Discussion :

[Jarodd]

C'est pas un chercheur qui a défini les 4 mots, c'est xkcd !

[altga]

Pour moi les confrontations des 2 mots de passe

« correct horse battery staple »

et

« Tr0ub4dor&3 »

sont basés sur une attaque par force brute (Brute-force) -> plus il y a d'éléments dans la chaîne, plus le cracker prendra du temps.

Mais si on part du principe qu'un utilisateur utilise le mot de passe à base de mots « correct horse battery staple », que l'on a connaissance de ça, je ne crois pas tellement m'avancer pour dire qu'il est encore plus facile de cracker le mot de passe avec une attaque par dictionnaire (Dictionary attack) et un peu de force brute. On teste tous les mots présents dans le dictionnaire 1 par 1 puis en les combinant 2 par 2, etc. On peut dire qu'un mot de passe constitué de 4 mots revient à un mot de passe de 4 lettres, donc encore moins efficace que « Tr0ub4dor&3 ». Je ne sais pas si j'ai été assez claire..
Il faudrait donc rajouter à ce mot de passe de "mots" d'autres paramètres.

Corrigez-moi si je me trompe ..

[Bousk]

Mais si on part du principe qu'un utilisateur utilise le mot de passe à base de mots « correct horse battery staple », que l'on a connaissance de ça, je ne crois pas tellement m'avancer pour dire qu'il est encore plus facile de cracker le mot de passe avec une attaque par dictionnaire (Dictionary attack) et un peu de force brute. On teste tous les mots présents dans le dictionnaire 1 par 1 puis en les combinant 2 par 2, etc. On peut dire qu'un mot de passe constitué de 4 mots revient à un mot de passe de 4 lettres, donc encore moins efficace que « Tr0ub4dor&3 ». Je ne sais pas si j'ai été assez claire..
Il faudrait donc rajouter à ce mot de passe de "mots" d'autres paramètres.

C'est sûr que si tu ne connais que 26 mots... allez disons 50 avec les chiffres et quelques accents et symboles

[altga]

C'est sûr que si tu ne connais que 26 mots... allez disons 50 avec les chiffres et quelques accents et symboles

J'ai peut-être été trop violent quand j'ai dit « 4 mots revient à un mot de passe de 4 lettres » .. Tu m'as fait me rendre compte de mon erreur, 1 mot n'est pas tout à fait égal à 1 lettre, il y a plus de mots dans le dictionnaire (disons 20 000 pour les plus utilisés suivant les langues..) que de lettres dans l'alphabet donc plus de possibilités. Donc à priori plus solide qu'un "ghjk". Mais il n'empêche que la comparaison serait intéressante à faire entre « correct horse battery staple » et « Tr0ub4dor&3 » ...

[Saverok]

1 mot n'est pas tout à fait égal à 1 lettre, il y a plus de mots dans le dictionnaire (disons 20 000 pour les plus utilisés suivant les langues..) que de lettres dans l'alphabet donc plus de possibilités. Donc à priori plus solide qu'un "ghjk". Mais il n'empêche que la comparaison serait intéressante à faire entre « correct horse battery staple » et « Tr0ub4dor&3 » ...

Tout dépend si tu inclus ou non les noms propres dans ton dictionnaire et dans ce cas là, tu exploses vites ton référentiel.
D'autant plus s'il s'agit de personnes du "commun" (non célèbre) et que tu y ajoutes des dates...

Exemple : "En 1990, mon cousin Donald Machin a acheté sa cinquième vache."
C'est super simple à retenir et c'est aussi solide qu'un "sddfe74455eFDù°kjjsqhksdfh165668965654<Kpn___54e€dsù..!§dsqazr" qui comporte le même nombre de caractères.

[pierre.E]

de toute façons on a besoin de plusieurs mot de passe ( une 50 aine minimum)
alors >50 longetfacilearetenir = difficile a retenir

pour moi l idéal serait une montre qui crypte mot de passe avec un touch id et contrôle flux sanguin ( parait qu il est unique...) et liaison avec protocole crypté très courte porté avec ordi et intégré dans navigateur

[Chauve souris]

de toute façons on a besoin de plusieurs mot de passe ( une 50 aine minimum)
alors >50 longetfacilearetenir = difficile a retenir

pour moi l idéal serait une montre qui crypte mot de passe avec un touch id et contrôle flux sanguin ( parait qu il est unique...) et liaison avec protocole crypté très courte porté avec ordi et intégré dans navigateur

Et qu'on ne parle pas des empreintes digitales ! C'était à la mode à une époque. Feu mon portable HP avait un lecteur d'empreinte pour se loguer. Mais c'est le truc qui traîne partout. Un peu de ninhydrine vaporisée pour révéler l'empreinte (par ses acides aminés) on colle ensuite l'empreinte sur un gant en latex qu'on protège ensuite avec un fin vernis protecteur et on peut se loguer sur un système à empreintes. Cela a fini par être abandonné. Il y a bien le système à empreintes rétiniennes mais c'est très compliqué à mettre en oeuvre dans la pratique courante. Finalement ne subsiste que ces passwords abscons qu'on copie sur un petit carnet (à ne pas perdre). Un syndic me montrait le sien avec tous les codes des portes des immeubles qu'il avait en gestion. C'est compliqué la vie moderne...

[athlon64]

de toute façons on a besoin de plusieurs mot de passe ( une 50 aine minimum)
alors >50 longetfacilearetenir = difficile a retenir

pour moi l idéal serait une montre qui crypte mot de passe avec un touch id et contrôle flux sanguin ( parait qu il est unique...) et liaison avec protocole crypté très courte porté avec ordi et intégré dans navigateur

La puce RFID sous la peau c'est mieux

Il y a quelques années je m'en foutais à la limite qu'on me vole mon telephone portable, mais là ça devient très compliqué de se passer de son numéro/smartphone pour valider des opérations...

Il y a déjà eu des portefeuilles de mot de passes qui ont été hackés, même si c'est chiffré, la puissance des GPU actuels et même des moteurs de recherche facilite bien le travail

[Chauve souris]

La puce RFID sous la peau c'est mieux

Il y a quelques années je m'en foutais à la limite qu'on me vole mon telephone portable, mais là ça devient très compliqué de se passer de son numéro/smartphone pour valider des opérations...

Il y a déjà eu des portefeuilles de mot de passes qui ont été hackés, même si c'est chiffré, la puissance des GPU actuels et même des moteurs de recherche facilite bien le travail

Le petit carnet ! C'est plus sûr ! On ne peut pas te le "hacker". Le voler tout au plus. Mais faut le vouloir. Si tu n'es qu'un petit patron de PME la CIA ne va pas t'envoyer un agent spécialement pour toi, tu peux ranger ton opinel Un loubard y essaiera de trouver le code de ta carte VISA, la seule chose que tu n'as pas mise sur ton petit carnet. Et puis tu peux intoxiquer le voleur éventuel une lettre/chiffre à la place d'une autre, un flot de références bidons, astuces très simples au demeurant et utilisées par la Résistance. Car si la CIA, via un douanier US, exige ton code de smartphone, ils ne porteront aucune intérêt à ton petit carnet (sauf s'ils ont lu les propos de Chauve Souris sur Developpez.net )

[deathman8683]

Des chercheurs s’étaient déjà même penchés sur la question et étaient parvenus à la conclusion qu’en utilisant le mot de passe avec quatre mots aléatoires comme « correct horse battery staple », cela prendrait 550 ans à des pirates pour deviner ce mot de passe et trois jours à ces derniers pour deviner « Tr0ub4dor&3 ».

Les 550 ans concerne un logiciel de crack de mot de passe qui tourne sur quel environnement ? Car seul le botnet est vraiment à considérer.

Pour informer correctement il faudrait aussi préciser que la comparaison est faite pour un attaque par force brute (et donner aussi son jeu de caractères) car il y a aussi d'autres attaques !

Pour la sécurité de toute manière il est primordial que la politique de sécurité du service employé soit déjà solide, sans ça il vaut mieux que le mot de passe soit au moins haché efficacement (pas de MD5). Ça m'inquiète quand je pense à Firefox qui stock les mots de passe en clair, par exemple...

Je me sers du carnet (compréhensible que par moi, j'ose croire), j'aimerai me simplifier la vie en utilisant KeePass mais je n'ose pas confier tout mes mots de passe à un logiciel, qui par essence peut être sujet à divers bug ou failles en plus il tourne nativement que sous Windows.

Quel serai les inconvénients d'utiliser une clé physique (ou carte à puce) avec une très longue suite de caractères pour se connecter à x services depuis son ordinateur ? Cette question car il doit bien y en avoir vu que ce n'est pas utilisé.

Non, pas par moi en tout cas, et pareil pour tous ceux qui ne peuvent pas mettre les accents : inscrire cette information dans votre signature, c'est pas compliqué !

Et s'il met en signature "Navre mais je n'ai pas acces a un clavier me permettant d'utiliser les accents" ça n'ira pas n'ont plus je suppose ?
Haaa... le plaisir d'hurler sur les gens...

Quant à mes mdp, j'utilise des mots n'existant dans aucun dictionnaire (puisque inventés de toutes pièces lettres), donc je devrais être tranquille

Respect si tu connais le contenu de tout les dictionnaires des crackeurs

Nos cartes bleus ont un simple code à 4 chiffres.
Le nombre de combinaisons est dérisoire, le système est néanmoins très sécurisé.

Oui voila, comme quoi le système compte plus que le mot de passe lui-même.

Choisir un mot de passe complètement aléatoire et changer ce mot de passe à chaque connexion au site en utilisant la fonctionnalité "J'ai perdu mon mot de passe".

Pas bête du tout mais pas très pratique ^^

il y a plus de mots dans le dictionnaire (disons 20 000 pour les plus utilisés suivant les langues..) que de lettres dans l'alphabet donc plus de possibilités. Donc à priori plus solide qu'un "ghjk". Mais il n'empêche que la comparaison serait intéressante à faire entre « correct horse battery staple » et « Tr0ub4dor&3 »

Rien que pour la langue Française c'est plutôt 330 000 mots que contient un dico de crackeur (en anglais on en est pas loin), 20 000 ce ne sont que les dico allégés (ou les dico dans le sens premier du terme peut-être)

Tout dépend si tu inclus ou non les noms propres dans ton dictionnaire et dans ce cas là, tu exploses vites ton référentiel.
D'autant plus s'il s'agit de personnes du "commun" (non célèbre) et que tu y ajoutes des dates...

Exemple : "En 1990, mon cousin Donald Machin a acheté sa cinquième vache."
C'est super simple à retenir et c'est aussi solide qu'un "sddfe74455eFDù°kjjsqhksdfh165668965654<Kpn___54e€dsù..!§dsqazr" qui comporte le même nombre de caractères.

Il ne suffit pas qu'un mot de passe contienne autant de caractères qu'un autre pour que la solidité soit la même, ce qui compte c'est la technique de crack utilisée. Par exemple ton deuxième mot de passe ne pourra pas être cracké du tout par une attaque par dictionnaire et le premier prendrai trop de temps à être cracké par la bruteforce (comme le deuxième d'ailleurs) ça ce compterai en plusieurs fois l'âge de l'univers avec nos techniques et moyens actuels pour des mots de passe huit fois moindre.

Je vais comparer « correct horse battery staple » et « Tr0ub4dor&3 » car c'est un exemple plus facile à exploiter.

Pour cracker « correct horse battery staple » il faudrai une attaque par dico qui teste 1 000 000 ^ 4 combinaisons maximum. Le 1 million est pour un dico contenant minimum 2 langues ainsi que des dates possibles, on peut assez rapidement se faire une idée des langues utilisées par la proie lors d'une attaque ciblée donc on ne les prends pas toutes, voir on prends chaque langue séparément pour gagner du temps. Un dico aux petits oignons contiendra également les équivalents de chaque mots en ASCII (ex. : crack > Cr4ck) ce qui peut quadrupler la taille du dico voir plus. Un crackeur malin commencera souvent par un dico allégé des mots anglais et ici ça suffira pour cracker ce mot de passe qui est pour moi une aberration à lire venant d'un "expert" ?

Pour cracker « Tr0ub4dor&3 » il faudrai cette fois une attaque par force brute qui teste 255 ^ 11 combinaisons maximum (300 fois plus qu'au dessus). Le 255 est pour un jeu de caractères contenant majuscules, minuscules, chiffres, et la plupart des autres caractères latins spéciaux.

En admettant que le dico de la première attaque soit quatre fois plus gros, l'attaque par dictionnaire ne demandera toujours pas plus de combinaisons que l'attaque par force brute ci-dessus (mais s'en rapprocherai beaucoup).

On voit qu'une suite de mot n'est pas vraiment plus sécurisant qu'un ensemble de caractères, le temps de crack dépend beaucoup de la technique utilisée.

Pour les noms de famille il n'y en a pas tant que ça finalement, pour les noms (latins) j'en référence moins de 200 000 si je ne me trompe pas, ça donne moins qu'un dico de crack des mots d'une seule langue.

A propos de clavier et d'accents je trouve que le clavier espagnol est finalement meilleur pour écrire en français, par exemple RÉPUBLIQUE FRANÇAISE sans aller voir la table des caractères.

Je note l'idée !

Par contre peut-on s'en servir pour se connecter à nos sites favoris via différents ordinateurs et systèmes d'exploitation (travail, cybercafé, ami, etc...) ? En conservant tout ces MdP sur un support unique amovible, je ne pense pas qu'il soit facile de lancer l'interface sur un nouvel ordinateur sous Windows, Mac, Linux et encore moins un smartphone.

Tu peux récupérer une version portable de KeePass, il te suffit de l'installer sur un support amovible depuis un ordinateur et tu pourra l'exécuter depuis d'autres systèmes Windows (pour les versions Linux de KeePass ce n'est pas natif et je ne les connais pas assez pour en parler).

[Jipété]

Non, pas par moi en tout cas, et pareil pour tous ceux qui ne peuvent pas mettre les accents : inscrire cette information dans votre signature, c'est pas compliqué !

Et s'il met en signature "Navre mais je n'ai pas acces a un clavier me permettant d'utiliser les accents" ça n'ira pas n'ont plus je suppose ?

non plus !
Si si, ça irait très bien, juste qu'il faudra que le lecteur devine s'il est question du modele de la statue ou du modele de la statue, de l'augmentation des retraites ou de l'augmentation des retraites... À charge donc pour l'auteur d'expliquer quel mot il a voulu utiliser.

Haaa... le plaisir d'hurler sur les gens...

Aucun plaisir à hurler sur les gens, aucun plaisir à passer du temps à essayer de comprendre ce que certains écrivent lamentablement, et si les choses étaient écrites correctement dès le départ, on ne serait pas là à en blablater.

Quant à mes mdp, j'utilise des mots n'existant dans aucun dictionnaire (puisque inventés de toutes pièces lettres), donc je devrais être tranquille

Respect si tu connais le contenu de tout les dictionnaires des crackeurs

Ben, par définition, un dictionnaire répertorie tous les mots connus, non ?
Par exemple, je viens de faire une recherche sur crypto-monnaie il y a 10 minutes ; je peux supposer que ce mot est dans les dicos modernes (je parle des dicos papier là, ceux que les gamins vont très bientôt acheter), mais qu'en est-il de l'invention cripteaummonez ?

Par ailleurs, ôtez-moi d'un doute, pour tester toutes les possibilités d'un dictionnaire il faut bien un accès physique à la machine, non ?

[deathman8683]

non plus !

Rhaa la loose, une faute juste à cet endroit...

Ben, par définition, un dictionnaire répertorie tous les mots connus, non ?
Par exemple, je viens de faire une recherche sur crypto-monnaie il y a 10 minutes ; je peux supposer que ce mot est dans les dicos modernes (je parle des dicos papier là, ceux que les gamins vont très bientôt acheter), mais qu'en est-il de l'invention cripteaummonez ?

Par ailleurs, ôtez-moi d'un doute, pour tester toutes les possibilités d'un dictionnaire il faut bien un accès physique à la machine, non ?

Les dictionnaires utilisés par les hackeurs malveillants sont loin de s'arrêter à ça, ils serraient bien inefficaces. Ils sont le fruit du travail acharné de beaucoup de monde, à la main ou par traitement automatique pour référencer aussi des mots ressemblant à des mots connus, je parlais des équivalents ASCII mais ça peut aussi être avec des fautes volontaires voir d'autres choses, les nuisibles peuvent avoir beaucoup d'imagination. L'usage de dictionnaire de ce genre pourrait plutôt être défini comme "une attaque par brute force intelligente" ce n'est pas à comparer à un Robert de poche.


Un mot de passe est généralement conservé sous forme de condensat (résultat d'une fonction de hachage), pour le cracker il faut récupérer le condensat, qui est sur la machine et hacher les mots du dictionnaire avec divers algorithme de hachage (s'il l'algorithme utilisé n'est pas connu) jusqu'à tomber sur le bon condensat ou alors des listes d'équivalence mots de passe/condensat sont déjà toutes prêtes (tables arc-en-ciel), pour le MD5 par exemple, qui est encore malheureusement trop utilisé. Forcement il faudra un accès physique mais pour ce cas là il ne sera que très bref.

Si la machine qui contient le mot de passe est trop sécurisée pour le méchant bidouilleur il lui restera des solutions comme de soumettre des mots de passe à un niveau le plus bas possible pour passer outre les limitations de tentatives (en envoyant directement des requêtes à la BDD dans l'idéal) dans ce cas l'accès physique est maintenu plus longtemps, cependant l'attaque peut être distribuée et donc répartie sur de nombreuses machines (des milliers) qui opèrent un accès physique.


Mon conseil :

Partir de ce constat : Le nuisible a plus d'imagination que sa cible.
Pour ma part je resterai aux mots de passe de ce genre : ,4/'"*9è-n'C (forçant l'usage de la bruteforce et trop longs à cracker par ce biais) notés sur un carnet avec un petit chiffrement maison pour la boîte mail, accès admin et autres zone sensibles. Même si le nuisible se trouve malin en bruteforçant que sur des mots de 12 caractères ça lui prendrai encore trop de temps.