Discussion :

[Stéphane le calme]

Journée mondiale du mot de passe : Microsoft, Samsung, Intel Security et d'autres
célèbrent l'édition 2014

Microsoft s’est joint à des entreprises comme Samsung, Acer, Toshiba, pour célébrer l’édition 2014 de la journée mondiale du mot de passe. Elle se déroule dans un contexte un peu particulier puisqu’elle est marquée par la faille Heartbleed. D’ailleurs, la page d’accueil du site consacré à l’évènement ne manquera pas de le rappeler : « certains sites web sont encore affectés par Heartbleed. »

Lancée par Intel Security, l’objectif de cette initiative qui fédère des acteurs comme LastPass, Samsung ou encore Help Net Security, est de sensibiliser le grand public sur l’importance du mot de passe.

D’entrée de jeu, le site indique que « 90% des mots de passe sont vulnérables » mais qu’il faut « 5 minutes pour qu'un mot de passe facile à pirater devienne impossible à craquer » avant de proposer un formulaire qui aura pour but de tester la robustesse de son mot de passe. Quand l’utilisateur entrera son mot de passe, un indicateur lui fera savoir s’il est faible, moyen, fort ou meilleur.

Par la suite, divers conseils sont prodigués : par exemple le site conseille d’insérer des chiffres à un endroit logique, d’éviter les mots de passe à un terme parce qu’ils sont faciles à pirater, d’ajouter des mots pour le rendre plus long, d’ajouter des espaces, de la ponctuation, des chiffres …

Le site note également les habitudes à proscrire comme ne pas utiliser de dates ou d’autres informations publiées en ligne, il propose d'utiliser des mots de passe différents pour la banque en ligne, l’email et d’autres sites, de modifier régulièrement ses mots de passe, de ne pas révéler ses mots de passe sans réfléchir ou encore de préférer la longueur à la complexité.
En somme, le site fournira quelques bonnes recettes pour mieux protéger ses comptes en ligne

Source : site officiel

Et vous ?

Que pensez-vous de cette initiative ?

[Paul TOTH]

Que pensez-vous de cette initiative ?

que je n'entrerais JAMAIS mes mots de passe sur un site proposant d'en tester la robustesse ! déjà que je les confies à mon navigateur, il n'est pas nécessaire qu'un site tiers puisse les connaitre et les tester sur mon compte facebook, viadeo, developpez, mes messageries, etc...

[asxProtmp]

que je n'entrerais JAMAIS mes mots de passe sur un site proposant d'en tester la robustesse ! déjà que je les confies à mon navigateur, il n'est pas nécessaire qu'un site tiers puisse les connaitre et les tester sur mon compte facebook, viadeo, developpez, mes messageries, etc...

LOL si tu envoies pas un formulaire ils peuvent pas le récupérer. Ya un site ou tu mets ton mot de passe dans un champ et il te dit automatiquement sans cliquer sur un bouton envoyer si ton mot de passe est robuste ou pas.

Si c'est que du javascript c'est executé sur ta machine donc pas de problèmes lol. En plus je m'y connais en javascript je sais de quoi je parle.

[gangsoleil]

LOL si tu envoies pas un formulaire ils peuvent pas le récupérer.

Tu veux dire que si je ne cliques pas sur "envoyer", il est impossible de recuperer chaque lettre que je tape ?

Donc lorsque je vais dans google et qu'il propose des mots/phrases, c'est tout exécuté en local sur mon ordinateur, et il n'y a absolument rien qui part vers leur serveur ?

[asxProtmp]

Tu veux dire que si je ne cliques pas sur "envoyer", il est impossible de recuperer chaque lettre que je tape ?

Donc lorsque je vais dans google et qu'il propose des mots/phrases, c'est tout exécuté en local sur mon ordinateur, et il n'y a absolument rien qui part vers leur serveur ?

Ben oui c'est google qui a enregistré dans des cookies ça ... étonnant que tu ne saches pas ça

[gangsoleil]

Ben oui c'est google qui a enregistré dans des cookies ça ... étonnant que tu ne saches pas ça

bon, tu veux raconter, libre a toi. Mais essaye d'etre plus ingenieux que ca. Je sais pas, tu aurais pu dire que oui, tout cela etait dans une base de donnee bien lourde qui est installee par defaut dans tous les OS, avec le code qui envoie tout ce que tu saisies et tout ce que tu regardes a la NSA. Car oui, ils peuvent te filmer sans meme que tu aies une webcam, grace aux pixels de l'ecran.

La oui, ca part bien.

[Simara1170]

@GangSoleil: laisse tomber, c'est un troll... Même pas drôle en plus...

@Mr.Troll : et sinon AJAX ça te parles... Et pourtant, j'suis loin d'être bon en progra' web...

EDIT: 'tain, mais c'est vraiment une burne ce type

[asxProtmp]

@GangSoleil: laisse tomber, c'est un troll... Même pas drôle en plus...

@Mr.Troll : et sinon AJAX ça te parles... Et pourtant, j'suis loin d'être bon en progra' web...

EDIT: 'tain, mais c'est vraiment une burne ce type

Hum connais pas ça ne doit pas être beaucoup utilisé ... Javascript c'est exécute sur ta machine donc je viens de regardé ajax c'est du javascript donc c'est sur ta machine ...

Arrête de raconter n'importe quoi ... Surtout quand tu ne sais pas de quoi tu parles.

[Simara1170]

'tain, mais c'est vraiment une burne ce type

[Jarodd]

Le premier principe pour la sécurité d'un mot de passe est de ne JAMAIS le divulguer. Donc ces sites ne le respectent même pas ! C'est même idéal pour faire un site de phising qui se fera passer pour eux, et tout enregistrer

LOL si tu envoies pas un formulaire ils peuvent pas le récupérer. Ya un site ou tu mets ton mot de passe dans un champ et il te dit automatiquement sans cliquer sur un bouton envoyer si ton mot de passe est robuste ou pas.

Si c'est que du javascript c'est executé sur ta machine donc pas de problèmes lol. En plus je m'y connais en javascript je sais de quoi je parle.

LOL aussi, tu connais Javascript mais apparemment pas AJAX ? C'est tout-à-fait possible d'enregistrer ce qui est tapé dans la textbox, à chaque caractère entré. Par exemple pour une auto-complétion, il faut bien un appel serveur pour remontrer ce qui commence par ta saisie non ? Donc si on fait de la lecture en BDD, pourquoi pas de l'écriture ? Ou alors si ton poste en local, tu as toutes les saisies possibles sur la recherche Google

Edit : bon je ne suis pas le seul à avoir tiqué sur cette anerie

[asxProtmp]

Parce qu'on appelle ça un keylogger et c'est interdit de faire ça

[Jarodd]

Parce qu'on appelle ça un keylogger et c'est interdit de faire ça

C'est une caméra cachée c'est ça ?

Allez un petit exemple : va ici, ouvre Firebug (onglet Console), et tape une recherche. Tu verras ce qui se passe. chez moi l'appel se fait en GET sur https://www.google.fr/, si c'est toi il est fait sur ton localhost, c'est que tu bosses chez Google

[Daïmanu]

Bonne initiative qui mérite d'être connue.

Néanmoins, il y a une habitude qui n'est pas mentionnée et qui, d'après moi, est une bonne chose à faire, c'est d'écrire ses différents mot de passe sur papier.
C'est pratique quand certains sites nous imposent des mdp soit-disant plus sûrs mais qu'on oublie très rapidement ou bien qu'on a beaucoup de mdp différents.

[Alvaten]

Néanmoins, il y a une habitude qui n'est pas mentionnée et qui, d'après moi, est une bonne chose à faire, c'est d'écrire ses différents mot de passe sur papier.

J'espère que c'est un troll du vendredi !

[Daïmanu]

J'espère que c'est un troll du vendredi !

Même pas.
J'aurais du préciser que ça ne se fait évidement pas partout. Personnellement je ne le fais que chez moi pour des raisons évidentes.

[gangsoleil]

C'est une initiative louable, mais qui va en entendre parler ? Les professionnels, qui sont deja un public tres sensibilisé a la chose.

[vanquish]

Bonne initiative, qui j'en ai peur passe inaperçu auprès du public visé.

De plus la robustesse d'un mot de passe tient aussi beaucoup au système qui le reçoit.

Le mot de passe d'une carte bleu, c'est 4 caractères et que des chiffres et pourtant, il n'est pas facile à craquer pour autant.

Et vous avez beau avoir un mot de passe "l0ng comme le Br@s", si le système propose une question secrète du type "nom de jeune fille de votre mère", ou un système comme Yahoo qui réattribue les boites mails à d'autres utilisateurs, vos données sont-elle réellement en sécurité ?

Il faut donc aussi s'assurer de la politique qui a été mis en place coté serveur ( blocage des comptes après essais infructueux, blocage des adresses IP, délais entre 2 tentatives, solidité du système de récupération/réinitialisation etc .)

[MarieKisSlaJoue]

Et vous avez beau avoir un mot de passe "l0ng comme le Br@s", si le système propose une question secrète du type "nom de jeune fille de votre mère", ou un système comme Yahoo qui réattribue les boites mails à d'autres utilisateurs, vos données sont-elle réellement en sécurité ?

La sécurité d'un compte ne doit pas reposé exclusivement sur le mdp. En plus d'un mdp fort on conseil aussi d'utiliser des adresses mails dédié et/ou de ne pas la révéler. Pour la question secrète il est aussi conseillé de mettre une réponse qui n'a pas de rapport avec la question. C'est un peu un double mdp. Moi je sais que les question comme ça je les prend au pif. J'ai ma réponse dont je suis sur de me souvenir. Et ça marche plutôt bien.

Par contre j'suis d'accord que la cible du message n'est pas atteinte avec ce genre de journée.

[ChrisPM]

Il suffit d'ouvrir les outils de développement du navigateur (ça se trouve dans firefox, chrome et même IE), onglet réseau, pour voir si un site fait des requêtes AJAX vers un serveur lorsqu'on tape du texte.
Les requêtes AJAX sont assez rapides pour qu'on ne se rende pas compte qu'il y a une communication avec un serveur. Et peuvent être totalement transparentes également.

[dany02]

Salut,
Moi franchement les gars, je ne suis pas un geek en info mais j'ai utilisé Lastpass depuis un temps et il me correspond bien. Avec tous les comptes qu'on doit gérer de nos temps (réseaux sociaux, mail, compte en ligne...) et j'avoue que non seulement je n'ai pas la mémoire à ça, mais je n'ai vraiment plus le temps.
Bref, c'est une extension capable de générer de mots de passes plus que forts, cryptés à AES 256 sur ma machine et accessible partout ou je vais.
Mais j'ai quand même gardé tous mes MDP ailleurs, sur un support physique au cas ou...