu le souligne brièvement, le nombre de site web où on est limité en mot de passe est juste énorme.
    Souvent on nous limite a X caractère avec X plutôt petit, 8 ou 12. Mais on voit également des endroits où le mot de passe ne peut contenir de caractère spéciaux (ponctuation par exemple), voire carrément un alphabet restreint (que les minuscules, que des chiffre!!!).

    Alors laissez les gens choisir le mot de passe qu'ils veulent, même si c'est une trentaine de sigles en cyrilic ou japonais !!!

  10. #10
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 420
    Points : 1 449
    Points
    1 449
    Par défaut
    J'ajoute quand même que parfois, on oblige le développeur à alléger la politique de gestion des mots de passe. En effet, j'ai eu écho d'un dev à qui on demandé de simplifier au maximum pour la raison suivante:
    les utilisateurs oublient leur mot de passe, et comme tu refuse de les stocker en clair, on ne peut pas leur renvoyer au besoin, et pas mal de gens galèrent à utiliser les procédures de génération d'un nouveau mot de passe...
    Pas mal de "décideurs" choisissent que baisser le niveau de sécurité pour améliorer le confort des neuneus personnes qui ont des difficultés avec l'informatique, c'est un bon deal...

  11. #11
    Membre averti
    Profil pro
    Développeur informatique
    Inscrit en
    avril 2003
    Messages
    321
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : avril 2003
    Messages : 321
    Points : 356
    Points
    356
    Par défaut
    Je ne vois pas où est le problème de sauver md5(password + sel) contrairement à ce que certains abordent. Ce genre de developpement n'est pas mon pain quotidien mais tout de meme

  12. #12
    Membre actif
    Chef de projet en SSII
    Inscrit en
    janvier 2008
    Messages
    149
    Détails du profil
    Informations professionnelles :
    Activité : Chef de projet en SSII

    Informations forums :
    Inscription : janvier 2008
    Messages : 149
    Points : 290
    Points
    290
    Par défaut
    Mot de passe trop compliqué ce n'est pas bon non plus, on se retrouve avec des gens qui écrivent leur mot de passe sur un post-it pour ne pas l'oublier ... Je ne pense pas que la robustesse du mot de passe soit le plus important, il existe d'autres moyen de se proteger efficacement avec les secures id par exemple, génération d'un mot de passe toutes les 5 secs, confirmation par envoie d'un code par sms, etc etc..

  13. #13
    Membre éprouvé Avatar de jmnicolas
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juin 2007
    Messages
    422
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Transports

    Informations forums :
    Inscription : juin 2007
    Messages : 422
    Points : 933
    Points
    933
    Par défaut
    Pour ma part la solution c'est d'utiliser un mot de passe différent par sites : même si on détermine mon mot de passe en piratant un site mal conçu on ne pourra en déduire mes autres mots de passe.

    Et plus le site est important (contient des données sensibles) plus mon mot de passe est compliqué.
    Sur développez j'ai un MDP avec que des lettres et sans majuscules. Pour mon compte email c'est majuscules, caractères spéciaux, chiffres et pas de mots trouvables dans un dictionnaire.

    Une solution telle que 1Password me parait sympa, mais c'est cher (50€) et on ne sait jamais vraiment quelle est la protection offerte par ce genre de systèmes.

    Citation Envoyé par leyee Voir le message
    Je ne vois pas où est le problème de sauver md5(password + sel) contrairement à ce que certains abordent. Ce genre de developpement n'est pas mon pain quotidien mais tout de meme
    Parce que la technologie a tellement évoluée que le brute force du MD5 ne pose plus vraiment de problème.
    Une carte graphique récente calcule 3 millions de MD5 / secondes ...

    Citation Envoyé par zeyr2mejetrem Voir le message
    Et encore ... si tu savais le nombre de logiciels d'entreprise que j'ai vu où le mot de passe est EN CLAIR dans la BDD !! Tu prendrais peur !!
    C'est le cas chez nous : 6 caractères en clair dans un champ mot de passe de la table t_client

    Mais s'il n'y avait que là dessus que le fournisseur n'est pas à la hauteur on se plaindrait pas
    The greatest shortcoming of the human race is our inability to understand the exponential function. Albert A. Bartlett

    La plus grande lacune de la race humaine c'est notre incapacité à comprendre la fonction exponentielle.

  14. #14
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 248
    Points
    2 248
    Par défaut
    Les mots de passe, vaste sujet. Les mots de passe très complexes peuvent être décryptés facilement, et sont de plus difficiles à retenir.

    La solution ? Des mots de passe très long, mais qui peuvent être faciles à retenir. C'est une révolution dans les habitudes ! Plus de Dk24-a35ZwVSD#(E], mais Le_chien_renifle_les_poules_tous_les_jours_à_la_même_heure, qui est un mot de passe bien plus difficile à décrypter, et bien plus facile à retenir.

    http://security.stackexchange.com/qu...ary-passphrase

  15. #15
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 357
    Points
    9 357
    Par défaut
    Citation Envoyé par tontonnux Voir le message
    J'ajoute quand même que parfois, on oblige le développeur à alléger la politique de gestion des mots de passe. En effet, j'ai eu écho d'un dev à qui on demandé de simplifier au maximum pour la raison suivante:


    Pas mal de "décideurs" choisissent que baisser le niveau de sécurité pour améliorer le confort des neuneus personnes qui ont des difficultés avec l'informatique, c'est un bon deal...
    C'est pas la borne de sécurité min qui pose problème, mais la borne max.
    Faire en sorte que les mots de passe facile à retenir soient autorisés n'est pas le problème...
    Le souci c'est la politique d'interdire les mots de passe compliqués !

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  16. #16
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 933
    Points
    3 933
    Par défaut
    Comment améliorez-vous la sécurité de vos mots de passe ?
    16 caractères, chiffres, lettres, majuscules, minuscules et caractères spéciaux inclus (je les retiens et pourtant je suis loin d'avoir ce qu'on pourrait appeler une bonne mémoire ...)

    Les gens s'en foutent tout simplement.
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  17. #17
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 248
    Points
    2 248
    Par défaut
    Citation Envoyé par tontonnux Voir le message
    J'ajoute quand même que parfois, on oblige le développeur à alléger la politique de gestion des mots de passe. En effet, j'ai eu écho d'un dev à qui on demandé de simplifier au maximum pour la raison suivante:


    Pas mal de "décideurs" choisissent que baisser le niveau de sécurité pour améliorer le confort des neuneus personnes qui ont des difficultés avec l'informatique, c'est un bon deal...
    Parce que toi, la pléthore de mots de passe qu'il faut retenir de nos jours ne te pose pas de problème ? Moi, il y a des sites où je ne vais pas souvent où je ne me connecte qu'en passant par le lien "mot de passe oublié ?"

  18. #18
    Membre expert
    Avatar de Golgotha
    Homme Profil pro
    Full-stack Web Developer
    Inscrit en
    août 2007
    Messages
    1 381
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Full-stack Web Developer
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2007
    Messages : 1 381
    Points : 3 487
    Points
    3 487
    Billets dans le blog
    1
    Par défaut
    How I became a password cracker
    Cela me fait toujours rire se genre de titre... Je pense que quand tu apprend à jouer au échec ou à jouer au domino, bizarrement ça à moins d'effet :

    • How I became a domino cracker.
    • How I become a chess cracker.


    Sérieusement, l'article nous montre qu'un problème de math, peut être résolut grâce à ...... des algorithmes. bof bof..
    Consultant et développeur full-stack spécialiste du Web
    faq jQuery - règles du forum - faqs web

  19. #19
    Modérateur
    Avatar de DotNetMatt
    Homme Profil pro
    CTO
    Inscrit en
    février 2010
    Messages
    3 611
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : CTO
    Secteur : Finance

    Informations forums :
    Inscription : février 2010
    Messages : 3 611
    Points : 9 744
    Points
    9 744
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par satenske Voir le message
    Vittavi, ils sont sympa aussi, le liens "j'ai oublié mon mot de passe", envoie un nouveau(?) mot de passe.
    1 mois plus tard, deuxième oubli de mot de passe (), oh, ben ça alors, ils envoient le même que précédemment.
    Deux solutions : ils stockent le mot de passe en clair. Ils génèrent le même mot de passe d'oublis pour tout le monde.
    Dans les deux cas, ça crains un peu.
    Bah non pas forcément, si le mot de passe a été crypté (et non hashé), on peut le décrypter et renvoyer le mot de passe en clair...
    Less Is More
    Pensez à utiliser les boutons , et les balises code
    Desole pour l'absence d'accents, clavier US oblige
    Celui qui pense qu'un professionnel coute cher n'a aucune idee de ce que peut lui couter un incompetent.

  20. #20
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 705
    Points
    148 705
    Par défaut
    Citation Envoyé par Golgotha Voir le message
    l'article nous montre qu'un problème de math, peut être résolu par des gens qui n'y connaissent rien grâce à ...... des algorithmes.
    Et parce qu'au regard des outils employés pour résoudre le problème de math (outils visiblement particulièrement simples à trouver), les mots de passe compliqués et sûrs ne sont peut-être pas ou plus ceux qu'on croit.

    Cordialement,

Discussions similaires

  1. Crypter des mots de passe dans une base de données WordPress
    Par DarckCrystale dans le forum WordPress
    Réponses: 11
    Dernier message: 26/02/2021, 23h05
  2. Aide sur une sensibilisation sécurité des mots de passe
    Par lawrenz23 dans le forum Sécurité
    Réponses: 3
    Dernier message: 03/03/2015, 16h59
  3. Réponses: 0
    Dernier message: 18/04/2013, 11h21
  4. Réponses: 26
    Dernier message: 22/09/2012, 19h21
  5. Réponses: 17
    Dernier message: 12/05/2010, 22h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo