Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Affichage des résultats du sondage: Quelle stratégie de changement de mot de passe utilisez-vous quand cela ne vous est pas imposé ?

Votants
36. Vous ne pouvez pas participer à ce sondage.
  • Mot de passe unique par compte et changé rarement

    21 58,33%
  • Un seul mot de passe utilisé pour tous les comptes et changé rarement

    3 8,33%
  • Changement fréquent de mots de passe

    0 0%
  • Changement fréquent de mots de passe + gestionnaire de mots de passe

    3 8,33%
  • Aucune stratégie particulière

    3 8,33%
  • Autre (à préciser dans les commentaires)

    6 16,67%
  1. #21
    Modérateur
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    3 748
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 3 748
    Points : 14 884
    Points
    14 884

    Par défaut

    Citation Envoyé par Jipété Voir le message
    Ben vi, mais kess tu veux, t'arrives le matin à la bourre tu sais que t'as des trucs urgents à meuler, t'as qu'une envie c'est un caoua, et vlà qu'en plus cette ch13r13 de système d'authentification vient te prendre la tête et te faire perdre du temps avec cette engeance récurrente du changement de mdp, alors t'essayes de faire au plus simple au plus court au plus rapide.

    That's life...
    Je critiquais pas les utilisateurs qui mettent des séquences dans leurs mdp, je fais pareil pour pas devenir foldingo. Je parlais des admins sys sécurité qui se croient intelligent en imposant une telle pratique. C'est comme pour la réécriture des certificats racines des chaines de certification, c'est un truc hallucinant mais ils le font partout il parait.
    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  2. #22
    Futur Membre du Club
    Inscrit en
    octobre 2006
    Messages
    2
    Détails du profil
    Informations forums :
    Inscription : octobre 2006
    Messages : 2
    Points : 5
    Points
    5

    Par défaut

    Je pense fortement que Mme Cranor à raison et que le fil de discussion lui donne raison.
    Pour ma part, j'utilise un gestionnaire de mots de passe KeePass avec le fichier data sur DropBox pour la synchronisation entre mes ordis et une image uniquement présent sur mes ordis pour sécuriser doublement le login. Je gère mes 500 comptes avec 500 mots de passe tous très différents.
    Utiliser le même mot de passe pour tous ses sites d'achat est une erreur de débutant, car il suffit au développeur d'un site mal intentionné de faire un log des utilisateurs/mots de passe qui arrivent souvent en clair sur le serveur. Ensuite avec un programme, il est possible de tester ces comptes sur d'autres sites...

  3. #23
    Membre à l'essai
    Profil pro
    Inscrit en
    décembre 2005
    Messages
    13
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2005
    Messages : 13
    Points : 15
    Points
    15

    Par défaut J'utilise Dashlane maintenant

    Et comment faire quand on se retrouve devant une bécane professionnelle où il faut retenir 9 mots de passe différents, avec des longueurs différentes et complexités différentes ? Et bien sûr pas question de reprendre un ancien mot de passe déjà utilisé. MP pour la session, un MP pour l'accès avec la carte de service et 7 pour les logiciels professionnels ( J'étais OPJ donc les divers logiciels étaient plus ou moins sensibles. )

    Sans compter qu'il faut en plus retenir le mot de passe de son compte ( ou ses comptes si plusieurs ) bancaire, de sa carte bleue et les quelques mots de passe pour aller sur des sites ou des forums.

    Bon d'accord mais sur l'ordi professionnel, impossible de mettre quoi que ce soit si ce n'était pas validé par un service informatique national, donc pas de logiciel style Dashlane etc ... ( autant demander une autoroute gratuite entre son domicile et son lieu de travail, c'était plus simple comme souhait ).
    Donc la solution un carnet avec tous les mots de passe pro, et donc le proverbe " le mieux est l'ennemi du bien " prend tout son sens dans ce cas décrit.

    Maintenant que je suis en retraite, sur mon PC à la maison, hop Dashlane ( il y en a d'autres ) pour tous les sites où je suis inscrit et n'ai plus à retenir qu'un seul mot de passe pour l'accès à mon compte bancaire.

  4. #24
    Modérateur
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    3 748
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 3 748
    Points : 14 884
    Points
    14 884

    Par défaut

    Citation Envoyé par HaggarDuNord Voir le message
    Et comment faire quand on se retrouve devant une bécane professionnelle où il faut retenir 9 mots de passe différents, avec des longueurs différentes et complexités différentes ? Et bien sûr pas question de reprendre un ancien mot de passe déjà utilisé. MP pour la session, un MP pour l'accès avec la carte de service et 7 pour les logiciels professionnels ( J'étais OPJ donc les divers logiciels étaient plus ou moins sensibles. )
    D'un point de vue purement professionnel, SSO + une gestion des droits digne de ce nom.

    Si tu te logues sur ton poste de travail, tu accèdes aux applications auxquelles tu as droit en fonction de ton poste. C'est pas surnaturel, c'est juste hallucinant que l'administration ne réalise pas ce genre d'investissements ultra critiques
    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  5. #25
    Expert éminent
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système
    Inscrit en
    juillet 2012
    Messages
    857
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système

    Informations forums :
    Inscription : juillet 2012
    Messages : 857
    Points : 6 047
    Points
    6 047

    Par défaut

    Citation Envoyé par Marco46 Voir le message
    D'un point de vue purement professionnel, SSO + une gestion des droits digne de ce nom.

    Si tu te logues sur ton poste de travail, tu accèdes aux applications auxquelles tu as droit en fonction de ton poste. C'est pas surnaturel, c'est juste hallucinant que l'administration ne réalise pas ce genre d'investissements ultra critiques
    Le SSO (cf. Single Sign On - Authentification Unique) présente des avantages mais aussi au moins un inconvénient, justement pour des fonctions sensibles, en cas d'usurpation d'identité.

    De plus, l'interopérabilité avec des logiciels métiers spécifiques n'est pas toujours possible du fait des différents standards.

    En résumé, ça n'est pas si simple d'investir dans une solution SSO, beaucoup de travail en amont doit être réalisé par des spécialistes en sécurité, ce doit être un projet à part entière.
    https://documentcyborg.com
    Transform any web page into a document
    Copy and paste the following URL to try it : https://documentcyborg.com/faq

    Liste des balises BB - Forum du club des développeurs et IT Pro
    Les balises BB sont un jeu de balises basé sur le langage HTML auquel vous pouvez déjà être familier. Elles vous permettent d'ajouter de formater vos messages de la même façon que le fait le langage HTML, mais avec une syntaxe plus simple et ne déformera pas l'affichage des pages...

  6. #26
    Membre expérimenté

    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2013
    Messages
    574
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2013
    Messages : 574
    Points : 1 514
    Points
    1 514

    Par défaut

    Je me rappelle qu'a mon premier travaille, ce n'étais pas de l'informatique.
    La chef passe et nous dit "changer tous vos mot de passe, il y a un audit en sécurité qui va passer".
    Premier problème pour la surprise on repassera.
    Et c'est un peu partout pareille.
    Il y a juste SAP, qui m'obligeaient à changer de mot de passe à interval régulier
    Consultez mes articles sur l'accessibilité numérique :

    Comment rendre son application SWING accessible aux non voyants
    Créer des applications web accessibles à tous

    YES WE CAN BLANCHE !!!

    Rappelez-vous que Google est le plus grand aveugle d'Internet...
    Plus c'est accessible pour nous, plus c'est accessible pour lui,
    et meilleur sera votre score de référencement !

  7. #27
    Candidat au Club
    Inscrit en
    février 2007
    Messages
    1
    Détails du profil
    Informations forums :
    Inscription : février 2007
    Messages : 1
    Points : 4
    Points
    4

    Par défaut

    Bonjour,

    Dans mon entreprise, nous devons changer de mot de passe tous les trois mois avec la contrainte de respecter les règles de robustesse du groupe. Un petit guide rappelle à l'utilisateur l'efficacité d'un moyen mnémotechnique. Dans mon cas, en choisissant un événement personnel qui vient d'avoir lieu ou qui est proche ("Génial ! J'ai reçu ma console le 8 août" => G!Jarmcl8a), mes mots de passe respectent les règles d'entreprise, ne se ressemblent jamais et sont faciles à retenir. Si je ne peux éviter le changement avant un départ en vacances, période où le risque d'oubli est élevé, je fais au pire un post-it rangé dans le tiroir fermé à clé avec un petit message me rappelant le contexte auquel je pensais pour mon mot de passe. Cela étant personnel, la phrase est difficilement décodable par un tiers.

  8. #28
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    924
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 924
    Points : 3 140
    Points
    3 140

    Par défaut

    Identifiant fourni par la DSI = clé publique.
    Empreinte matérielle de la machine stockée dans la base d'accès = clé privée.
    BYOD identifié dans la base d'accès avec l'utilitaire générant un mdp unique et jetable par algorithme RSA injecté.
    Press Enter : issue solved and ™Thalès ©®
    Et procédure inverse pour ouvrir l'accès aux applications métiers et données du BYOD.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  9. #29
    Membre éprouvé
    Profil pro
    Inscrit en
    février 2010
    Messages
    764
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2010
    Messages : 764
    Points : 1 029
    Points
    1 029

    Par défaut

    Je ne suis pas forcement d'accord avec cette étude qui tente à prouver que c'est moins sûr.
    Effectivement, si on nous demande de changer de mot de passe trop souvent, on va avoir tendance à utiliser une règle de transformation d'un mot de passe à l'autre.
    Mais la méthode pour prouver que c'est une méthode faible laisse à désirer. Elle prouve surtout que le système de hash utilisé est mauvais :

    Pour 17 % des comptes qu’ils ont étudiés, en connaissant le mot de passe précédent, l’algorithme a permis de deviner le nouveau mot de passe au bout de 5 essais. En ayant en plus accès au fichier de mot de passe hashé, pour 41 % de ces comptes, il a été possible de deviner le nouveau mot de passe en 3 secondes par compte, à partir d’un ordinateur dédié avec des caractéristiques typiques de l’année 2009, a expliqué le professeur Lorrie Cranor dans un billet de blog en mars dernier.
    Effectivement si on a un mot de passe précédent de la chaîne on peut deviner le suivant en appliquant des règles de transformation connue. Ca ne diffère pas trop d'une attaque par dictionnaire de mot de passe faible.
    Ensuite comment se fait-il qu'on arrive à attaquer le hash de cette manière avec une liste de mot de passe probable ?
    En pratique si le salage est bien fait, cette attaque n'est pas réalisable. Cela laisse plutôt penser à un algorithme trop faible.

    Bref il me semble que cette étude ne prouve rien.

  10. #30
    Membre à l'essai
    Femme Profil pro
    Développeur Web
    Inscrit en
    février 2019
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : février 2019
    Messages : 16
    Points : 13
    Points
    13

    Par défaut

    Citation Envoyé par Alvaten Voir le message
    surtout que si c'est la session de son poste de travail pas moyen d'utiliser de gestionnaire de mot de passe.
    A moins qu'il ne lui soit interdit d'utiliser une clé USB, il n'y a pas de raison qu'il ne puisse pas utiliser de gestionnaire de mots de passe. Le gestionnaire Keepass contient une version à dézipper sur sa clé USB, ce qui fait qu'on n'est pas obligé de l'installer sans avoir les droits sur le poste de travail. D'ailleurs, même sans ça, si on utilise la version dézippable directement sur son poste de travail, il n'y a pas non plus besoin des privilèges administrateur. Ensuite, on peut transporter la base de mots de passe sur cette même clé.

    Aussi, contrairement aux autres je ne pense pas que le gestionnaire de mot de passe les rende plus accessibles.

    Déjà, quand c'est à deux facteurs d'authentification, c'est déjà plus compliqué (mot de passe + fichier clé, à, bien sûr, noyer dans une centaine d'autres fichiers clé afin qu'il faille trouver le bon mot de passe ET la bonne clé. En ayant mis un mot de passe fort et jamais utilisé sur internet, bonne chance...).

    Ensuite, partant de ce principe, c'est pareil pour les trousseaux de clé : les mettre toutes ensembles pour être sûres de toutes les perdre. Sauf que ça facilite la vie de les trouver ensemble et ça reste très rare de les perdre ainsi.

    Enfin, est-on obligé de mettre les vrais noms des sites auxquels correspondent les mots de passe ? Si on sait que c'est un service à risque ou quelque chose qu'on utilise souvent, autant ne pas mettre le vrai nom du site ni le vrai identifiant.
    Exemple : compte Facebook, legremlinsdu58@yahoo.fr -> Nom du site : forum.aufeminin.com (le mieux étant de prendre un site existant qu'on n'utilise pas pour que ça ait l'air vrai), nom de l'identifiant/mail : gremlinouchet@gmail.com (changement du nom pour une adresse inventée ressemblant à notre adresse et changement du service de mail, sachant qu'en général on connait nos mails pour savoir à quoi correspond "gremlinouchet") et ainsi, seul le mot de passe est vrai. Mais à quoi sert un mot de passe qu'on ne peut relier à aucun compte ? Clairement, un hacker se sentirait un peu paumé dans une telle base, surtout s'il n'a jamais accès aux différentes boites mail utilisées par l'utilisateur.

    Et si on veut être encore plus vicieux, mettre une entrée "Facebook" avec ce même faux mail. Quand le hacker le rentrera, il se dira "mais ça fonctionne pas, c'est pas à jour, il a changé son mot de passe :'( "

Discussions similaires

  1. Réponses: 13
    Dernier message: 26/07/2013, 18h55
  2. Changement login et mot de passe
    Par mehdi501 dans le forum Windows XP
    Réponses: 1
    Dernier message: 19/10/2010, 11h22
  3. Changement d'un mot de passe dans Delphi
    Par eemii dans le forum Bases de données
    Réponses: 3
    Dernier message: 17/05/2008, 15h31
  4. le mot de passe ne tient pas compte des majuscules
    Par jeanfi77 dans le forum PHP & MySQL
    Réponses: 5
    Dernier message: 28/03/2007, 17h17
  5. Création et changement intempestif de mot de passe
    Par Gege70 dans le forum Windows XP
    Réponses: 6
    Dernier message: 10/01/2006, 20h05

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo