Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Affichage des résultats du sondage: Quelle stratégie de changement de mot de passe utilisez-vous quand cela ne vous est pas imposé ?

Votants
36. Vous ne pouvez pas participer à ce sondage.
  • Mot de passe unique par compte et changé rarement

    21 58,33%
  • Un seul mot de passe utilisé pour tous les comptes et changé rarement

    3 8,33%
  • Changement fréquent de mots de passe

    0 0%
  • Changement fréquent de mots de passe + gestionnaire de mots de passe

    3 8,33%
  • Aucune stratégie particulière

    3 8,33%
  • Autre (à préciser dans les commentaires)

    6 16,67%
  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    2 202
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 202
    Points : 72 367
    Points
    72 367
    Billets dans le blog
    2

    Par défaut Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés

    Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés
    contrairement à ce que l’on croit, révèlent des études

    Il est très fréquent d’entendre parmi les professionnels de l’informatique et au sein des entreprises qu’il faut changer fréquemment ses mots de passe, par mesure de sécurité. Cela est considéré depuis longtemps comme une bonne pratique et pour cette raison, on voit certains services en ligne imposer à leurs utilisateurs de changer leur mot de passe au bout d’une certaine période. Cela est également observé dans certaines entreprises, mais est-ce vraiment une pratique à recommander du point de vue de la sécurité ?

    À cette question, d’aucuns répondraient bien sûr sans se poser de question, mais pour la FTC et d’autres organisations américaines, cela est vivement déconseillé pour la sécurité de vos comptes. Cela n’offrirait en réalité pas autant de protection que l’on pourrait le penser, mais au contraire pourrait rendre le mot de passe de l’utilisateur plus facile à deviner par les pirates. En d’autres termes, cela rendrait les systèmes moins sécurisés.

    Lorrie Cranor est professeur à l’université Carnegie-Mellon (USA) et depuis le mois de janvier de cette année est devenue chief technologist à la Federal Trade Commission (FTC) des États-Unis. Tout juste après avoir débuté à son nouveau poste, elle a remis en cause un tweet officiel de la FTC dans lequel l’agence a recommandé aux internautes d’encourager leurs proches à changer fréquemment leurs mots de passe. Elle a donc approché le directeur des systèmes d’information et le chef de la sécurité de la FTC pour réfuter ce que ces derniers y compris de nombreux professionnels de l’IT ont toujours cru être une bonne pratique en matière de sécurité. Un peu sceptique, le DSI de la FTC lui a demandé d’en fournir la preuve avec des études scientifiques, ce qu’elle a d’ailleurs fait avec plaisir.

    Les études présentées par le professeur Lorrie Cranor montrent que les changements fréquents de mot de passe ne contribuent point à améliorer la sécurité, mais la rendent au contraire encore pire étant donné que cela encourage l'utilisation de mots de passe qui sont plus faciles à mémoriser, donc également plus faciles à deviner pour les pirates.

    Dans l’une de ces études datant de 2010, des chercheurs ont analysé des données de plus de 10 000 comptes réels d’anciens employés, professeurs et étudiants d’une université américaine. Les propriétaires de ces comptes devaient modifier leur mot de passe tous les trois mois. Les chercheurs ont donc reçu les différents mots de passe utilisés par ceux-ci, non seulement leurs derniers mots de passe, mais également ceux qui ont été utilisés au fil du temps, alors qu’ils étaient encore dans cette université.

    L’étude de ces données a permis aux chercheurs d’identifier des techniques communes utilisées par les titulaires des comptes alors qu’ils étaient tenus de changer fréquemment leurs mots de passe. Ces derniers utilisent des mots de passe de base relativement faciles à retenir, puis appliquent certaines transformations simples pour aboutir à un nouveau mot de passe. Par exemple, le mot de passe developpez#1 peut évoluer pour devenir dEveloppez#1 lors du premier changement puis deVeloppez#1 lors du second changement, ainsi de suite ; ou developpez#11 lors du premier changement puis developpez#111 lors du second changement, ainsi de suite ; ou encore developpez#2 puis developpez#3, etc.

    Lorsqu’ils doivent changer fréquemment leurs mots de passe, les utilisateurs choisissent donc pour un mot de passe facile à retenir, plutôt qu’un mot de passe complexe. Ils conservent donc leur ancien mot de passe au fil du temps en appliquant simplement une petite règle de transformation pour aboutir à un nouveau mot de passe, quand le moment de les changer arrive. Ils font alors fi des règles de sophistication qui recommandent par exemple d'utiliser dans le mot de passe des lettres majuscules, des lettres minuscules, des chiffres de la base 10 (0 à 9), des caractères non alphanumériques (tels que le point d'exclamation (!), le symbole dollar ($), le signe dièse (#) ou le pour cent (%)), un nombre minimal de caractères, etc. Ce qui fait que le résultat escompté en leur demandant de changer régulièrement leurs mots de passe n’est pas atteint, mais c’est plutôt le résultat contraire qui est observé.

    À partir de leurs résultats, les chercheurs ont développé des algorithmes qui ont permis de prédire avec une bonne précision l’évolution des mots de passe. Pour 17 % des comptes qu’ils ont étudiés, en connaissant le mot de passe précédent, l’algorithme a permis de deviner le nouveau mot de passe au bout de 5 essais. En ayant en plus accès au fichier de mot de passe hashé, pour 41 % de ces comptes, il a été possible de deviner le nouveau mot de passe en 3 secondes par compte, à partir d’un ordinateur dédié avec des caractéristiques typiques de l’année 2009, a expliqué le professeur Lorrie Cranor dans un billet de blog en mars dernier.

    Ce n’est pas la seule étude qu’elle a présentée qui a permis de tirer cette conclusion au sujet du changement fréquent des mots de passe. Les preuves scientifiques sont nombreuses. Cela a permis aujourd’hui à la FTC de s’inscrire dans la liste des organisations aux États-Unis qui ont mis fin au changement fréquent des mots de passe. Si pour une raison ou une autre, l’IT n’a pas d’autres choix que d’exiger le changement fréquent de mots de passe, Lorrie Cranor recommande dans ce cas d’encourager l’utilisation d’un gestionnaire de mots de passe. Si les gestionnaires de mots de passe ne sont pas parfaits, ils peuvent être une « stratégie très raisonnable » étant donné qu’ils ne poussent pas les utilisateurs à arbitrer entre un mot de passe fort et un mot de passe facile à retenir.

    Lorrie Cranor précise toutefois que cela ne veut pas non plus dire qu’il ne faut jamais changer de mot de passe. Cela veut simplement dire que le changement fréquent de mot de passe n’est pas nécessaire à partir du moment où l’utilisateur a un mot de passe fort. Si elle avait déjà publié un billet sur ce sujet en mars dernier, le professeur Cranor est revenue sur ce point à la PasswordsCon 2016, une partie de la conférence sur la sécurité BSides, qui s’est déroulée à Las Vegas Nevada du 2 au 3 août 2016.

    Source : Blog FTC

    Et vous ?

    Qu’en pensez-vous ?
    Quelle stratégie de changement de mot de passe utilisez-vous quand cela ne vous est pas imposé ? Quels sont ses avantages ?

    Voir aussi :

    59 % des consommateurs américains réutilisent leurs mots de passe sur la toile, selon Password Boss, et 43 % préfèrent les noter sur du papier
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé Avatar de Alvaten
    Homme Profil pro
    Développeur Java / Grails
    Inscrit en
    novembre 2006
    Messages
    321
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Java / Grails
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2006
    Messages : 321
    Points : 993
    Points
    993

    Par défaut

    Pour moi ce n'est pas une surprise ça fait un moment que l'on connait ce genre de problèmes. Il faut mieux former les utilisateurs pour qu'ils choisissent un bon mot de passe plutôt que de leur imposer des règles farfelues qui vont uniquement l'encourager à choisir un mot de passe faible ou à le noter sur un post-it.

    Pour l'utilisateur "lambda" je trouve ça logique qu'il ai simplement envie d'incrémenter un chiffre quand on le force à changer son mot de passe tout trois mois ... surtout que si c'est la session de son poste de travail pas moyen d'utiliser de gestionnaire de mot de passe.

  3. #3
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 844
    Points
    4 844
    Billets dans le blog
    6

    Par défaut

    Sur mon compte Office 365 je change complètement de mot de passe tous les 3 mois(on ne me laisse pas le choix) c'est sans doute dus au fait que je suis formé à la sécurité informatique
    merci de me mettre des quand mes messages sont pertinent, et pour les pas contents voici mon service client pour eux

    [Projet en cours] Strategy(nom provisoire) - Advance wars like
    cordova-plugin-file-hash Plugin cordova servant à obtenir le hash d'un fichier

  4. #4
    Membre régulier
    Homme Profil pro
    Développeur Web
    Inscrit en
    juin 2013
    Messages
    18
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juin 2013
    Messages : 18
    Points : 74
    Points
    74

    Par défaut

    Je ne suis pas trop surpris par cette étude pour les systèmes imposant le changement de mot de passe régulièrement ;
    Mot de passe facile à deviner ou mieux encore : un post-it sur le bureau ou l'écran avec le mot de passe inscrit dessus

    J'utilise régulièrement 5 mots de passe "complexes" : chiffres, lettres, caractères spéciaux, majuscules, minuscules, +8 caractères, aucune logique dans l'enchaînement des caractères.

    Etant développeur, je pense être un utilisateur averti, même si je ne suis pas à l'abri d'une erreur bien sur.
    Jusqu'à présent, je n'ai jamais eu aucun soucis de mot de passe mais je suis toujours près à le modifier à la moindre suspicion.

  5. #5
    Membre régulier
    Profil pro
    Spleen
    Inscrit en
    mai 2013
    Messages
    75
    Détails du profil
    Informations personnelles :
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Spleen

    Informations forums :
    Inscription : mai 2013
    Messages : 75
    Points : 73
    Points
    73

    Par défaut

    Je ne connais pas l'auteur de cet article, mais il est d'un confus...
    En plus de se répéter énormément : "idée reçue", "ce n'est pas ce qu'on croit". Merci au bout de dixième fois on avait compris... mais explique pourquoi .

    "Ces derniers utilisent des mots de passe de base relativement faciles à retenir"
    puis "Par exemple, le mot de passe developpez#1 peut évoluer pour devenir dEveloppez#1" etc.

    Je dirai donc qu'il se complexifie, min → maj. Même en ajoutant des chiffres qui se répètent ça le complexifie (pas de beaucoup c'est sûr mais tout de même).

    Oui connaître les mdp précédents permettent d'aider pour trouver les suivants, c'est pas nouveaux ça.
    Mais c'est tout de même un POIL plus costaud que de garder toujours le même.
    Pour moi c'est article connait un sérieux problème de logique.

  6. #6
    Membre habitué
    Homme Profil pro
    Développeur Java
    Inscrit en
    décembre 2012
    Messages
    31
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2012
    Messages : 31
    Points : 151
    Points
    151

    Par défaut

    Dans l’une de ces études datant de 2010, des chercheurs ont analysé des données de plus de 10 000 comptes réels d’anciens employés, professeurs et étudiants d’une université américaine. Les propriétaires de ces comptes devaient modifier leur mot de passe tous les trois mois. Les chercheurs ont donc reçu les différents mots de passe utilisés par ceux-ci, non seulement leurs derniers mots de passe, mais également ceux qui ont été utilisés au fil du temps, alors qu’ils étaient encore dans cette université.
    Comment ils ont pu récupérer ces mots de passe? à mes connaissances, on stock jamais le mot de passe en clair, plutôt on stock son hashcode !!
    La vraie problématique de sécurité commence ici

  7. #7
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    1 971
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 1 971
    Points : 6 318
    Points
    6 318
    Billets dans le blog
    3

    Par défaut

    Citation Envoyé par Spleeen Voir le message
    Je ne connais pas l'auteur de cet article, mais il est d'un confus...
    En plus de se répéter énormément : "idée reçue", "ce n'est pas ce qu'on croit". Merci au bout de dixième fois on avait compris... mais explique pourquoi .

    "Ces derniers utilisent des mots de passe de base relativement faciles à retenir"
    puis "Par exemple, le mot de passe developpez#1 peut évoluer pour devenir dEveloppez#1" etc.

    Je dirai donc qu'il se complexifie, min → maj. Même en ajoutant des chiffres qui se répètent ça le complexifie (pas de beaucoup c'est sûr mais tout de même).

    Oui connaître les mdp précédents permettent d'aider pour trouver les suivants, c'est pas nouveaux ça.
    Mais c'est tout de même un POIL plus costaud que de garder toujours le même.
    Pour moi c'est article connait un sérieux problème de logique.
    L'article ne fait qu'illustrer les propos avec des exemples triviaux. Cela dit il n'en reste pas moins que certains utilisent bel et bien ces stratégies. Je l'ai moi-même fait en tant qu'étudiant justement parce qu'on me forçait de le changer tous les x mois. Alors certes, mon mot de passe de base était complexe, mais les menues variations n'apportaient rien de plus, donc l'idée même de changer de mot de passe n'était pas respectée.

    On obtient rarement ce qu'on veut en forçant les gens. Il faut leur donner les outils pour agir, pas leur forcer la main.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  8. #8
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    novembre 2006
    Messages
    388
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2006
    Messages : 388
    Points : 865
    Points
    865

    Par défaut

    Je ne suis que trop d'accord.

    Pour tout système nécessitant le changement de mdp tt les 3 mois par exemple, je prend un mdp assez complexe (mais pas aussi complexe que s'il ne devait jamais changer. Pas envie de l'oublier puis me taper la procédure de changement de mdp encore et encore) et je fais exactement ce qu'ils démontrent : je change une minuscule en majuscule.
    http://krossapp.com

    "S'adapter, c'est vaincre !"

  9. #9
    Membre confirmé
    Inscrit en
    mars 2005
    Messages
    179
    Détails du profil
    Informations forums :
    Inscription : mars 2005
    Messages : 179
    Points : 470
    Points
    470

    Par défaut

    Aucune surprise là-dedans, il ne faut pas sortir de Saint-Cyr pour deviner qu'un système trop contraignant va pousser les utilisateurs à trouver des contournements.
    J'ai bossé dans une boîte où le mot de passe devait être changé chaque mois. Il n'est pas trop dur de deviner que bon nombre de comptes avaient alors le n° du mois en fin de mot de passe...

  10. #10
    Membre averti Avatar de tpericard
    Homme Profil pro
    Ingénieur validation
    Inscrit en
    octobre 2006
    Messages
    81
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Ingénieur validation
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : octobre 2006
    Messages : 81
    Points : 362
    Points
    362

    Par défaut

    Bonjour,

    Tout à fait d'accord avec l'article, vouloir changer régulièrement des mots de passe n'est pas une bonne stratégie en soit.

    Un point supplémentaire non évoqué est la répétition des mots de passe ... je m'explique :
    - sur un système donné, pour une "occupation" donnée vous avez rarement un SEUL mot de passe mais plusieurs avec des périodicités de changement parfois différentes. Il devient alors bien difficile d'innover pour chaque cas, et la tentation est grande de prendre toujours le même avec par exemple des variantes sur le mois, l'année, le mois et l'année, un compteur simple, etc ...
    D'où un double danger, c'est 'à peu près' le même mot de passe pour tout, et devant la multiplicité des mots de passe, la tentation est grande aussi de les noter sur un "post-it" (papier ou électronique). Ce qui est au niveau sécurité n'est pas top

    Que faire alors ? Tenter d'avoir le mot de passe le plus difficile à trouver, quitte à faire des variantes simples ...

  11. #11
    Expert éminent sénior
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2012
    Messages
    2 722
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2012
    Messages : 2 722
    Points : 14 048
    Points
    14 048

    Par défaut

    Dans une boite que je ne citerait pas, un ancien collègue que je ne nommerait pas en avait tellement marre de devoir changer de mot de passe tous les 3 mois.

    Comme la règle était qu'on ne pouvait pas utiliser un de ses 5 précédents mots de passe, il a simplement crée un script pour changer de mot de passe 6 fois de suite pour toujours avoir le même mot de passe.

    Par contre, les gestionnaires de mot de passe, je suis pas super chaud. Centraliser tous les mots de passe à un seul endroit me semble un peu risqué.

    Pour ma part, je procède de la sorte :

    Mon mot de passe pour ma session au boulot est unique. Change tous les 3 mois (par obligation, et j'avoue, j'use d'un incrément).

    Ma boite mail principale à un mot de passe unique et complexe.

    J'ai un mot de passe à part et complexe aussi pour les accès de ma banque en ligne.

    Pour le reste, j'ai un mot de passe unique, que j'adapte en fonction des contraintes sur le sites, par exemple si il faut y avoir une majuscule ou un caractère non alpha.

    Ca me fait 4 mots de passe à retenir, ce qui n'est pas super sorcier quand même il me semble. On retient des choses beaucoup plus futiles que ça sans aucun problème quand même!

  12. #12
    Membre expérimenté Avatar de nchal
    Homme Profil pro
    Étudiant
    Inscrit en
    avril 2012
    Messages
    509
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2012
    Messages : 509
    Points : 1 600
    Points
    1 600

    Par défaut

    Je pense qu'on ne le répète pas assez mais un mot de passes pour être robuste n'a pas besoin d'être "complexe" mais juste long (voir très long).
    Entre ce mot de passe : Y^ù65pm\`( et celui là : "Je suis un lecteur assidu de developpez.net", le second est largement plus robuste

    Trois petits liens :
    https://xkcd.com/936/
    https://howsecureismypassword.net/
    https://www.leakedsource.com/main/
    Si la réponse vous convient, un petit ça encourage.
    Avant tout nouveau post, pensez à : la FAQ, Google et la fonction Recherche
    Si vous devez poster, pensez à: Ecrire en français, la balise [CODE] (#) et surtout

  13. #13
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 718
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 718
    Points : 7 780
    Points
    7 780

    Par défaut

    On change régulièrement nos mots de passe ici aussi pour raison de sécurité.
    Mais on le fait de la sorte si cela vous intéresse :
    Vous me direz ce que vous en pensez.

    Base : un mot de passe de 20 caractères, dont 9 caractères variant selon un motif de mois et 2 autres selon l'année.
    Vous prenez un mot de passe donc de (16-9-2 = 9) caractères que vous retiendrez facilement contenant des majuscules et des minuscules. (les premières lettres des mots d'une phrase par exemple)
    Puis vous insérez le mois courant à l'index correspondant à son chiffre divisé par deux, et l'année dans son index opposé.
    Et cela se décale donc chaque mois.

    Exemple avec comme base : Je suis une souris verte qui aime se cacher. ==> JsUvQaSe
    Pour ma base je prend une lettre sur deux en majuscules mais on peut faire autrement.
    Ensuite on insère le mois (08 / 2 = 4) => JsUvaoûtxxxxQaSe (paddé avec des x pour atteindre 9)
    Puis l'année : JsUvaoûtxxxx16QaSe

    Le mot de passe de septembre : JsUvseptembre16QaSe (je vous l'accord il tombe mal avec août celui là...)
    Le mot de passe d'octobre : JsUvQoctobre16xxaSe
    Le mot de passe de novembre : JsUvQnovembr16exaSe
    Le mot de passe de décembre : JsUvQadéce16mbreSe
    Le mot de passe de janvier 2017 : JjanviersUvQaS17e

    Cela semble difficile mais quand on applique la règle plusieurs fois par jour cela se fait très facilement tellement on a mémorisé la règle.
    Qu'en pensez-vous ?

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  14. #14
    Membre éclairé Avatar de 4sStylZ
    Homme Profil pro
    Null
    Inscrit en
    novembre 2011
    Messages
    273
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Null
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 273
    Points : 851
    Points
    851

    Par défaut

    Y’a aussi un autre truc c’est que plus on doit éffectuer des procédures de changement de mdp, plus les données transitent et peuvent être attrapée à en endroit dans le workflow, dans le navigateur, la boite mail…

  15. #15
    Expert éminent sénior
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2012
    Messages
    2 722
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2012
    Messages : 2 722
    Points : 14 048
    Points
    14 048

    Par défaut

    Citation Envoyé par transgohan Voir le message
    Cela semble difficile mais quand on applique la règle plusieurs fois par jour cela se fait très facilement tellement on a mémorisé la règle.
    Qu'en pensez-vous ?
    Que c'est bien trop compliqué pour le commun des mortels!

    Tellement compliqué que même toi tu t'y perds et qu'aucun de tes mots de passe ne fait 20 caractères comme tu l'a posé en préambule au départ.

    Cela varie de 17 à 19 caractères.

    Tu n'es pas consistant dans ton padding de X. ex : JsUvQadéce16mbreSe décembre, 8 lettre, il devait y avoir un X, ce qui devrait du coup décaler la position de l'année qui vient couper le mois dans un joyeux bazard!

    Ta "base" ne fait que 8 caractères et non 9.

    Bref, avec un mot de passe comme ça, je parierais un p'tit billet qu'au moins 50% des gens auraient besoin de l'écrire sur un papier pour ne pas se vautrer en le rentrant!

  16. #16
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 718
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 718
    Points : 7 780
    Points
    7 780

    Par défaut

    Effectivement je m'en sors mieux avec mon propre motif (que je ne posterai pas ici bien évidemment).

    Après je suis entièrement d'accord avec toi, c'est pas le commercial ou le papy à la retraite qui va utiliser un tel mot de passe sur son ordinateur.
    Je n'avais pas prétention à proposer quelque chose de facile à utiliser, mais plutôt de robuste.

    Bref, avec un mot de passe comme ça, je parierais un p'tit billet qu'au moins 50% des gens auraient besoin de l'écrire sur un papier pour ne pas se vautrer en le rentrant!
    Tu prends des personnes soucieux de la sécurité (vu que ce n'est pas pour n'importe qui) et on descend en dessous de la barre des 1%.
    Après je ne travaille pas pour une société faisant des grilles pains donc ça limite le "n'importe qui" comme on dit.
    Comme je l'ai dit le principal est de mémoriser le motif, de plus on le recalcule en début de chaque mois et après ça coule de source.
    C'est comme tenter d'apprendre un mot de passe classique, on galère les 5 premières fois et après on le tape machinalement.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  17. #17
    Nouveau membre du Club
    Profil pro
    Développeur de jeux vidéo
    Inscrit en
    janvier 2012
    Messages
    30
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur de jeux vidéo

    Informations forums :
    Inscription : janvier 2012
    Messages : 30
    Points : 38
    Points
    38

    Par défaut

    Bonjour,

    Je n'ai pas trouvé la bonne case dans le sondage donc j'ai voté "autre" :

    1. Un mot de passe différent pour chaque site, connexion etc...
    2. Pas d'utilisation de gestionnaire de mots de passes (sinon à quoi ça sert d'avoir plusieurs mot de passes si on les rend "accessibles" ?
    3. Pas de modification fréquente (Le changer c'est risquer de l'oublier xD)
    4. Pas d'utilisation de mots de passe barbare tels que tJ41Lp_HY"# (je fais comment pour m'en souvenir et le noter c'est baisser sa sécurité)
    5. Pas d'utilisation de mots du dictionnaire, date de naissance etc... (sérieux, c'est comme utilisé son Prénom comme mot de passe xD)
    6. Par contre, utilisation de mnémonique (qui semble rendre barbare un mot de passe)
    7. Enfin, pas d'inscription si c'est juste une visite sur un site (je ne me connecte pas tout le temps sur developpez.net si je ne fais qu'une simple consultation)



    Voilou
    Guiliguili

  18. #18
    Membre éprouvé
    Profil pro
    Inscrit en
    décembre 2004
    Messages
    560
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2004
    Messages : 560
    Points : 1 010
    Points
    1 010

    Par défaut

    Citation Envoyé par nchal Voir le message
    Je pense qu'on ne le répète pas assez mais un mot de passes pour être robuste n'a pas besoin d'être "complexe" mais juste long (voir très long).
    Entre ce mot de passe : Y^ù65pm\`( et celui là : "Je suis un lecteur assidu de developpez.net", le second est largement plus robuste

    Trois petits liens :
    https://xkcd.com/936/
    https://howsecureismypassword.net/
    https://www.leakedsource.com/main/
    Je ne sais pas qui a mis un pouce en bas à cette réponse, mais c'est certainement la plus pertinente sur le sujet. Ca a été démontré des dizaines de fois, mais on conserve pourtant encore ces systèmes de sécurité qui nous imposent tout un tas de caractères ou de majuscules/minuscules qu'on ne sait plus où placer, etc, dans le seul but de nous obliger à construire des mots de passe impossibles ou difficiles à retenir, alors qu'une simple "phrase de passe" se retient bien et est infiniment plus compliquée à deviner par force brute qu'un mot de passe de 8 ou 10 caractères, composé de tous les caractères possibles ou imaginables. Dans ce cas, il devient inutile de changer quoi que ce soit régulièrement.
    Le seul intérêt que je vois à une modification du mot de passe est s'il a été déjà deviné ou craqué. Mais là, ça veut dire que l'utilisateur a un problème : soit il a fait une bétise qu'il risque de refaire, soit il a un logiciel espion qui restera, mais dans les 2 cas, son nouveau mot de passe sera aussitôt connu, comme l'ancien.
    L'avis publié ci-dessus est mien et ne reflète pas obligatoirement celui de mon entreprise.

  19. #19
    Modérateur
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    3 904
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 3 904
    Points : 15 546
    Points
    15 546

    Par défaut

    Citation Envoyé par Michael Guilloux Voir le message
    Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés
    Pourquoi employer le conditionnel ? C'est un anti-pattern bien connu en sécurité informatique. Contraindre l'utilisateur à changer son mot de passe régulièrement l'incite à ajouter une séquence dans son mot de passe le rendant prédictible et donc faible.

    Et c'est malheureusement une pratique très répandue en entreprise ...
    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  20. #20
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    7 978
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 7 978
    Points : 11 366
    Points
    11 366

    Par défaut

    Citation Envoyé par Thorna Voir le message
    Je ne sais pas qui a mis un pouce en bas à cette réponse, mais c'est certainement la plus pertinente sur le sujet.
    Pas de panique, il y a un daltonien (ou plusieurs) sur le forum, j'en ai un qui me suit également,
    J'avais, en son temps, demandé à ce que les pouces rouges soient, au minimum, argumentés, plein de membres étaient d'accord mais les hautes instances en ont décidé autrement...

    Citation Envoyé par Marco46 Voir le message
    Et c'est malheureusement une pratique très répandue en entreprise...
    Ben vi, mais kess tu veux, t'arrives le matin à la bourre tu sais que t'as des trucs urgents à meuler, t'as qu'une envie c'est un caoua, et vlà qu'en plus cette ch13r13 de système d'authentification vient te prendre la tête et te faire perdre du temps avec cette engeance récurrente du changement de mdp, alors t'essayes de faire au plus simple au plus court au plus rapide.

    That's life...
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

Discussions similaires

  1. Réponses: 13
    Dernier message: 26/07/2013, 17h55
  2. Changement login et mot de passe
    Par mehdi501 dans le forum Windows XP
    Réponses: 1
    Dernier message: 19/10/2010, 10h22
  3. Changement d'un mot de passe dans Delphi
    Par eemii dans le forum Bases de données
    Réponses: 3
    Dernier message: 17/05/2008, 14h31
  4. le mot de passe ne tient pas compte des majuscules
    Par jeanfi77 dans le forum PHP & MySQL
    Réponses: 5
    Dernier message: 28/03/2007, 16h17
  5. Création et changement intempestif de mot de passe
    Par Gege70 dans le forum Windows XP
    Réponses: 6
    Dernier message: 10/01/2006, 19h05

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo