Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Êtes vous un extra-terrestre du mot de passe ?

Bigcake

Bonjour,

Je suis en train développer une application (dont je ferai profiter la communauté bientôt), une des options est l'analyse du mot de passe pour savoir si votre mot de passe est fort ou faible, et savoir ce qu'il faut rajouter pour le rendre fort
En me baladant, sur le net je suis tombé sur un article "Plus de 90% des mots de passe sur Internet peuvent être piratés"

franceinfo.fr a écritSix millions de mots de passe analysés
Lors de son étude, la société Deloitte a analysé six millions de "passwords". Elle assure qu'avec les 1.000 mots de passe les plus communs, elle a pu accéder à des services protégés dans 91% des cas. Par "services protégés", elle entend comptes bancaires, réseaux sociaux ou site de vente.
L'étude montre également que 79% des utilisateurs concentrent 500 mots de passes les plus courants.
"Le problème le plus grave des mots de passe est leur réutilisation. L'être humain, pour une question de mémoire, retient cinq, six, sept mots de passe, et naturellement, on les utilise pour tout, ce qui les rend très fragiles" (cabinet Deloitte)

Source : franceinfo.fr

J'ai vite fait le comptage de mes différents comptes locaux / web / pro et de leur mot de passe associés :
J'ai compté 30 comptes et 27 mots de passe différents que je connais par coeurs

D'après le cabinet Deloitte, je suis ne suis donc pas un être humain ..... et vous êtes-vous un extra-terrestre du mot de passe ?

ssdg

Je dois en être à 4~5 (générés aléatoirement, un à 20 char, les autres à 8 ) connus de tête et le reste (des services dont je me sert moins souvent, avec des mots de passe assez long) dans keepass, par contre, les 4~5 par coeur peuvent être réutilisés plusleurs fois.

c'est pas super, je sais.

[supprimé]

Moi j'en ai pas mal mais je suis obligé de les noter sur des bouts de papier sur mon bureau sinon je ne m'en souviens plus :lol:

Bon j'en ai aussi quelques uns qui sont stockés dans un fichier crypté ( via cryptkeeper )

Par contre pour celui de ma banque, il n'est ni sur un bout de papier ni dans un dossier crypté mais dans ma tête.
Il est constitué de 2 MDP ( un de 6 chiffres et l'autre de 10 chiffres + une lettre ) mais j'arrive à le garder en mémoire :cool:

inkey

Je doit en avoir 4-5 aussi, depuis le temps que passe sur le web. De plus en plus sophistiqué au fil du temps.
Pous autant j'évite les mots de passe trop compliqué pour mon petit cerveau .
Je privilégie donc plutôt les mots de passe long mais dont on peut se rappeler facilement.
Il n'est d'ailleurs pas forcément intelligent de faire des mots de passe compliqué à l'absurde :

😛

ssdg

Ce XKCD à été contredit assez rapidement puisque quand on essaie de craquer un mot de passe depuis une liste de mdp MD5, on n'utilise pas la brute force, mais des attaques par dictionnaire (en gros, de la brute force où ou utilise une liste de mots(oui, un dico), de transformations(L33t sp33k, espaces/CamelCase pour les espaces,...) et de combinaisons (en gros plusieurs mots bout à bout au lieu d'un) ).

Désolé, mais si on en croit les articles sur les dernières grosses récupérations de comptes utilisateurs, "shaeNg0yie" sera craqué bien âpres "C0rr3c7 H0r53 b4T73ry St4p13"

godverdami

Anecdote sur les mots de passe: Je viens de changer d'ordi portable au boulot....entre le boot, le profil, les habilitations, l'accès à l'intranet, les applications protégées, la clé 3G....j'ai fait remarquer à notre cher service informatique qu'il me fallait saisir (et retenir) pas moins de 7 mots de passe pour bosser avec ma machine. Et vas y que je te met de la sécurité sur de la sécurité....c'est franchement dingo
Donc j'en choisi des simples, les + simples possibles....et tant pis pour la sécurité qui, de toutes façons, est un leurre et surtout un excellent argument commercial

inkey

ssdg a écritCe XKCD à été contredit assez rapidement puisque quand on essaie de craquer un mot de passe depuis une liste de mdp MD5, on n'utilise pas la brute force, mais des attaques par dictionnaire (en gros, de la brute force où ou utilise une liste de mots(oui, un dico), de transformations(L33t sp33k, espaces/CamelCase pour les espaces,...) et de combinaisons (en gros plusieurs mots bout à bout au lieu d'un) ).

Désolé, mais si on en croit les articles sur les dernières grosses récupérations de comptes utilisateurs, "shaeNg0yie" sera craqué bien âpres "C0rr3c7 H0r53 b4T73ry St4p13"

Je suis pas du tout convaincu justement. Une attaque par dictionnaire pour un mot de passe très long composé de plusieurs mots dans un ordre non logique (pas une phrase correctement structuré) me paraît au contraire très dur à trouver, d'autant plus si on s'amuse à déroger un peu à la règle en placant des ajout ou autre et quand bien même ce serait le cas, il s'agit aussi d'une question d'échelle.
Un mot de passe s'il est impossible de se le remémorer n'apporte pas grand chose. Il faudrait un tout autre paradigme pour avoir une vrai sécurité.
En attendant, je trouve que les mots de passe long avec des mots sont probablement le meilleurs compromis.

ssdg

Comme tu veux, mais il se trouve qu'un ordinateur ne va pas associer les mots logiquement. (sinon, on aurait des logiciel de reconnaissance de caractère ou de traduction automatique bien plus performants depuis bien plus longtemps)

The Uploader

tontonrobertettantirene a écritAnecdote sur les mots de passe: Je viens de changer d'ordi portable au boulot....entre le boot, le profil, les habilitations, l'accès à l'intranet, les applications protégées, la clé 3G....j'ai fait remarquer à notre cher service informatique qu'il me fallait saisir (et retenir) pas moins de 7 mots de passe pour bosser avec ma machine. Et vas y que je te met de la sécurité sur de la sécurité....c'est franchement dingo
Donc j'en choisi des simples, les + simples possibles....et tant pis pour la sécurité qui, de toutes façons, est un leurre et surtout un excellent argument commercial

:lol:

Bigcake

Je suis déçu, je pensais qu'il y aurait plus de gens ici qui retiennent leur X mots de passe différents et régulier....

ssdg a écritDésolé, mais si on en croit les articles sur les dernières grosses récupérations de comptes utilisateurs, "shaeNg0yie" sera craqué bien âpres "C0rr3c7 H0r53 b4T73ry St4p13"

Si tu retrouve l'article ça m'intéresse ! j'ai trouvé un article allant dans ce sens mais y a pas bcp de détails sur le type de mots de passe cassés : http://www.lemondeinformatique.fr/actualites/lire-les-mots-de-passe-longs-ne-protegent-plus-du-piratage-54825.html

tontonrobertettantirene a écritEt vas y que je te met de la sécurité sur de la sécurité....c'est franchement dingo

Y a une très bonne phrase a ce sujet : La sécurité d'un système se mesure par la résistance de son maillon le plus faible.
Le problème de certaines équipes informatiques, c'est qu'ils ne prennent pas en compte le facteur humain
Avoir un mot de passe différent pour tout les services à changer tout les 3 mois :
- D'un point de vue technique, c'est très sécurisé.
- D'un point de vue humain, c'est ultra chiant et ça devient souvent post-it collé sur l'écran (dans le pire des cas)

ssdg

Désolé, c'est en anglais, mais c'est là:
https://www.schneier.com/blog/archives/2013/06/a_really_good_a.html (note le C'est une réponse au truc "batterie horse staple")

C'est d'ailleurs sur le même blog qu'on avait vu des "xkcd à raison" à l'époque. Pourquoi? parcequ'XKCD tiens la route mathématiquement (c'est vrai), mais qu'il ne règle pas tout les problèmes.

Wacken

J'utilise KeePassX pour stocker tous mes mots de passe : un seul fichier chiffré, qui contient des mots de passe de 8 à 24 caractères (selon les règles propres à chaque site web) générés aléatoirement.

xabilon

ssdg a écriton n'utilise pas la brute force, mais des attaques par dictionnaire (en gros, de la brute force où ou utilise une liste de mots(oui, un dico), de transformations(L33t sp33k, espaces/CamelCase pour les espaces,...) et de combinaisons (en gros plusieurs mots bout à bout au lieu d'un) ).

Un dico... en quelle langue ? en navajo ? tibétain ? basque ?
Je n'ai que quelques mots de passe faciles à retenir (pour moi), mais ils sont stockés exclusivement dans ma tête.

Henry de Monfreid

Salut.

Moi, je prend les initiales des mots d'une chanson.

Allons enfants de la Patrie,Le jour de gloire est arrivé >> aedlpljdgea

On ne retrouve pas ce genre de password avec une attaque par dictionnaire et on s'en souvient facilement.

On peut compliquer avec des !@#$%^&*, des chiffes et des majuscules.

godverdami

Y a une très bonne phrase a ce sujet : La sécurité d'un système se mesure par la résistance de son maillon le plus faible.
Le problème de certaines équipes informatiques, c'est qu'ils ne prennent pas en compte le facteur humain
Avoir un mot de passe différent pour tout les services à changer tout les 3 mois :
- D'un point de vue technique, c'est très sécurisé.
- D'un point de vue humain, c'est ultra chiant et ça devient souvent post-it collé sur l'écran (dans le pire des cas)

Oui...un autre ecceuil est qu'ils n'ont pas de vision globale...style, je sécurise une appli, mais ça ne me vient pas à l'esprit que pour l'utilisateur ça représente une couche supplémentaire.
Le pire, c'est que ça tient aussi au degré de connaissances des personnels des services informatiques. Moins ils en savent et plus ils te pondent des usines à gaz

ssdg

xabilon a écrit
ssdg a écriton n'utilise pas la brute force, mais des attaques par dictionnaire (en gros, de la brute force où ou utilise une liste de mots(oui, un dico), de transformations(L33t sp33k, espaces/CamelCase pour les espaces,...) et de combinaisons (en gros plusieurs mots bout à bout au lieu d'un) ).
Un dico... en quelle langue ? en navajo ? tibétain ? basque ?
Je n'ai que quelques mots de passe faciles à retenir (pour moi), mais ils sont stockés exclusivement dans ma tête.

Oui, c'est plus facile quand tu connais la langue de ton interlocuteur. Dans le cas d'une attaque ciblée, Français et Anglais (et sans doute les langues et patois enseignées/parlés là ou tu as fait tes études ou des voyages... 15min~2h x 8 langues grand max, c'est toujours moins que 10 ans)

xabilon

Mouais... je sais pas, je préfère avoir une dizaine de mots de passe en tête, facilement mémorisables, que plein de mots de passe impossibles à retenir stockés sur un disque dur.
Donc je ne suis pas un extra-terrestre 🙂

Bigcake

ssdg a écrithttps://www.schneier.com/blog/archives/2013/06/a_really_good_a.html

Nickel, c'est vraiment bien fait et très intéressant comme article

Effectivement, la technique de SOD est très bonne, ils en parlent dans l'article d'ailleurs (par contre il faut rajouter majuscule et caractère spécial minimum, sinon c'est pas top)

Dragoneart

Pour ma part, je pense que l'on peut dire que je suis un extraterrestre du mot de passe. Mes 2 seuls mots de passe ne veulent strictement rien dire. L'un a une signification, mais dans aucune langue. C'est une signification plutôt mathématique. Le 2ème, je l'ai fait à partir d'une langue que je m'étais amusé à inventer pour un roman. Et ce dernier mot de passe est tellement long, qu'à chaque fois que je me connecte sur hotmail, leur limite de 16 caractères à la noix me force à supprimer quelques lettres à la fin... XD
Mais sinon, pas de risque pour moi. Ca fait plus de 3 ans que j'utilise ces 2 mots de passe, alors longs et difficiles, OK, mais la seule chose qui pourra me les faire oublier, c'est Alzheimer, à mon avis. XD
(Et je précise que je n'ai pas besoin de les stocker sur un disque dur ni sur un bout de papier... donc arrêtez de dire que les mots de passes longs, compliqués et sans aucun sens ne peuvent pas être mémorisés. ^^')

Bob49

Salut

De toute façon, s'il y à du piratage possible de mots de passe, qu'il soit super complexe ou pas... il sera piraté.
Qu'il soit utilisé à maintes reprises ou pas, c'est pareil... Une seule fois utilisé et il peut être piraté...

C'est comme le paiement par carte bancaire..... il y à des personnes qui font beaucoup d'achats sur internet, sans aucun problème (comme moi 🙂) et d'autres qui se font avoir dés le premier achat... C'est la faute à pas de chance et au(x méchant(s) qui se trouve à l'autre bout !
Et pour la carte bancaire, tu change pas d'identifiants comme cela. 😛

D'ailleurs, si l'on vient à commander sur le net, on commande sur de plus en plus de sites, donc de plus en plus d'identifiants à retenir.... donc faire dans le très compliqué ne tient pas longtemps, surtout pour les mémoriser dans la p'tite tête de sa personne. 😃

Pour les sites autres que les commerciaux, banque et mes webmail, ça me dérange bien moins si une autre personne se connecte à ma place et je vais pas faire dans le très compliqué non plus !... :lol: au pire je fais supprimer le compte et j'en crée un autre. :cool:

Page suivante »