IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Aide sur une sensibilisation sécurité des mots de passe


Sujet :

Sécurité

  1. #1
    Membre à l'essai
    Développeur informatique
    Inscrit en
    Mai 2011
    Messages
    21
    Détails du profil
    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mai 2011
    Messages : 21
    Points : 17
    Points
    17
    Par défaut Aide sur une sensibilisation sécurité des mots de passe
    Bonsoir à tous,

    Actuellement sur un projet de mise en place d'une sensibilisation de sécurité d'informations.
    Je voulais avoir votre avis en tant qu'informaticien.
    Je vous expose mon problème:

    Je souhaite convaincre des informaticiens à changer leur mots de passe tous les 90 jours par exemple.

    Comment puis-je les convaincre ? Quelles approches utilisés ?


    En vous remerciant d'avance de vos réponses

    PS : Tout idée est la bienvenue !!!

  2. #2
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    90 jours ?

    Tu ne te risques pas de te retrouver avec :
    • des posts-it sur l'espace de travail ;
    • des mots de passes trop simples ;
    • des mots de passes de la forme : XXXX2015/02/28 ;
    • pleins de demandes de renouvellement de mots de passes car ils auront perdu le leur ?


    Le problème, c'est qu'il faudrait un mot de passe différent par sites/comptes et en plus les changer régulièrement… c'est impossible de retenir autant de mots de passes.

    Pour les convaincre, tu peux :
    • faire une démonstration sur un mot de passe "faible" et montrer que c'est très rapide à casser ;
    • dire pourquoi le mot de passe est sensible (espionnage, toussa) ;
    • leur proposer une méthode pour gérer leurs mots de passes.

  3. #3
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 148
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 148
    Points : 28 113
    Points
    28 113
    Par défaut
    Prouve-moi que c'est utile, et je le ferai.

    Tous les sites qui te donnent le temps de vie d'un mot de passe sont faux : ils supposent en effet que "aaaaaaaaaaaaaaaaaaaaaaaa" (24 lettres) est moins sécurisé que "a4hn;.8D" (8 caractères), ce qui n'est en fait pas vrai, pour la raison suivante : pour décider de la complexité, l'algorithme se base sur le nombre de caractères différents, ce qui est une donnée dont l'attaquant ne dispose bien évidemment pas.

    Et si tu fais une attaque brute-force, vas-tu commencer par a, puis aa, puis aaa, jusqu'à je-ne-sais-pas-combien de "a", puis passer à b, puis "ab", puis "aab", etc ?? Ou bien vas-tu essayer tous les caractères un par un, puis tous les caractères 2 par 2, etc... ?

    Ensuite, changer tous les 90 jours, pour quelle raison ? Tu as si peu confiance dans ta base de mots de passe qu'il faille les changer tous les 3 mois ?

    À moins que tu ne veuille également que les mots de passe n'aient pas plus de X caractères en commun, ce qui voudrait dire que tu les stockes en clair, ou qu'il existe un moyen de les déchiffrer, ce qui est une faille de sécurité que tu introduis dans ce cas, et tu demandes donc aux utilisateurs de pallier à cette faille via un changement régulier ?

    Pour moi, il n'existe pas de bonne raison de changer régulièrement. Il est bien plus utile de former les gens de l'entreprise, TOUS les gens, du grouillot au PDG, en leur expliquant par exemple qu'on ne divulgue jamais son mot de passe, qu'on ne branche pas une clef USB trouvée sur le parking, qu'on n'utilise pas le même mot de passe pour son mail perso que pour le boulot, qu'on ne s'envoie pas le dernier projet de proposition commerciale par mail ni par dropbox, etc etc etc
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  4. #4
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    Tous les sites qui te donnent le temps de vie d'un mot de passe sont faux : ils supposent en effet que "aaaaaaaaaaaaaaaaaaaaaaaa" (24 lettres) est moins sécurisé que "a4hn;.8D" (8 caractères), ce qui n'est en fait pas vrai, pour la raison suivante : pour décider de la complexité, l'algorithme se base sur le nombre de caractères différents, ce qui est une donnée dont l'attaquant ne dispose bien évidemment pas.

    Et si tu fais une attaque brute-force, vas-tu commencer par a, puis aa, puis aaa, jusqu'à je-ne-sais-pas-combien de "a", puis passer à b, puis "ab", puis "aab", etc ?? Ou bien vas-tu essayer tous les caractères un par un, puis tous les caractères 2 par 2, etc... ?
    Je ne suis pas d'accord.

    Déjà, à savoir que les mots de passes de plus de 32 octets sont parfaitement inutiles, histoire de hash sur 512 bits donc pour tout mot de passe > 32 octets il existe (?) un autre mot de passe < 32 octets de même hash et donc qui sera valide. Cela nous fixe donc une limite.

    Ensuite, les attaquants ne sont pas bêtes, ils savent que les mots de passes font maintenant plus de 8 caractères.
    Mais tester un à un chaque caractères possibles, cela prend trop de temps. Ils utilisent donc des jeux de caractères réduits.

    Donc, je pense, d'abord tester les lettres, puis ajouter des chiffres, etc. Après, il n'y a pas qu'un algo d'attaque par force brute.

    Le but, ce n'est pas de trouver le mot de passe super sécurisé d'une personne, il sait qu'il y a peu de chances de réussir. le but, c'est de trouver les mots de passes les plus simples.


    Après, il y a aussi la façon de stocker les mots de passes, certaines entreprises les stockaient en deux parties :
    Hash( 16 octets inf. mot de passe ) || Hash( 16 octets sup. mot de passe )
    Bien sûr sans aucun sel.

    Donc il suffisait d'avoir un mot de passe dont la taille soit inférieur ou proche de 16 octets pour que les octets sup soient totalement inutiles.
    En effet, c'est comme si on avait deux mots de passes, un de 16 octets et un de quelques octets à peine.

    Mais de toute façon, on passe d'un mot de passe de 32 octets ( X^32), à deux mots de passes de 16 octets ( 2*X^16 )
    Donc au lieu d'être X^32 fois plus sécurisé, on est que 2 fois plus sûr… et encore.

    Bref, c'est pas la taille qui compte (enfin si un peu).

Discussions similaires

  1. [Débutant] sécurité des mots de passe
    Par abinn dans le forum VB.NET
    Réponses: 3
    Dernier message: 31/07/2011, 02h55
  2. Sécurité des mots de passe
    Par Beho Double dans le forum Firefox
    Réponses: 2
    Dernier message: 06/08/2009, 18h14
  3. Sécurité des mots de passe - double signature
    Par mioux dans le forum Langages de programmation
    Réponses: 3
    Dernier message: 06/11/2008, 14h53
  4. Sécurité des mots de passe
    Par Analfabete dans le forum Général Python
    Réponses: 1
    Dernier message: 06/01/2008, 21h52
  5. [WebForms][2.0] Règle de sécurité des mots de passe
    Par oli_carbo dans le forum Général Dotnet
    Réponses: 5
    Dernier message: 20/03/2006, 13h07

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo