Discussion :

[Neckara]

mes phrases pass sont des vers de poémes ou passage de livres agrementés de majuscules et signes.

Donc tes mots de passes peuvent être vu comme un triplet (livre, position dans le livre, longueur) avec quelques modifications ?

Maintenant, est-ce que tu emmènes toute ta bibliothèque à ton travail (ou travail dans/à proximité d'une bibliothèque) ?
Dans tous les cas, je ne pense pas que tu ai plus de 10 livres sur ton bureau (?).

Un livre de 100 pages, on va dire 31 lignes par pages et 59 caractères par pages. ~182 900 position de départ possible.
La longueur, on va dire entre 14 et 32 caractères, donc 18 longueurs possibles.

10 * 182 900 * 18 = 32 922 000 possibilités ~= 2^25. C'est vraiment faible, cela correspond presque à un mot de passe de 4 caractères. Tu peux augmenter le nombre de livre ou le nombre de pages, cela reste faible.
Bon, tu ajoutes quelques modifications, mais je ne pense pas que cela pose un si gros problème.

Encore que… pour peu que tu laisses ton livre ouvert à une certaine page, ou y ai laissé un marque-page/des marques.
C'est mieux qu'un post-it, mais ton livre te trahis. De plus, comment fais-tu pour te rappeler du livre, de la position et de la longueur ainsi que les modifications ? Est-ce que tu stockes ces informations quelque part ?

[glad33bx]

Pour un Hacker, craquer un mot de passe de 8 caractères, du style 4 lettres, 4 chiffres, 1 majuscule prend.... 10 secondes
Donc pour complexifier, il faut + que 8 caractères, des signes pas forcément présents sur le clavier (accessible via ALT + un chiffre), et des caractères de ponctuations ou autres

[Town Ground]

ça devient délirant.... Pour ce qui est des mots de passe de boîtes mails, et tout les mots de passe envoyés par internet sous protocole "sécurisé" 128 bits, Microsoft estime à environ 72 jours la durée de vie d'un mot de passe aussi fort soit-il face à ... un simple hacker.

Pour ce qui est du "chiffrement" (je conseillerai de voir la signification de "chifro" en portugais et donc de "chifrudo"), un caractère est un octet. Tout algorithme aussi complexe soit-il fonctionne par le remplacement d'un octet par un autre en fonction d'une suite d'octets nommés "code". Que ce code soit obtenu par l'entrée directe de celui-ci, par les mouvements de sa souris, par l'horloge de l'ordinateur, etc.

Par ailleurs il y a une règle en cryptologie (ou dois-je dire "chiffrologie"?): "un bon algorithme de chiffrement est celui qui peut être connu de tous sans que cela ne porte préjudice". Inversement donc un algorithme complexe, car si un informaticien maîtrise de facto les algos il ne connaît pas forcément les mathématiques, donc pouvant être vérifié et vérifiable niveau sécurité par personne ou peu de gens de par sa complexité est lui peu sûr.

Un exemple? Des chercheurs ont déjà mis au point des méthodes utilisant les mathématiques issues des théories de la physique moderne du "hasard" et du "chaos". Or, justement, ça pourrait à première vue sembler sûr par les explications apportées par ces théories. Néanmoins dois-je signaler que dans ces deux théories "une cause unique peut provoquer des conséquences diverses de même que des causes diverses peuvent provoquer une conséquence identique"!!!

Cela signifie de facto qu'il n'y a pas, avec ces algorithmes, que mon mot de passe à moi qui peut servir à décrypter un fichier, mais qu'éventuellement un autre mot de passe totalement différent le peu aussi.

Enfin, il n'y a dans l'histoire de la cryptographie et de la cryptologie, qu'un seul et unique document au monde réputé n'avoir jusqu'à présent jamais été cassé, c'est un codex dont je ne me souvient plus du nom maintenant, et qui date du Moyen-Âge. On penserait dans le milieu que en conséquence il s'agirait... d'un faux livre ne contenant que des suites de signes écrits au hasard...

[danyclassique]

D'un autre cote maintenant que cela est publie a cette echelle , il risque d'y avoir une tonne de personnes voulant utiliser cette technique et donc , les devs mal intentionnes pourraient vouloir ecrire un hack du style
5 ou 6 puissance nombre total mots dictionnaire avec comparaison a chaque iteration et coupage de chaine de caractere

biensur c'est de l'abstrait mais il y a bien un risque

[Neckara]

Pour ce qui est du "chiffrement" (je conseillerai de voir la signification de "chifro" en portugais et donc de "chifrudo")

??

un caractère est un octet.

Non. On l'associe à un ou plusieurs octets suivant le code utilisé (Latin1, UTF-8, UTF-16, ASCII, …).

Tout algorithme aussi complexe soit-il fonctionne par le remplacement d'un octet par un autre en fonction d'une suite d'octets nommés "code".

Non, non, non.

Le code (codage de caractère), c'est associer à un caractère une suite d'octet (=un ou plusieurs), ie la représentation informatique de ton caractère (ex. Latin-1, UTF-8).
Bon, on a aussi le codage de canal (résistant aux altérations) et le codage de source (compression), mais rien à voir avec le chiffrement.
Le codage, c'est juste une problématique de représentation.

Pour chiffrer, on a généralement deux types :

• par flux, on chiffre bit par bit, c'est généralement un xor avec une suite de bit pseudo-aléatoire ;
• par bloc, on chiffre bloc d'octet par bloc d'octet, 16 octet pour l'AES.

Inversement donc un algorithme complexe

Cela veut dire quoi un "algorithme complexe" ?

car si un informaticien maîtrise de facto les algos il ne connaît pas forcément les mathématiques

N'exagérons pas non plus, il y a des cours de maths dans le cursus d'ingénieur informatique et de master informatique.
Peut-être moins avancé que des fac de maths, mais de là dire qu'un "informaticien ne connaît pas forcément les mathématique"…
Il faudra me dire comment un informaticien est censé calculer la complexité en temps et en mémoire de l'algorithme, prouver qu'il termine, prouver qu'il fait ce qu'on lui demande sans les maths.
Il faudra me dire comment un informaticien fait pour utiliser des algorithmes probabilistes sans maths.
Il faudra me dire comment un informaticien fait pour faire des manipulations d'images ou de signal sans maths.

Je bouffe déjà suffisamment de maths, alors ne venez pas dire qu'on ne "connaît pas forcément les mathématique"

Cela signifie de facto qu'il n'y a pas, avec ces algorithmes, que mon mot de passe à moi qui peut servir à décrypter un fichier, mais qu'éventuellement un autre mot de passe totalement différent le peu aussi.

Ouais, comme avec les hashs.

[sekaijin]

Une étude anglaise il y a quelques années est arrivée à une conclusion étonnante, quoique très logique.

Ils ont soumis à des tests de robustesse des systèmes protégés par de nombreuses personnes par mot de passe.

Le premier résultat qui parait évident est que les mots de passe les plus simples étaient utilisés sur les systèmes pour lesquels aucune règle n'est présente.

Le second résultat est lui aussi assez évident. Les mots de passe les plus complexes étaient utilisés sur les systèmes pour lesquels aucune règle n'est présente.

Le troisième résultat est que tous les systèmes pour lesquels des règles d'écriture de mots de passe ont été mises en place ont moins bien résisté. C.-À-D. un plus grand nombre voire la totalité, des mots de passe n'ont pas résisté.

Ce troisième point finalement s'explique assez simplement. Lorsque le système qui tente de découvrir les mots de passe attaque un système avec ces règles, il finit par déduire la ou les règles et devient donc capable de mieux les cibler.

D'après ces chercheurs le meilleur moyen de résister serait donc lors de l'ajout d'un nouveau mot de passe de passer un test complet pour éliminer d'éventuels mots de passe trop simples ou ayant une corrélation (permettent de déduire une règle). On obtient ainsi un système robuste reposant sur l'imagination humaine.
Mais tout cela reste théorique, car dans la vraie vie, l'expérience au quotidien montre que les gens en la matière n'ont pas beaucoup d'imagination.

Reste le problème de la mémorisation. Qui lui tend à montrer qu'utiliser un mot de passe est en soit une faille de sécurité! Il serait bon donc lorsque cela est possible d'utiliser d'autre moyen. Mais pour le commun des mortels, ce n'est plus du tout évident.

A+JYT

[Iradrille]

Le troisième résultat est que tous les systèmes pour lesquels des règles d'écriture de mots de passe ont été mises en place ont moins bien résisté. C.-À-D. un plus grand nombre voire la totalité, des mots de passe n'ont pas résisté.

Pas étonnant, je suis sur que la grande majorité des passwords utilisés sur les sites qui demandent 8 à 16 caractères, 1 minuscule, 1 majuscule, 1 chiffre (ce qu'on trouve un peu partout...) sont composés de 8 caractères dont 6 minuscules, 1 majuscule, 1 chiffre.

Si tu retrouve l'étude en question, je prend.

[Zirak]

??
Il faudra me dire comment un informaticien est censé calculer la complexité en temps et en mémoire de l'algorithme, prouver qu'il termine, prouver qu'il fait ce qu'on lui demande sans les maths.
Il faudra me dire comment un informaticien fait pour utiliser des algorithmes probabilistes sans maths.
Il faudra me dire comment un informaticien fait pour faire des manipulations d'images ou de signal sans maths.

Bah c'est simple, tous les informaticiens n'ont pas forcément ce genre de choses à faire...

Toi tu peux certes travailler dans un domaine qui demande une maitrise des math, mais c'est n'est pas le cas pour 100% des informaticiens (ou pas forcément sur 100% de leur carrière).

Enfin perso, j'ai eu 0 cours de math pendant ma formation (mais je ne suis que BAC+3), et cela ne m'empêche pas de bosser.


@Town Ground
Sinon le manuscrit jamais déchiffré, c'est le manuscrit de Voynich (et c'est d'actualité aujourd'hui, avec les 200 ans de la naissance de Boole, puisque Voynich était son gendre ).

https://fr.wikipedia.org/wiki/Manuscrit_de_Voynich

[Neckara]

Toi tu peux certes travailler dans un domaine qui demande une maitrise des math, mais c'est n'est pas le cas pour 100% des informaticiens (ou pas forcément sur 100% de leur carrière).

J'ai eu des cours en assembleur, ce n'est pas pour autant que je vais passer ma vie à faire de l'assembleur et le fait de ne pas travailler en assembleur ne n'empêche pas de comprendre du code assembleur.
Au même titre, les maths font normalement parti de la culture, du bagage qu'un informaticien devrait avoir et qu'on s'attend qu'il ai.

Rien que de la logique booléenne ou manipuler des matrices, c'est des maths. Rien que d'écrire un algo c'est des maths. Aujourd'hui, un informaticien n'est pas qu'un simple pisseur de code.
J'ai du mal à trouver un métier informatique où on pourrait s'attendre à ce que la personne n'ai aucune connaissances en maths.

Mais quand bien même, il n'y a pas une formation par métier. On devrait donc retrouver des maths dans toutes les formations d'informatique.

Enfin perso, j'ai eu 0 cours de math pendant ma formation (mais je ne suis que BAC+3)

C'est surprenant sachant que même en IUT informatique, il y a des maths, bien que ce soit moins poussé qu'en ingé ou master.

EDIT : D'ailleurs, en licence, vous n'avez pas 6 mois en L1 de cours communs avec les autres formations et dans ce tronc commun des maths ?

[Zirak]

C'est surprenant sachant que même en IUT informatique, il y a des maths, bien que ce soit moins poussé qu'en ingé ou master.

EDIT : D'ailleurs, en licence, vous n'avez pas 6 mois en L1 de cours communs avec les autres formations et dans ce tronc commun des maths ?

Je n'ai pas fait un IUT mais une formation dans une CCI (ceci explique peut-être cela ) et du coup, mes derniers cours de math remontent au lycée...

Après je suis d'accord avec toi, que l'on utilise forcément des notions mathématiques en tant que dev, mais ce que je voulais dire c'est que selon le domaine, cela ne sera pas forcément des notions très complexes (genre l'algèbre de Boole, j'ai du voir cela en seconde au lycée, c'est loin du niveau d'un Bac S ou de ce qui peut être vu en IUT ou école d'ingé).

Mais je serais bien incapable de faire de la 3D, de manipuler / traiter des sons ou autres trucs du genre car je n'ai pas eu des cours la-dessus, et que je ne n'en ai jamais eu besoin dans mon travail, et le cas échéant, il faudra que je me forme moi-même (après tout, l'adaptabilité, c'est surtout ça notre point fort ).

[el_slapper]

Tiens, ça me rappelle ce vieux blog de Steve Yegge; ou il explique que quand même les maths, c'est utile.

Et aussi que quand on ne s'y attaque pas de manière scolaire, je cite, "it's actually kinda fun".