IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La force globale d'un mot de passe augmente de manière exponentielle à l'ajout d'un caractère supplémentaire


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2018
    Messages
    1 022
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 31
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2018
    Messages : 1 022
    Points : 46 647
    Points
    46 647
    Par défaut La force globale d'un mot de passe augmente de manière exponentielle à l'ajout d'un caractère supplémentaire
    La force globale d'un mot de passe augmente de manière exponentielle à l'ajout d'un caractère supplémentaire, il faudrait 34.000 ans pour craquer un code à 12 caractères différents

    La société de recherche de données en ligne Statista a partagé un graphique, basé sur les données de SecurityOrg, sur la façon dont l'ajout de différentes lettres à un mot de passe peut le rendre presque impossible à craquer.

    Selon les données, les mots de passe tels que 123456 ou "qwerty", qui sont deux des mots de passe les plus utilisés dans le monde, ne devraient plus être privilégiés par personne. Les chercheurs ont ajouté qu'en comparaison avec ces deux mots de passe, si un utilisateur décide de créer un code d'accès unique et fort, celui-ci pourrait même être craqué par un ordinateur programmé travaillant systématiquement dans le seul but de le casser.

    Les spécialistes de SecurityOrg ont partagé quelques informations utiles. D'après leurs données, si un utilisateur ajoute une seule lettre majuscule à son code d'accès, la force globale de celui-ci peut être modifiée de manière exponentielle. Un code d'accès à 8 chiffres peut être détruit par un ordinateur en 22 minutes seulement. Auparavant, si l'utilisateur n'avait pas utilisé la lettre majuscule, l'ordinateur aurait pu accomplir la tâche en une seconde seulement. De se faire craquer en une seconde à ajouter 22 minutes au temps, voilà ce que peut faire une majuscule supplémentaire.

    Même un délai de 22 minutes est inacceptable, et un tel mot de passe n'est pas considéré comme fiable. Si une minuscule est ajoutée au mot de passe, la force est à nouveau multipliée, et maintenant le temps est étiré de 22 minutes à 60 minutes. Si un symbole supplémentaire est également ajouté, le temps nécessaire augmentera de 8 heures.

    Nom : statista.png
Affichages : 2531
Taille : 407,4 Ko

    L'ajout de lettres majuscules et minuscules, de chiffres et de symboles pourrait prendre des années pour être craqué par un système programmé. Un mot de passe basé sur 12 caractères et comportant tous ces caractères différents pourrait prendre près de 34 000 ans à être craqué.

    Avec chaque caractère supplémentaire du mot de passe, le nombre de combinaisons change à un rythme exponentiel. Un code à 8 chiffres avec des lettres minuscules comporte deux cent neuf combinaisons différentes, et si une majuscule est ajoutée, le mot de passe compte désormais 53 400 milliards de possibilités différentes. Ensuite, si un chiffre est ajouté, la possibilité est maintenant de 1 sur 218 000 milliards de cas. Enfin, si un utilisateur décide d'ajouter également un symbole, le mot de passe aura 430 000 milliards de possibilités différentes.

    Source : Statista

    Et vous ?

    Que pensez-vous de ces données ? sont-elles pertinentes ?
    Selon vous, quel est le moyen le plus sûr pour conserver ses mots de passe en toute sécurité, sans avoir à tous les mémoriser ?

    Voir aussi :

    Six personnes sur dix se fient à leur mémoire pour gérer efficacement leurs mots de passe, une approche incorrecte et préoccupante, selon une étude menée par Bitwarden

    Pourquoi les outils d'analyse de mot de passe sont inefficaces face aux comportements humains ? Par Patrick Tilley, Product Security Engineer, chez Pathwire

    Plus de la moitié des employés écrivent leurs mots de passe liés au travail sur des post-it, ce qui entraîne un risque important pour la cybersécurité, selon Keeper Security

    Cybersécurité : 66 statistiques sur les mots de passe qui vont changer vos habitudes en ligne, par Panda Security
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2008
    Messages
    452
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 452
    Points : 624
    Points
    624
    Par défaut
    Citation Envoyé par Sandra Coret Voir le message
    Selon les données, les mots de passe tels que 123456 ou "qwerty" (...)
    Info qui enfonce encore des portes ouvertes.

    Leur conseil est donc de demander à des humains de mettre d'eux-mêmes des suites de plus de 12 caractères aléatoires impossibles à retenir pour leurs centaines de mots de passe. Demande complètement irréaliste.

    Ca ne sera JAMAIS un solution viable. Alors pourquoi continuer de faire des propositions sur des bases pourries !?

    Une base saine est de ne pas laisser d'humain écrire eux-mêmes leurs mots de passe (exemple : YubiKey)

  3. #3
    Membre émérite
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    785
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 785
    Points : 2 747
    Points
    2 747
    Par défaut
    J'aime bien passer des plombes à saisir mes mots-de-passe, et c'est encore mieux quand je fais une erreur. C'est pourquoi ils ne font jamais moins de 17 caractères parfois 40 pour l'interface des systèmes qui le permettent (trop rarement).

  4. #4
    Membre régulier
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    décembre 2021
    Messages
    49
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Consultant en Business Intelligence

    Informations forums :
    Inscription : décembre 2021
    Messages : 49
    Points : 87
    Points
    87
    Par défaut
    Bonjour,

    Que pensez-vous de ces données ?
    Chiffres interessants. C'est vertigineux comme proba.

    Selon vous, quel est le moyen le plus sûr pour conserver ses mots de passe en toute sécurité, sans avoir à tous les mémoriser ?
    La passphrase . Retenir 2 à 5 passphrases, puis pour les autres mdp "moins sensible", c'est que les applis ne sont pas utilisables depuis l’extérieur. Il reste le bloc note partagé

    Je dirai plutôt qu'il n'y a pas de politique "unique" .

    Le mieux étant de compléter les systèmes avec des tempos et séquençages d'essais. Au délà on se fait jeter après X essais infructueux.

  5. #5
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2017
    Messages
    1 091
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2017
    Messages : 1 091
    Points : 3 839
    Points
    3 839
    Par défaut
    il faudrait 34.000 ans pour craquer un code à 12 caractères différents
    C'est faux! Il faudrait 34.000 ans pour tester tous les cas possibles, nuance importante!

    Et rien n'empêche un hacker d'avoir de la chance et de trouver le mot-de-passe en question en 10 secondes!

    Impossible? Il y a bien des gagnants à la loterie qui touchent le gros lot!

  6. #6
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 303
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 303
    Points : 3 007
    Points
    3 007
    Par défaut
    le plus simple des mots de passe c'est une phrase tout betes.

  7. #7
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2008
    Messages
    452
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 452
    Points : 624
    Points
    624
    Par défaut
    Citation Envoyé par Anselme45 Voir le message
    C'est faux! Il faudrait 34.000 ans pour tester tous les cas possibles, nuance importante!
    ... avec la technologie actuelle.

    Dans 25 ans il suffira de 4 mois pour faire un calcul demandant 34 000 ans aujourd'hui (loi de Moore)

  8. #8
    Membre expérimenté

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    juin 2002
    Messages
    517
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : juin 2002
    Messages : 517
    Points : 1 547
    Points
    1 547
    Par défaut
    La sécurité tient autant au mot de passe qu'au système qui le vérifie.
    Pour rappel, un code carte bleu c'est 4 caractères et que des chiffres.

    Donc en plus des 12 caractères, il faut - à chaque fois que c'est possible - imposer une durée entre 2 essais.
    Déjà bloquer l'accès 1h ou 2h après 25 tentatives : soit c'est une attaques, soit il vaut mieux laisser l'utilisateur laisser reposer son cerveau (il va se rappeler tout seul qu'il a a changé son mot de passe avant-hier ou qu'il réalise qu'il est en majuscules).

    Mais même avant : le temps de réaliser qu'il y a eu un refus, de remettre le focus sur le champs de saisie, de taper son mot de passe, de cliquer sur valider, même un Jedi va mettre plus de 2 secondes. Obliger à une pause de 2 secondes entre 2 tentatives va être totalement transparente pour l'utilisateur, mais empêchera une attaque par force brut.

    Je ne comprend pas que ce genre de mesure ne soit pas systématique, partout où c'est possible.

    Citation Envoyé par 23JFK Voir le message
    J'aime bien passer des plombes à saisir mes mots-de-passe, et c'est encore mieux quand je fais une erreur. C'est pourquoi ils ne font jamais moins de 17 caractères parfois 40 pour l'interface des systèmes qui le permettent (trop rarement).
    C'est la quantité le problème.
    Pour certaines choses hyper sensible, comme mon e-mail principal qui permet de ré-initialiser tous les autres mots de passe , j'ai des mots de passe très long que je n'ai aucun mal à mémoriser ni à taper, même si je n'ai pas mon gestionnaire de mdp.

    A l'instant, je sors au hasard une BD de la bibliothèque qui est derrière moi : c'est un Thorgal : Les yeux de Tanatloc par Rosinski et Van Hamme.
    J'en fait
    TGL:LydT-R0V@
    14 caractères.
    Quand je les tape je récite mentalement le nom de la BD.
    Ca marche avec des romans, des films, le vers d'une chanson, une réplique culte (Lcçht.C'emàçq'olr).
    --
    vanquish

  9. #9
    Membre éprouvé

    Homme Profil pro
    Retraite
    Inscrit en
    octobre 2005
    Messages
    408
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 70
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Retraite

    Informations forums :
    Inscription : octobre 2005
    Messages : 408
    Points : 937
    Points
    937
    Billets dans le blog
    1
    Par défaut
    bonjour, ce n'est qu'une remarque.

    Un jour, on a voulu sécuriser un peu plus les mots de passe AS400, en conséquence nous avons à la base d'un algorithme généré des mots passe plus complexe.
    Résultat, ils ont copié les mots de passe sur divers supports et mis dans leurs tiroirs.
    Cela m'a laissé dubitatif.

  10. #10
    Membre confirmé
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    avril 2014
    Messages
    254
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2014
    Messages : 254
    Points : 465
    Points
    465
    Par défaut
    Citation Envoyé par 23JFK Voir le message
    J'aime bien passer des plombes à saisir mes mots-de-passe, et c'est encore mieux quand je fais une erreur. C'est pourquoi ils ne font jamais moins de 17 caractères parfois 40 pour l'interface des systèmes qui le permettent (trop rarement).
    Mot de passe aléatoire j’espère

    Déjà la longueur d'un mot de passe seul ça ne veut rien dire. Mets moi du 12 caractères aléatoire avec NTLM et je te craque ça en 5 minutes chrono via une bonne EC2 (j'avais craqué une base NTDS Active directory entière en quelques minutes sur AWS).

    Ce même mot de passe aléatoire en AES-256 et la c'est même pas la peine d'y penser. 34000 ans ou 1 milliards d'années ou 10 secondes, tout dépend de l'algorithme qu'il y a derrière, la longueur d'un mot de passe seul ne veut rien dire.

    Ensuite le mieux est de passer par un gestionnaire de mot de passe avec double authentification, avec un mot de passe maître de 14/16 caractères pas degueu.

  11. #11
    Membre confirmé
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    avril 2014
    Messages
    254
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2014
    Messages : 254
    Points : 465
    Points
    465
    Par défaut
    Citation Envoyé par JPLAROCHE Voir le message
    bonjour, ce n'est qu'une remarque.

    Un jour, on a voulu sécuriser un peu plus les mots de passe AS400, en conséquence nous avons à la base d'un algorithme généré des mots passe plus complexe.
    Résultat, ils ont copié les mots de passe sur divers supports et mis dans leurs tiroirs.
    Cela m'a laissé dubitatif.
    Si je vois ça je pète un plomb

  12. #12
    Membre averti

    Homme Profil pro
    Développeur informatique
    Inscrit en
    novembre 2013
    Messages
    207
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : novembre 2013
    Messages : 207
    Points : 390
    Points
    390
    Billets dans le blog
    2
    Par défaut La solution: Une clef physique
    La solution: Une clef physique (lecteur de carte, clé USB)

  13. #13
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2008
    Messages
    452
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 452
    Points : 624
    Points
    624
    Par défaut
    Citation Envoyé par JPLAROCHE Voir le message
    (...) Résultat, ils ont copié les mots de passe sur divers supports et mis dans leurs tiroirs.
    Ne pas s'attendre à ce résultat c'est méconnaître grandement l'humain. Aucunes solutions laissant taper les mots de passe par des humains ne peuvent être viables car ça finit toujours par quelque chose de similaire.

  14. #14
    Membre émérite
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    785
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 785
    Points : 2 747
    Points
    2 747
    Par défaut
    Citation Envoyé par tabouret Voir le message
    Mot de passe aléatoire j’espère ...
    Bien sûr, faut bien faire travailler sa mémoire. La longueur d'un mot de passe peut par ailleurs empêcher quelqu'un de retenir votre séquence en regardant par dessus votre épaule. Pour ce qui concerne leur crackage, cela dépend de l'algo employé, mais si le code de validation prend en compte la longueur du mot de passe ou plusieurs hashcodes de recombinaisons du mdp ,et pas seulement un hashcode unique, il vous faudra une bonne cafetière pour tenir les milliers d'années nécessaire au crackage.

  15. #15
    Membre expérimenté

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    juin 2002
    Messages
    517
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : juin 2002
    Messages : 517
    Points : 1 547
    Points
    1 547
    Par défaut
    Citation Envoyé par Aiekick Voir le message
    le plus simple des mots de passe c'est une phrase tout betes.
    Il faut quand même faire attention.
    Il y a des attaques par dictionnaire.
    Un mot de passe de 6 mots (réel) n'est pas très loin d'un mot de passe de 6 caractères.
    J'exagère un peu, car il y a plus de mots que de lettre de l'alphabet, mais comme c'est la longueur qui donne la force, ça ne fait pas un mot de passe très solide.

    Les titres de films, par exemple, sont une catastrophe, même si vous remplacez les "a" part des "@".

    Il y a la solution des Freebox qui sont livrées avec une clé Wifi constitué de mots qui n'existe pas. Une suite de syllabes.
    Avec un peu d'effort, ça se retient.
    --
    vanquish

Discussions similaires

  1. La force du mot de passe serait corrélée au genre d'un individu
    Par Cedric Chevalier dans le forum Actualités
    Réponses: 41
    Dernier message: 19/11/2013, 14h09
  2. Calculer la force d'un mot de passe
    Par zarohn dans le forum Sécurité
    Réponses: 13
    Dernier message: 24/05/2010, 01h14
  3. Champ mot de passe forcé à 8 carctères
    Par DjChat dans le forum Général JavaScript
    Réponses: 5
    Dernier message: 12/06/2008, 16h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo