+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Responsable
    Libres & Open source


    Avatar de zoom61
    Homme Profil pro
    ...
    Inscrit en
    janvier 2005
    Messages
    9 175
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : ...
    Secteur : Industrie

    Informations forums :
    Inscription : janvier 2005
    Messages : 9 175
    Points : 58 177
    Points
    58 177
    Billets dans le blog
    11

    Par défaut Savoir créer un bon mot de passe, avec un niveau de sécurité suffisant

    Bonjour,

    Voici un nouveau tutoriel, qui parle de comment choisir un bon mot de passe qui vous sera personnel, et qui contiendra un niveau de sécurité suffisant.


    Le but n'est pas de vous donner une recette miracle, mais de vous donner les principes qui vous permettront de créer le votre.

    Bonne lecture




    Tous les meilleurs cours et tutoriels pour apprendre la sécurité informatique
    N'oubliez pas le Tag afin de faciliter la recherche, et en votant cela permet de mieux la cibler.

    Avant de poster n'oubliez pas de regarder :

    Vous souhaitez participer aux rubriques Logiciels Libres & Open source et/ou OpenOffice & LibreOffice ? Contactez-moi.

    Je ne réponds pas aux messages privés s'ils sont liés à une question technique

  2. #2
    Membre actif
    Homme Profil pro
    Expertise sécurité
    Inscrit en
    avril 2013
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expertise sécurité

    Informations forums :
    Inscription : avril 2013
    Messages : 185
    Points : 268
    Points
    268

    Par défaut

    Hello,

    Bon tuto, mais il serait bon d'y ajouter des liens vers des outils comme Keepass...
    En expliquant le principe et l'utilité.

    @+

  3. #3
    Responsable
    Libres & Open source


    Avatar de zoom61
    Homme Profil pro
    ...
    Inscrit en
    janvier 2005
    Messages
    9 175
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : ...
    Secteur : Industrie

    Informations forums :
    Inscription : janvier 2005
    Messages : 9 175
    Points : 58 177
    Points
    58 177
    Billets dans le blog
    11

    Par défaut

    Citation Envoyé par JayGr Voir le message
    Bon tuto, mais il serait bon d'y ajouter des liens vers des outils comme Keepass...
    En expliquant le principe et l'utilité.
    Je ne l'ai pas mis justement, car le but n'est pas d'avoir un programme tiers pour aider à se souvenir du mot de passe... le but est de définit un mot de passe et ensuite de lui ajouter une logique en fonction de l'utilisation.
    N'oubliez pas le Tag afin de faciliter la recherche, et en votant cela permet de mieux la cibler.

    Avant de poster n'oubliez pas de regarder :

    Vous souhaitez participer aux rubriques Logiciels Libres & Open source et/ou OpenOffice & LibreOffice ? Contactez-moi.

    Je ne réponds pas aux messages privés s'ils sont liés à une question technique

  4. #4
    Membre expérimenté
    Avatar de Jarodd
    Profil pro
    Inscrit en
    août 2005
    Messages
    790
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2005
    Messages : 790
    Points : 1 494
    Points
    1 494

    Par défaut

    Avec des minuscules, des majuscules, des chiffres et des caractères spéciaux

    Je ne vois que des chiffres dans les exemples ?

  5. #5
    Responsable
    Libres & Open source


    Avatar de zoom61
    Homme Profil pro
    ...
    Inscrit en
    janvier 2005
    Messages
    9 175
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : ...
    Secteur : Industrie

    Informations forums :
    Inscription : janvier 2005
    Messages : 9 175
    Points : 58 177
    Points
    58 177
    Billets dans le blog
    11

    Par défaut

    Citation Envoyé par Jarodd Voir le message
    Avec des minuscules, des majuscules, des chiffres et des caractères spéciaux

    Je ne vois que des chiffres dans les exemples ?
    Cas 1 jZp1'utqlm1Zanpp
    Cas 2 2jvpD'utq0L1mdvAnppC4
    Cas 3 kb^f(iysmùfbz,^^v

    Unicité jZp1'utqlm1Zanpp€_fk
    N'oubliez pas le Tag afin de faciliter la recherche, et en votant cela permet de mieux la cibler.

    Avant de poster n'oubliez pas de regarder :

    Vous souhaitez participer aux rubriques Logiciels Libres & Open source et/ou OpenOffice & LibreOffice ? Contactez-moi.

    Je ne réponds pas aux messages privés s'ils sont liés à une question technique

  6. #6
    Membre à l'essai
    Homme Profil pro
    Autre
    Inscrit en
    octobre 2014
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Autre

    Informations forums :
    Inscription : octobre 2014
    Messages : 7
    Points : 11
    Points
    11

    Par défaut

    Bonjour,

    Citation Envoyé par Jarodd Voir le message
    Avec des minuscules, des majuscules, des chiffres et des caractères spéciaux

    Je ne vois que des chiffres dans les exemples ?
    C'est le nombre de possibilités qui est indiqué.

    Très bon tutoriel au passage. Merci bien.

  7. #7
    Membre habitué Avatar de Orhleil
    Homme Profil pro
    Intégrateur fonctionnel
    Inscrit en
    mai 2011
    Messages
    81
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Intégrateur fonctionnel
    Secteur : Conseil

    Informations forums :
    Inscription : mai 2011
    Messages : 81
    Points : 151
    Points
    151

    Par défaut

    Le tutoriel est bon, mais ce qui me gène le plus dans les mots de passe aujourd'hui c'est que les sites/logiciels/entreprises qui demandent des mots de passe définissent très souvent leurs propres règles qui sont parfois contradictoires.
    Si la plupart impose simplement un minima de sécurité, j'ai vu également des sites web qui imposent un maxima (!), c'est-à-dire que les mots de passe ne pouvaient pas contenir de caractère spécial ni faire plus de 8 caractères... Du coup on ne peut pas encore se fier à une règle utilisable partout, ça ne marche pas encore.

    Par ailleurs, deuxième souci, certains systèmes vous forcent à utiliser des mots de passe qu'ils ont générés eux-mêmes (notamment les banques). Là encore on ne peut pas gérer ses mots de passe comme on le souhaite.

    Tout cela mène au problème principal selon moi : la difficulté n'est pas tant de créer un mot de passe facile à retenir, mais de parvenir à se souvenir de tous les mots de passe et du contexte d'utilisation de chacun. Rien qu'au boulot j'utilise de façon régulière 7 mots de passe différents, et je ne travaille même pas sur de la technique, je suis fonctionnel ! Sur ces 7 mots de passe il y en a 3 qui ne bougent pas ou peu, 2 qui varient très régulièrement et qui doivent être différents des 5 derniers utilisés, et 2 qui sont automatiquement régénérés par le système. Tout cela additionné aux mots de passe que j'utilise chez moi qui varient selon les sites web, ceux fournis par la banque, etc etc... J'estime que j'ai une vingtaine de mots de passe que j'utilise de façon semi-régulière. Je ne suis pas capable de mémoriser tous ces mots de passe, et après avoir tenté de lutter contre ce foutoir sans nom, j'ai fini par abandonner, et j'ai mes mots de passe du boulot joliment écrits sur un post-it. On repassera pour la sécurité. Et pour chez moi j'ai adopté une solution basée sur la criticité : pour la plupart des sites web j'ai un unique mot de passe faible parce qu'il n'y aura aucune vraie conséquence si je me fais pirater, pour les sites qui me tiennent à cœur j'ai un unique mot de passe moyen, et pour les sites critiques (notamment les comptes mails) j'ai plusieurs mots de passe sécurisés.

    Bon, mon commentaire dévie un peu du sujet de ton tuto, mais je te rassure ton tuto est très bien Tes méthodes sont bien expliquées et intéressantes. Mon reproche est plus sur le fait que les systèmes tentent de combler les lacunes des utilisateurs en matière de sécurité des mots de passe, et que du coup ça handicape les utilisateurs avertis, selon moi.

    EDIT : et j'ai même pas parlé des identifiants qui varient eux-aussi et sont parfois également générés par le système...

  8. #8
    Modérateur
    Avatar de gangsoleil
    Profil pro
    R&D en systemes informatiques bas niveau Unix/Linux
    Inscrit en
    mai 2004
    Messages
    9 259
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : R&D en systemes informatiques bas niveau Unix/Linux

    Informations forums :
    Inscription : mai 2004
    Messages : 9 259
    Points : 26 436
    Points
    26 436

    Par défaut

    Bonjour,

    Pour stocker les couples login / pass de manière sécurisée, et pouvoir les copier/coller (sachant qu'on ne peut coller le mdp une seule fois), je ne peux que conseiller password Safe de B. Schneier, un expert reconnu en sécurité : https://www.schneier.com/passsafe.html
    Modérateur "C", "Informatique Générale & Hardware" et "Unix"
    Les règles du forum

  9. #9
    Membre actif
    Homme Profil pro
    Expertise sécurité
    Inscrit en
    avril 2013
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expertise sécurité

    Informations forums :
    Inscription : avril 2013
    Messages : 185
    Points : 268
    Points
    268

    Par défaut

    Citation Envoyé par zoom61 Voir le message
    Je ne l'ai pas mis justement, car le but n'est pas d'avoir un programme tiers pour aider à se souvenir du mot de passe... le but est de définit un mot de passe et ensuite de lui ajouter une logique en fonction de l'utilisation.
    D'accord... Je peux comprendre. Mais aujourd'hui peu de personne sont capable de retenir 10 mots de passes différents... Alors un outil comme Keepass peut s'avérer très utile (puisque l'on peut tout aussi bien définir ses propres passwords dans ce soft). Mais en tout cas le tuto est très facile à comprendre et à lire ;-).

    Citation Envoyé par gangsoleil Voir le message
    Bonjour,

    Pour stocker les couples login / pass de manière sécurisée, et pouvoir les copier/coller (sachant qu'on ne peut coller le mdp une seule fois), je ne peux que conseiller password Safe de B. Schneier, un expert reconnu en sécurité : https://www.schneier.com/passsafe.html
    Keepass et password safe c'est la même chose je crois ...

    @+

    JayGr

  10. #10
    Nouveau Candidat au Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    septembre 2011
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2011
    Messages : 1
    Points : 0
    Points
    0

    Par défaut Bonjour voici la vision du SANS que je trouve pas mal en complément de votre tuto

    Voici un lien (ci-dessous) je pense que c'est vraiment un bon complément à votre tuto :
    par exemple 5/6 mots qui n'ont pas forcément quelque chose à voir ensuite on adapte.
    Cheval trois dans le contexte : merci
    facile à retenir et on adapte :
    Cheval Tr01s d@ns le cont€xTe : merci !&
    C'est déjà très suffisant, à tester avec John ou autre rainbow...
    Le site online site1 donne :
    154 novemdecillion years

    Le lien :
    http://www.securingthehuman.org/news...-201305_fr.pdf

    En toute modestie...
    « L’homme qui déplace une montagne commence par déplacer les petites pierres. », dixit Confucius.

  11. #11
    Modérateur
    Avatar de gangsoleil
    Profil pro
    R&D en systemes informatiques bas niveau Unix/Linux
    Inscrit en
    mai 2004
    Messages
    9 259
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : R&D en systemes informatiques bas niveau Unix/Linux

    Informations forums :
    Inscription : mai 2004
    Messages : 9 259
    Points : 26 436
    Points
    26 436

    Par défaut

    Bonjour,

    comme l'explique très justement B. schneier, le fait de remplacer e par 3 ou par € ne sert a peu près à rien, car les logiciels qui servent a craquer les mots de passe font eux aussi ce genre de remplacement. Bah oui, faut pas croire que les gens qui écrivent ce genre de logiciels sont plus bêtes que les autres : ils lisent les mêmes tutos que nous, et s'en servent pour améliorer leur logiciel. Ainsi, d'un logiciel qui teste en brute-force un ensemble de mots de passe (un dictionnaire), on se retrouve avec des logiciels qui font des remplacements de lettre, ajoutent des points ou des chiffres a la fin, etc...

    et c'est pour ça que azerty est presque aussi peu sécurisé que azerty0 ou az3rty0
    Modérateur "C", "Informatique Générale & Hardware" et "Unix"
    Les règles du forum

  12. #12
    Membre actif
    Homme Profil pro
    Expertise sécurité
    Inscrit en
    avril 2013
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expertise sécurité

    Informations forums :
    Inscription : avril 2013
    Messages : 185
    Points : 268
    Points
    268

    Par défaut

    Citation Envoyé par gangsoleil Voir le message
    Bonjour,

    comme l'explique très justement B. schneier, le fait de remplacer e par 3 ou par € ne sert a peu près à rien, car les logiciels qui servent a craquer les mots de passe font eux aussi ce genre de remplacement. Bah oui, faut pas croire que les gens qui écrivent ce genre de logiciels sont plus bêtes que les autres : ils lisent les mêmes tutos que nous, et s'en servent pour améliorer leur logiciel. Ainsi, d'un logiciel qui teste en brute-force un ensemble de mots de passe (un dictionnaire), on se retrouve avec des logiciels qui font des remplacements de lettre, ajoutent des points ou des chiffres a la fin, etc...

    et c'est pour ça que azerty est presque aussi peu sécurisé que azerty0 ou az3rty0
    Je suis d'accord, mais c'est bien pour cela que l'on a inventé le chiffrement polyalphabétique...

  13. #13
    Membre régulier
    Homme Profil pro
    Architecte serveur
    Inscrit en
    septembre 2011
    Messages
    64
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Architecte serveur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2011
    Messages : 64
    Points : 98
    Points
    98

    Par défaut

    Salut à tous.

    Je lisais ce sujet avec intérêt, mais je trouve toujours qu'il existe pas de manière efficace de gérer ce problème de mots de passe.
    Parce que tous les conseils pour avoir un bon password ne résolvent pas le principal problème : S'en souvenir.
    Quant aux logiciels comme Keepass, je reste un peu dubitatif. Déjà, ça permet pas d'avoir accès à ses mots de passe où que l'on soit (sauf à se balader avec une clé USB en permanence). Ensuite, on doit eux aussi les protéger par un mot de passe qui peut lui même être craqué, qui est sensible aux keyloggers, tout ça. Et pour finir, si le logiciel est ouvert, quelqu'un d'autre peut récupérer vos mots de passe (et si vous ouvrez le logiciel à chaque fois que vous entrez un mot de passe, c'est poussif pour l'utilisateur).

    Ce qui m'a fait avoir une idée que je vous soumets (pour qu'elle se fasse démonter ^^) :
    Un site web, sur lequel on s'identifie mais sans que l'identification soit sensible. On peut donc laisser Chrome se rappeler du mot de passe.
    A l'intérieur, on peut rentrer (ou générer) ses mots de passe. On choisit donc un nom (style compte bancaire ou forum développez), une image, et on rentre son mot de passe.
    Pour le récupérer, il faudra qu'on clique sur l'image qu'on a rentré parmi un choix conséquent d'images d'autres utilisateurs, et ça mettra alors le mot de passe dans le presse papier.
    Avantages :
    - Accessible de partout.
    - Protégé contre la force brute (suffit de mettre un nombre maximum d'essai avant de bloquer le compte).
    - Protégé contre les key loggers (on appuie sur une image).
    - Inutilisable par quelqu'un qui accèderai à votre machine alors que le site est ouvert (faut connaître l'image), sauf si le mot de passe est toujours dans le presse papier (mais pour ça, on peut même imaginer une manière de nettoyer le presse papier après avoir entré le mot de passe, comme un timer avec nettoyage du presse papier après 1 minute).
    - On a besoin de se rappeler d'images uniquement. Comme en plus ce sont des images qu'on a nous même uploadé sur le site, c'est facile de s'en rappeler. Et si on veut complexifier, on peut même demander à l'utilisateur de définir l'image avant de lui en envoyer une liste. Genre il upload un éléphant, et il indique que son image se trouve dans la catégorie animaux/éléphant. Là, pour retrouver l'image de l'utilisateur quand tu veux hacker un mot de passe, tu t'accroches. Et ce même si tu connais des choses sur cet utilisateur (comme le fait d'avoir déjà vu la photo de l'éléphant sur un quelconque réseau social).

    Voila. Je me demandais si pour vous, ce pourrait être une technique de protection des mots de passe efficace.

  14. #14
    Modérateur
    Avatar de gangsoleil
    Profil pro
    R&D en systemes informatiques bas niveau Unix/Linux
    Inscrit en
    mai 2004
    Messages
    9 259
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : R&D en systemes informatiques bas niveau Unix/Linux

    Informations forums :
    Inscription : mai 2004
    Messages : 9 259
    Points : 26 436
    Points
    26 436

    Par défaut

    Citation Envoyé par SuperBidi Voir le message
    Ce qui m'a fait avoir une idée que je vous soumets (pour qu'elle se fasse démonter ^^)
    Toutes les idées sont bonnes à prendre, donc il faut toujorus les soumettre.

    Cette idée d'utiliser des images n'est pas intrinsèquement nouvelle, il y a eu des chercheurs qui avaient proposé une solution en ce sens, je pense qu'une recherche sur le net permettrait de retrouver l'article. Il y avait d'ailleurs eu un bout de débat sur l'un des forums de développez.

    Là tout de suite, je suis forcément contre (les 4 étapes d'acceptation, tout ça tout ça), mais je vais essayer d'être pragmatique :
    • oui, les gens reconnaissent mieux des images que u8ghue#~@42pass''
    • oui, pour le moment, l'analyse automatique des images en est au balbutiements, et donc il n'existe pas encore trop d'attaques.


    Mais, mon soucis est comment tu transferts de manière sécurisée le mot de passe entre le site distant et l’ordinateur local. Et ça m'amène vite à un autre point, qui est que le site distant devra forcément stocker le mot de passe en clair, ce qui est une hérésie : on entend souvent des informations sur des sites qui se son fait pirater quelques millions de mots de passe, alors imagine si un site est connu pour être LE point central qui garde tous les mots de passe de tout le monde, ca va être la cible de prédilection de tout le monde.

    Par contre, on pourrait imaginer une solution dérivée de la tienne :
    Lorsque tu arrives sur developpez.net (au pif hein), tu rentres un login et un site de stockage des images. Dvp fait alors une requête vers ce site, qui lui renvoie X images, voir un jpg construit comme une mosaïque, qui contient bien sur l'image que tu as choisi pour te logger sur dvp. A partir de là, tu cliques sur l'éléphant : dvp envoie les coordonnées de ton clic au site de confiance, qui dit si oui ou non tu as le droit de te logger. Si oui, bienvenue, si non, tu recommences.
    Les limites immédiates (avant même que vous ne défonciez cette idée à coup de bludozer) :
    • même si une seule image change dans la mosaïque à chaque demande, il "suffit" de faire pas mal de demandes, et on finit par trouver quelle est l'image
    • Il faut un site de confiance, or par définition je n'ai pas confaince dans les sites de confiance
    • Il faut obligatoirement s'inscrire sur le ou les sites "reconnus" par chaque site, ce qui fout la grouille car il va vite y en avoir plusieurs, et que tu ne peux pas avoir confiance en tous (il y a déjà eu des problèmes avec un site de confiance dont je ne trouve plus le nom, et je crains que ce ne soit pas le dernier).


    Enfin, l'avantage des mathématiques, c'est que certaines personnes peuvent prouver qu'un algorithme est sûr, ou bien est tout pourri. Avec le coup des images, je ne sais pas ce qu'il en est, mais vu le volume de login chaque jour dans le monde, une solution fiable dans presque tous les cas est forcément désastreuse.
    Modérateur "C", "Informatique Générale & Hardware" et "Unix"
    Les règles du forum

  15. #15
    Membre régulier
    Homme Profil pro
    Architecte serveur
    Inscrit en
    septembre 2011
    Messages
    64
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Architecte serveur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2011
    Messages : 64
    Points : 98
    Points
    98

    Par défaut

    Citation Envoyé par gangsoleil Voir le message
    Mais, mon soucis est comment tu transferts de manière sécurisée le mot de passe entre le site distant et l’ordinateur local.
    Perso, je ferais confiance à des technologies de cryptage standard, style SSL. Protéger un site web, ça se fait, et c'est assez commun.

    Citation Envoyé par gangsoleil Voir le message
    Et ça m'amène vite à un autre point, qui est que le site distant devra forcément stocker le mot de passe en clair, ce qui est une hérésie : on entend souvent des informations sur des sites qui se son fait pirater quelques millions de mots de passe, alors imagine si un site est connu pour être LE point central qui garde tous les mots de passe de tout le monde, ca va être la cible de prédilection de tout le monde.
    Complètement d'accord. Mais ce risque là existe toujours. Après, l'avantage d'avoir un site qui centralise les mots de passe, c'est qu'on peut aussi centraliser la sécurité plutôt que de l'éclater entre tous plein de sites et d'intervenants différents. Je pense justement que c'est potentiellement plus sécurisé (même si c'est aussi plus dangereux).

    Citation Envoyé par gangsoleil Voir le message
    Lorsque tu arrives sur developpez.net (au pif hein), tu rentres un login et un site de stockage des images. Dvp fait alors une requête vers ce site, qui lui renvoie X images, voir un jpg construit comme une mosaïque, qui contient bien sur l'image que tu as choisi pour te logger sur dvp. A partir de là, tu cliques sur l'éléphant : dvp envoie les coordonnées de ton clic au site de confiance, qui dit si oui ou non tu as le droit de te logger. Si oui, bienvenue, si non, tu recommences.
    Le soucis de cette solution est qu'elle demande de revoir la sécurité de tous les sites actuels. C'est donc extrêmement coûteux, et y en aura toujours pour pas faire le saut. Mais oui, clairement, choisir une image plutôt qu'un mot de passe serait la solution la plus pratique (moi je parle de remplacer les mots de passe, pour pas avoir à s'en souvenir, pas de leur ajouter une couche de sécurité supplémentaire).

    Citation Envoyé par gangsoleil Voir le message
    Enfin, l'avantage des mathématiques, c'est que certaines personnes peuvent prouver qu'un algorithme est sûr, ou bien est tout pourri. Avec le coup des images, je ne sais pas ce qu'il en est, mais vu le volume de login chaque jour dans le monde, une solution fiable dans presque tous les cas est forcément désastreuse.
    Là je te suis pas ^^

  16. #16
    Modérateur
    Avatar de gangsoleil
    Profil pro
    R&D en systemes informatiques bas niveau Unix/Linux
    Inscrit en
    mai 2004
    Messages
    9 259
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : R&D en systemes informatiques bas niveau Unix/Linux

    Informations forums :
    Inscription : mai 2004
    Messages : 9 259
    Points : 26 436
    Points
    26 436

    Par défaut

    l'avantage d'avoir un site qui centralise les mots de passe, c'est qu'on peut aussi centraliser la sécurité plutôt que de l'éclater entre tous plein de sites et d'intervenants différents. Je pense justement que c'est potentiellement plus sécurisé (même si c'est aussi plus dangereux).
    Ce site sera le centre de toutes les attentions, et le problème est qu'une seule faille permettant une intrusion est dévastatrice. Avec mes connaissances actuelles en tout cas, jamais je ne cnfie mon mot de passe le plus faible à un site web "centralisateur" en tout cas.

    Là je te suis pas ^^
    Dans le cas des images qui changent à chaque fois, mais avec toujours l'éléphant qui sera affiché quelque part, il est théoriquement possible de trouver l'image. Exemple bête avec 4 lettres : celle en majuscule est l'éléphant :
    La première fois, tu as ça :
    A b c d. Et la seconde, tu as A e f g. Ensuite e A h i... Et ainsi de suite.

    Dans ce cas précis, il est démontrable mathématiquement (pas par moi, mais c'est faisable) qu'au bout de X essais, tu peux identifier A de maière certaine. Alors certes, en augmentant le nombre d'images et avec quelques modifications tu rends X "assez grand", mais il est toujours trouvable.
    En revanche, si on considère les algorithmes mathématiques de cryptographie actuelle, il est démontré qu'en ayant le mot de passe crypté et la clef publique, il n'est pas possible de retrouver le mot de passe. Alors oui, c'est valable tant que bla bla, mais ça reste beaucoup plus valable que le fait de trouver une image parmi d'autres.
    Modérateur "C", "Informatique Générale & Hardware" et "Unix"
    Les règles du forum

  17. #17
    Membre régulier
    Homme Profil pro
    Architecte serveur
    Inscrit en
    septembre 2011
    Messages
    64
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Architecte serveur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2011
    Messages : 64
    Points : 98
    Points
    98

    Par défaut

    Citation Envoyé par gangsoleil Voir le message
    Ce site sera le centre de toutes les attentions, et le problème est qu'une seule faille permettant une intrusion est dévastatrice. Avec mes connaissances actuelles en tout cas, jamais je ne cnfie mon mot de passe le plus faible à un site web "centralisateur" en tout cas.
    Une autre solution toute conne consiste à séparer le contenu entre 3 sites différents, chacun gérant sa sécurité de manière séparée. Ainsi, pour avoir un mot de passe entier, tu dois craquer les 3 sites. Bon, après, tu peux avoir un tier de mot de passe plus facilement, mais ça reste quand même chaud.

    Citation Envoyé par gangsoleil Voir le message
    Dans le cas des images qui changent à chaque fois, mais avec toujours l'éléphant qui sera affiché quelque part, il est théoriquement possible de trouver l'image. Exemple bête avec 4 lettres : celle en majuscule est l'éléphant :
    La première fois, tu as ça :
    A b c d. Et la seconde, tu as A e f g. Ensuite e A h i... Et ainsi de suite.
    C'est pour ça que je parlais d'un certain nombre d'essai. Si après 3 affichages de l'éléphant, tu n'as pas cliqué dessus, ton compte est bloqué et un message est envoyé à ton addresse email pour le réactiver.
    Et avec le système de catégorie, le problème est réglé. Si tu sais pas que tu cherches un éléphant, tu peux passer du temps à chercher dans les voitures et les visages.

  18. #18
    Membre régulier

    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    janvier 2010
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : janvier 2010
    Messages : 114
    Points : 103
    Points
    103
    Billets dans le blog
    1

    Par défaut une simple longue phrase ne suffit-elle pas ?

    Par exemple :
    mdp : c'est l'été qu'il fait le plus chaud !
    combien de temps pour le cracker ?
    mdp : les 2 Radiateurs à ma Gauche sont Jaunes
    mdp : les imprimantes laser coûtent - chères à terme

    C'est très facile à retenir (comparé à jZp1' utqlm1Zanpp€ !!!), je ne pense pas que ce soit facile à cracker ... voir image jointe.
    Images attachées Images attachées  
    jdd deschamps
    RPL - VB6 - C# - Wordpress - Python3 - Xamarin

  19. #19
    Membre régulier

    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    décembre 2014
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : Conseil

    Informations forums :
    Inscription : décembre 2014
    Messages : 6
    Points : 124
    Points
    124

    Par défaut Vers la fin des mots de passe ?

    Le problème des mots de passe est effectivement de s'en souvenir! Des règles trop compliquées auront comme conséquences directes que les utilisateurs les noterons dans un fichier, sur un post-it, dans leur carnet ou téléphone. En plus il faut un mot de passe par usage. Aussi les solutions du type "mot de passe bloqué pendant 3 minutes après 3 essais erronés" ou les solutions d'authentification forte sont à favoriser à chaque fois que possible. Mon conseil est de recommander des règles hyper-simples aux utilisateurs du type un seul mot de passe pour tous leurs comptes avec un préfixe ou suffixe déduit en fonction du site web ou de l'application par exemple : geMotdePasseGénérique pour google (première et dernière lettre), trMotdePasseGénérique pour Twitter, etc.

  20. #20
    Membre confirmé

    Homme Profil pro
    Privacy, EBusiness, Bases de données, Sécurité, ...
    Inscrit en
    novembre 2004
    Messages
    171
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Privacy, EBusiness, Bases de données, Sécurité, ...
    Secteur : Service public

    Informations forums :
    Inscription : novembre 2004
    Messages : 171
    Points : 606
    Points
    606

    Par défaut

    Citation Envoyé par patdub Voir le message
    Le problème des mots de passe est effectivement de s'en souvenir! Des règles trop compliquées auront comme conséquences directes que les utilisateurs les noterons dans un fichier, sur un post-it, dans leur carnet ou téléphone. En plus il faut un mot de passe par usage. Aussi les solutions du type "mot de passe bloqué pendant 3 minutes après 3 essais erronés" ou les solutions d'authentification forte sont à favoriser à chaque fois que possible. Mon conseil est de recommander des règles hyper-simples aux utilisateurs du type un seul mot de passe pour tous leurs comptes avec un préfixe ou suffixe déduit en fonction du site web ou de l'application par exemple : geMotdePasseGénérique pour google (première et dernière lettre), trMotdePasseGénérique pour Twitter, etc.
    Citation Envoyé par jdddeschamps Voir le message
    Par exemple :
    mdp : c'est l'été qu'il fait le plus chaud !
    combien de temps pour le cracker ?
    mdp : les 2 Radiateurs à ma Gauche sont Jaunes
    mdp : les imprimantes laser coûtent - chères à terme

    C'est très facile à retenir (comparé à jZp1' utqlm1Zanpp€ !!!), je ne pense pas que ce soit facile à cracker ... voir image jointe.
    Mais non.
    La robustesse d'un mot de passe est fonction notamment de son caractère plus ou moins aléatoire.

    Non seulement il est important d'avoir des mdp robustes, mais il faut que les protections mises en oeuvre le soient aussi.
    Si vous utilisez tels quels des mots d'un dictionnaire vous affaiblissez l'entropie du mot de passe et il est donc plus vulnérable à des attaques par dico, force brute , ...

    Voir aussi:
    http://fr.wikipedia.org/wiki/Rainbow_table
    ...
    L'algorithme, déjà efficace avec des mots de passe correctement hashés (le mot de passe Windows "Fgpyyih804423" est retrouvé en 160 secondes) l'est a fortiori avec les mots de passe de LAN Manager, qui utilisent LM hash (et donc un niveau de sécurité très faible). Ces derniers sont ainsi trouvés en l'espace de quelques secondes s'ils sont alphanumériques. Les tables peuvent être utilisées avec toute autre fonction de hachage comme MD5 ou encore SHA-1, ces dernières étant nettement plus robustes du point de vue cryptographique que LAN Manager et nécessitent des tables plus grandes.
    ...
    Note : "Fgpyyih804423" fait 13 caractères.

    Quant au salage des mdp avant d'appliquer un hash:
    Si vous avez réussi à obtenir la table contenant les hash, vous devriez pouvoir y trouver le hash correspondant à votre mdp salé et donc peut-être arriver à retrouver le sel.

Discussions similaires

  1. gestion des mot de passe avec Access
    Par cyberbiker dans le forum VB 6 et antérieur
    Réponses: 6
    Dernier message: 07/09/2006, 15h42
  2. problème de MOT DE PASSE avec mysql
    Par u_brush_u dans le forum Requêtes
    Réponses: 3
    Dernier message: 11/07/2006, 12h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo