IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La force globale d'un mot de passe augmente de manière exponentielle à l'ajout d'un caractère supplémentaire


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2018
    Messages
    2 132
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mai 2018
    Messages : 2 132
    Points : 158 207
    Points
    158 207
    Par défaut La force globale d'un mot de passe augmente de manière exponentielle à l'ajout d'un caractère supplémentaire
    La force globale d'un mot de passe augmente de manière exponentielle à l'ajout d'un caractère supplémentaire, il faudrait 34.000 ans pour craquer un code à 12 caractères différents

    La société de recherche de données en ligne Statista a partagé un graphique, basé sur les données de SecurityOrg, sur la façon dont l'ajout de différentes lettres à un mot de passe peut le rendre presque impossible à craquer.

    Selon les données, les mots de passe tels que 123456 ou "qwerty", qui sont deux des mots de passe les plus utilisés dans le monde, ne devraient plus être privilégiés par personne. Les chercheurs ont ajouté qu'en comparaison avec ces deux mots de passe, si un utilisateur décide de créer un code d'accès unique et fort, celui-ci pourrait même être craqué par un ordinateur programmé travaillant systématiquement dans le seul but de le casser.

    Les spécialistes de SecurityOrg ont partagé quelques informations utiles. D'après leurs données, si un utilisateur ajoute une seule lettre majuscule à son code d'accès, la force globale de celui-ci peut être modifiée de manière exponentielle. Un code d'accès à 8 chiffres peut être détruit par un ordinateur en 22 minutes seulement. Auparavant, si l'utilisateur n'avait pas utilisé la lettre majuscule, l'ordinateur aurait pu accomplir la tâche en une seconde seulement. De se faire craquer en une seconde à ajouter 22 minutes au temps, voilà ce que peut faire une majuscule supplémentaire.

    Même un délai de 22 minutes est inacceptable, et un tel mot de passe n'est pas considéré comme fiable. Si une minuscule est ajoutée au mot de passe, la force est à nouveau multipliée, et maintenant le temps est étiré de 22 minutes à 60 minutes. Si un symbole supplémentaire est également ajouté, le temps nécessaire augmentera de 8 heures.

    Nom : statista.png
Affichages : 4028
Taille : 407,4 Ko

    L'ajout de lettres majuscules et minuscules, de chiffres et de symboles pourrait prendre des années pour être craqué par un système programmé. Un mot de passe basé sur 12 caractères et comportant tous ces caractères différents pourrait prendre près de 34 000 ans à être craqué.

    Avec chaque caractère supplémentaire du mot de passe, le nombre de combinaisons change à un rythme exponentiel. Un code à 8 chiffres avec des lettres minuscules comporte deux cent neuf combinaisons différentes, et si une majuscule est ajoutée, le mot de passe compte désormais 53 400 milliards de possibilités différentes. Ensuite, si un chiffre est ajouté, la possibilité est maintenant de 1 sur 218 000 milliards de cas. Enfin, si un utilisateur décide d'ajouter également un symbole, le mot de passe aura 430 000 milliards de possibilités différentes.

    Source : Statista

    Et vous ?

    Que pensez-vous de ces données ? sont-elles pertinentes ?
    Selon vous, quel est le moyen le plus sûr pour conserver ses mots de passe en toute sécurité, sans avoir à tous les mémoriser ?

    Voir aussi :

    Six personnes sur dix se fient à leur mémoire pour gérer efficacement leurs mots de passe, une approche incorrecte et préoccupante, selon une étude menée par Bitwarden

    Pourquoi les outils d'analyse de mot de passe sont inefficaces face aux comportements humains ? Par Patrick Tilley, Product Security Engineer, chez Pathwire

    Plus de la moitié des employés écrivent leurs mots de passe liés au travail sur des post-it, ce qui entraîne un risque important pour la cybersécurité, selon Keeper Security

    Cybersécurité : 66 statistiques sur les mots de passe qui vont changer vos habitudes en ligne, par Panda Security
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Profil pro
    Inscrit en
    Avril 2008
    Messages
    467
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2008
    Messages : 467
    Points : 681
    Points
    681
    Par défaut
    Citation Envoyé par Sandra Coret Voir le message
    Selon les données, les mots de passe tels que 123456 ou "qwerty" (...)
    Info qui enfonce encore des portes ouvertes.

    Leur conseil est donc de demander à des humains de mettre d'eux-mêmes des suites de plus de 12 caractères aléatoires impossibles à retenir pour leurs centaines de mots de passe. Demande complètement irréaliste.

    Ca ne sera JAMAIS un solution viable. Alors pourquoi continuer de faire des propositions sur des bases pourries !?

    Une base saine est de ne pas laisser d'humain écrire eux-mêmes leurs mots de passe (exemple : YubiKey)

  3. #3
    Membre expert
    Profil pro
    undef
    Inscrit en
    Février 2013
    Messages
    957
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : Février 2013
    Messages : 957
    Points : 3 523
    Points
    3 523
    Par défaut
    J'aime bien passer des plombes à saisir mes mots-de-passe, et c'est encore mieux quand je fais une erreur. C'est pourquoi ils ne font jamais moins de 17 caractères parfois 40 pour l'interface des systèmes qui le permettent (trop rarement).

  4. #4
    Invité
    Invité(e)
    Par défaut
    Bonjour,

    Que pensez-vous de ces données ?
    Chiffres interessants. C'est vertigineux comme proba.

    Selon vous, quel est le moyen le plus sûr pour conserver ses mots de passe en toute sécurité, sans avoir à tous les mémoriser ?
    La passphrase . Retenir 2 à 5 passphrases, puis pour les autres mdp "moins sensible", c'est que les applis ne sont pas utilisables depuis l’extérieur. Il reste le bloc note partagé

    Je dirai plutôt qu'il n'y a pas de politique "unique" .

    Le mieux étant de compléter les systèmes avec des tempos et séquençages d'essais. Au délà on se fait jeter après X essais infructueux.

  5. #5
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2017
    Messages
    1 757
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2017
    Messages : 1 757
    Points : 5 663
    Points
    5 663
    Par défaut
    il faudrait 34.000 ans pour craquer un code à 12 caractères différents
    C'est faux! Il faudrait 34.000 ans pour tester tous les cas possibles, nuance importante!

    Et rien n'empêche un hacker d'avoir de la chance et de trouver le mot-de-passe en question en 10 secondes!

    Impossible? Il y a bien des gagnants à la loterie qui touchent le gros lot!

  6. #6
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 537
    Points : 3 909
    Points
    3 909
    Par défaut
    le plus simple des mots de passe c'est une phrase tout betes.

  7. #7
    Membre éclairé
    Profil pro
    Inscrit en
    Avril 2008
    Messages
    467
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2008
    Messages : 467
    Points : 681
    Points
    681
    Par défaut
    Citation Envoyé par Anselme45 Voir le message
    C'est faux! Il faudrait 34.000 ans pour tester tous les cas possibles, nuance importante!
    ... avec la technologie actuelle.

    Dans 25 ans il suffira de 4 mois pour faire un calcul demandant 34 000 ans aujourd'hui (loi de Moore)

  8. #8
    Membre chevronné

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    Juin 2002
    Messages
    598
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : Juin 2002
    Messages : 598
    Points : 2 016
    Points
    2 016
    Par défaut
    La sécurité tient autant au mot de passe qu'au système qui le vérifie.
    Pour rappel, un code carte bleu c'est 4 caractères et que des chiffres.

    Donc en plus des 12 caractères, il faut - à chaque fois que c'est possible - imposer une durée entre 2 essais.
    Déjà bloquer l'accès 1h ou 2h après 25 tentatives : soit c'est une attaques, soit il vaut mieux laisser l'utilisateur laisser reposer son cerveau (il va se rappeler tout seul qu'il a a changé son mot de passe avant-hier ou qu'il réalise qu'il est en majuscules).

    Mais même avant : le temps de réaliser qu'il y a eu un refus, de remettre le focus sur le champs de saisie, de taper son mot de passe, de cliquer sur valider, même un Jedi va mettre plus de 2 secondes. Obliger à une pause de 2 secondes entre 2 tentatives va être totalement transparente pour l'utilisateur, mais empêchera une attaque par force brut.

    Je ne comprend pas que ce genre de mesure ne soit pas systématique, partout où c'est possible.

    Citation Envoyé par 23JFK Voir le message
    J'aime bien passer des plombes à saisir mes mots-de-passe, et c'est encore mieux quand je fais une erreur. C'est pourquoi ils ne font jamais moins de 17 caractères parfois 40 pour l'interface des systèmes qui le permettent (trop rarement).
    C'est la quantité le problème.
    Pour certaines choses hyper sensible, comme mon e-mail principal qui permet de ré-initialiser tous les autres mots de passe , j'ai des mots de passe très long que je n'ai aucun mal à mémoriser ni à taper, même si je n'ai pas mon gestionnaire de mdp.

    A l'instant, je sors au hasard une BD de la bibliothèque qui est derrière moi : c'est un Thorgal : Les yeux de Tanatloc par Rosinski et Van Hamme.
    J'en fait
    TGL:LydT-R0V@
    14 caractères.
    Quand je les tape je récite mentalement le nom de la BD.
    Ca marche avec des romans, des films, le vers d'une chanson, une réplique culte (Lcçht.C'emàçq'olr).
    --
    vanquish

  9. #9
    Membre expérimenté

    Homme Profil pro
    Retraite
    Inscrit en
    Octobre 2005
    Messages
    477
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Retraite
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2005
    Messages : 477
    Points : 1 332
    Points
    1 332
    Billets dans le blog
    1
    Par défaut
    bonjour, ce n'est qu'une remarque.

    Un jour, on a voulu sécuriser un peu plus les mots de passe AS400, en conséquence nous avons à la base d'un algorithme généré des mots passe plus complexe.
    Résultat, ils ont copié les mots de passe sur divers supports et mis dans leurs tiroirs.
    Cela m'a laissé dubitatif.

  10. #10
    Membre éprouvé
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    Avril 2014
    Messages
    498
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2014
    Messages : 498
    Points : 1 178
    Points
    1 178
    Par défaut
    Citation Envoyé par 23JFK Voir le message
    J'aime bien passer des plombes à saisir mes mots-de-passe, et c'est encore mieux quand je fais une erreur. C'est pourquoi ils ne font jamais moins de 17 caractères parfois 40 pour l'interface des systèmes qui le permettent (trop rarement).
    Mot de passe aléatoire j’espère

    Déjà la longueur d'un mot de passe seul ça ne veut rien dire. Mets moi du 12 caractères aléatoire avec NTLM et je te craque ça en 5 minutes chrono via une bonne EC2 (j'avais craqué une base NTDS Active directory entière en quelques minutes sur AWS).

    Ce même mot de passe aléatoire en AES-256 et la c'est même pas la peine d'y penser. 34000 ans ou 1 milliards d'années ou 10 secondes, tout dépend de l'algorithme qu'il y a derrière, la longueur d'un mot de passe seul ne veut rien dire.

    Ensuite le mieux est de passer par un gestionnaire de mot de passe avec double authentification, avec un mot de passe maître de 14/16 caractères pas degueu.

  11. #11
    Membre éprouvé
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    Avril 2014
    Messages
    498
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2014
    Messages : 498
    Points : 1 178
    Points
    1 178
    Par défaut
    Citation Envoyé par JPLAROCHE Voir le message
    bonjour, ce n'est qu'une remarque.

    Un jour, on a voulu sécuriser un peu plus les mots de passe AS400, en conséquence nous avons à la base d'un algorithme généré des mots passe plus complexe.
    Résultat, ils ont copié les mots de passe sur divers supports et mis dans leurs tiroirs.
    Cela m'a laissé dubitatif.
    Si je vois ça je pète un plomb

  12. #12
    Membre confirmé

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Novembre 2013
    Messages
    336
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : Novembre 2013
    Messages : 336
    Points : 531
    Points
    531
    Billets dans le blog
    2
    Par défaut La solution: Une clef physique
    La solution: Une clef physique (lecteur de carte, clé USB)

  13. #13
    Membre éclairé
    Profil pro
    Inscrit en
    Avril 2008
    Messages
    467
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2008
    Messages : 467
    Points : 681
    Points
    681
    Par défaut
    Citation Envoyé par JPLAROCHE Voir le message
    (...) Résultat, ils ont copié les mots de passe sur divers supports et mis dans leurs tiroirs.
    Ne pas s'attendre à ce résultat c'est méconnaître grandement l'humain. Aucunes solutions laissant taper les mots de passe par des humains ne peuvent être viables car ça finit toujours par quelque chose de similaire.

  14. #14
    Membre expert
    Profil pro
    undef
    Inscrit en
    Février 2013
    Messages
    957
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : Février 2013
    Messages : 957
    Points : 3 523
    Points
    3 523
    Par défaut
    Citation Envoyé par tabouret Voir le message
    Mot de passe aléatoire j’espère ...
    Bien sûr, faut bien faire travailler sa mémoire. La longueur d'un mot de passe peut par ailleurs empêcher quelqu'un de retenir votre séquence en regardant par dessus votre épaule. Pour ce qui concerne leur crackage, cela dépend de l'algo employé, mais si le code de validation prend en compte la longueur du mot de passe ou plusieurs hashcodes de recombinaisons du mdp ,et pas seulement un hashcode unique, il vous faudra une bonne cafetière pour tenir les milliers d'années nécessaire au crackage.

  15. #15
    Membre chevronné

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    Juin 2002
    Messages
    598
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : Juin 2002
    Messages : 598
    Points : 2 016
    Points
    2 016
    Par défaut
    Citation Envoyé par Aiekick Voir le message
    le plus simple des mots de passe c'est une phrase tout betes.
    Il faut quand même faire attention.
    Il y a des attaques par dictionnaire.
    Un mot de passe de 6 mots (réel) n'est pas très loin d'un mot de passe de 6 caractères.
    J'exagère un peu, car il y a plus de mots que de lettre de l'alphabet, mais comme c'est la longueur qui donne la force, ça ne fait pas un mot de passe très solide.

    Les titres de films, par exemple, sont une catastrophe, même si vous remplacez les "a" part des "@".

    Il y a la solution des Freebox qui sont livrées avec une clé Wifi constitué de mots qui n'existe pas. Une suite de syllabes.
    Avec un peu d'effort, ça se retient.
    --
    vanquish

Discussions similaires

  1. La force du mot de passe serait corrélée au genre d'un individu
    Par Cedric Chevalier dans le forum Actualités
    Réponses: 41
    Dernier message: 19/11/2013, 14h09
  2. Calculer la force d'un mot de passe
    Par zarohn dans le forum Sécurité
    Réponses: 13
    Dernier message: 24/05/2010, 01h14
  3. Champ mot de passe forcé à 8 carctères
    Par DjChat dans le forum Général JavaScript
    Réponses: 5
    Dernier message: 12/06/2008, 16h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo