Discussion :

[Stéphane le calme]

Les mots de passe trop longs peuvent occasionner une attaque DoS,
la communauté Django explique pourquoi


Pour la protection de vos données digitales, de nombreux experts recommandent l'utilisation de longs mots de passe. Pour aller un cran au-dessus niveau sécurité, certains sont allés plus loin en proposant l'utilisation de longs mots de passe générés de façon aléatoire. Seulement, à la lumière d'un élément, une longueur trop importante pour un mot de passe pourrait causer un préjudice à la sécurité.

Il s'agit d'une vulnérabilité qui vient à peine d'obtenir un correctif dans le framework open-source de développement Web Django. Rappelons que, par défaut, les mots de passe en texte clair sont transformés en chaînes de caractères appelées hashs cryptographiques grâce à l'algorithme PBKDF2 Password-Based Key Derivation Function 2). Du fait qu'il passe par de multiples séries de hachages qui augmentent considérablement le temps et les ressources de calcul nécessaires, il est un des moyens les plus sécurisés que peuvent utiliser les sites web pour la gestion des mots de passe.

Toutefois, les développeurs Django expliquent dans un billet blog en quoi ce renforcement sécuritaire peut être une lame à double tranchant.

« Cette complexité peut également être utilisée comme un vecteur d'attaque. Django n'impose pas clairement une longueur maximale au mot de passe, ce qui signifie qu'un attaquant pourrait soumettre des mots de passe -à échec garanti - aux longueurs arbitrairement grandes. Ce qui obligerait le serveur Django à effectuer un calcul coûteux dans sa tentative de vérifier le mot de passe. Un mot de passe d'un méga byte par exemple va demander près d'une minute de vérification en utilisant PBKDF2. Cela permet des attaques DoS au travers de soumissions répétées de larges mots de passe en attachant les ressources du serveur dans un calcul coûteux des hashs correspondants ».

Les mises à jour ont suivi et désormais les mots de passe sont limités à 4096 bytes. La communauté en profite pour rappeler qu'elle préfère que les utilisateurs développeurs de Django préfèrent recevoir les informations relatives à la sécurité en privé sur le courriel security@djangoproject.com afin de corriger la faille avant qu'elle ne devienne largement connue. Ce rappel intervient après qu'un développeur ait révélé la vulnérabilité DoS sur un forum public.

Source : Django Project

Et vous ?

Qu'en pensez-vous ?

[Voyvode]

Django n'impose pas clairement une longueur maximale au mot de passe

Donc c'est de leur faute.

Au moins ce genre d'information permet d'avertir les gens.

[Spleeen]

Et dire que j'étais en train de me dire que je surchargeais peut-être les serveurs de mes sites préférées avec des mdp de 50 caractères... des mdp de plusieurs méga c'est quand même autre chose ! xD
Nan mais c'est de leurs fautes s'ils ne limitent pas la taille, sans déconner... puis 4kb c'est déjà absolument gigantesque...
Vérifier toutes entrées utilisateurs, c'est la base (ahahaha), on t'apprends ça en première année...

[Thorna]

Les conseils donnés en général sont de trouver une phrase de quelques mots. Disons 5 mots de 8 lettres, avec quelques espaces et/ou chiffres pour faire beau, c'est bien le maxi, ça fait qu'on peut limiter les mdp à 50c et c'est bon.

[Jarodd]

Pour la protection de vos données digitales

Perso je préfère mettre des gants : en plus des saletés, ça protège du froid. Bien mieux qu'un mot de passe.

[lilington]

Les conseils donnés en général sont de trouver une phrase de quelques mots. Disons 5 mots de 8 lettres, avec quelques espaces et/ou chiffres pour faire beau, c'est bien le maxi, ça fait qu'on peut limiter les mdp à 50c et c'est bon.

entierement d'accord, je vois vraiment pas l'interet d'un mot de passe de 4096b, en plus c'est pas pratique a par faire du copier coller.
sinon 50c c'est bien mais on va arrondire a 63+1 (\0) pour faire jolie et bien
au dela c'est du n'importe quoi

[bob633]

Moi j'en pense qu'à vouloir complexifier son mot de passe on se complexifie la tâche à soi-même. Et ça me fait encore plus rigoler quand les sites interdisent le copier / coller de mot de passe dans la zone de saisie

J'ai toujours des mots de passe avec une quinzaine de caractères et je n'ai jamais eu de soucis. Et c'est pas demain que j'irais mettre une phrase avec 7 - 8 mots comme mot de passe.

De là a avoir un mot de passe aléatoire .. je suis pas fan non plus, obliger d'avoir le mot de passe écrit sur un fichier (oui car tu n'utilises pas le même sur chaque site, tu peux pas retenir un truc du style fkpoj84@"ded par exemple multiplier par le nombre de site), et là qu'on me parle pas de sécurité ...

[Spleeen]

Moi j'en pense qu'à vouloir complexifier son mot de passe on se complexifie la tâche à soi-même. Et ça me fait encore plus rigoler quand les sites interdisent le copier / coller de mot de passe dans la zone de saisie

J'ai toujours des mots de passe avec une quinzaine de caractères et je n'ai jamais eu de soucis. Et c'est pas demain que j'irais mettre une phrase avec 7 - 8 mots comme mot de passe.

De là a avoir un mot de passe aléatoire .. je suis pas fan non plus, obliger d'avoir le mot de passe écrit sur un fichier (oui car tu n'utilises pas le même sur chaque site, tu peux pas retenir un truc du style fkpoj84@"ded par exemple multiplier par le nombre de site), et là qu'on me parle pas de sécurité ...

Oui ou il est peut-être grand temps que les gens se mettent à déléguer la gestion de leurs mots de passe à des outils fait pour cela. Non pas à leurs navigateurs qui est plutôt limite à ce niveau. Mais à de vrais outils sécurisés (oui du AES 512 l'est), comme LastPass (gratuit, payant pour les applis mobiles) ou Dashlane. Je ne retiens pas mes très longs mots de passe et ne m'inscrit pas sur des sites imposant une limite extrême à 10 chiffres/lettres et ne proposant pas de connexions FB ou OpenID.
Je ne m'en soucis absolument pas de mes mots de passe depuis bientôt six ans.
Je les ai partout, en tout temps. De toute manière une règle existe dans la sécurité : plus c'est contraignant et plus les gens bypass la sécu. Il faut inventer de nouveaux systèmes de sécu ultra simple, ultra réactif et sécurisé.

[fredoche]

Je les ai partout, en tout temps.

Jamais de coupure internet ?

[Spleeen]

Jamais de coupure internet ?

Pas vraiment, je suis qqun d'hyper connecté. Mais si c'est le cas (à la campagne par exemple), je n'aurai pas non plus moyen d'aller sur un site
Mais Lastpass crée aussi une base locale

[kanecat]

A mon avis, mieux vaut utiliser un mot de passe long qu'un mot de passe court.
Perso, j'utilise Lastpass pour générer des mots de passe longs (8 ou9 caractères)et complexes (majuscule, minuscule et chiffres) .Mais je sais que cela ne suffit pas pour protéger ses compte. Donc il faut changer régulièrement de mots de passe pour rendre la tâches des pirates difficiles.

[Neckara]

J'avais lu que pour à peu près 2€/heure, on pouvait se louer un cluster GPU Amazone et qu'on pouvait casser un mot de passe de 6 caractères en connaissant son empreinte SHA-1 en à peu près 8 minutes.

Avant on conseillait 8 caractères minimums mais je pense qu'on peut aujourd'hui raisonnablement revoir ce chiffre à la hausse.

[Spleeen]

J'avais lu que pour à peu près 2€/heure, on pouvait se louer un cluster GPU Amazone et qu'on pouvait casser un mot de passe de 6 caractères en connaissant son empreinte SHA-1 en à peu près 8 minutes.

Avant on conseillait 8 caractères minimums mais je pense qu'on peut aujourd'hui raisonnablement revoir ce chiffre à la hausse.

C'est totalement irresponsable de proposer de tel service
Mais je demande malgré tout à tester :p

[Muchos]

Je ne remercie pas @kanecat, qui a réveillé ce thread et qui l'a fait dériver sur la sécurité des mots de passe alors que ce n'est pas le sujet ><

[ABCIWEB]

Bah si cela a un rapport direct : si certains utilisent des mots de passe très longs c'est pour rendre quasiment impossible les attaques brute force.

Enfin bon avec 4 ko je pense qu'ils ont vu assez large et cette limite ne devrait pas gêner beaucoup de monde.

[kanecat]

Je ne remercie pas @kanecat, qui a réveillé ce thread et qui l'a fait dériver sur la sécurité des mots de passe alors que ce n'est pas le sujet ><

En quoi suis-je sortie du sujet? Le sujet de la discussion, c'est: "Les mots de passe longs peuvent occasionner une attaque DOS"

A mon sens une attaque DOS touche le sujet de la sécurité. Donc, si je pense qu'un mot de passe long est plus sûr qu'un mot de passe court?