Ubuntu-fr

compte supprimé

[ Résolu ] Un mot de passe fort, comment le définir ?

Hello, j'ai trouvé de tout sur Internet, je ne sais pas comment définir un mot de passe fort, j'ai lu que certaines attaques, plus évoluées que l'attaque par dictionnaire pouvait recourir non pas à des dictionnaires de mots, mais à des dictionnaires de mots de passe, même complexes, le logiciel teste tous les mots de passe (lettre minuscules majuscules chiffres et symboles mélangés) qu'il possède dans sa base de données, parfois plusieurs gigas-octets de mots de passes préétablis allant à beaucoup plus, des terras octets, mais alors, avec de telles méthodes de brute-force, ils nous restent quoi comme solution pour trouver un mot de passe fort svp ??

Dernière modification par -pascal34- (Le 18/02/2014, à 05:04)

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Mmmm, ne pas en mettre ? Et pour accéder au système juste taper sur "Entrée" ?

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Un article intéressant, mais je ne sais pas s'il est vraiment à jour : http://fr.wikipedia.org/wiki/Attaque_par_force_brute

cristobal78

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

perso j'utilise la méthode de la phrase mnémotechnique du genre plus deux suffixes :

- "Maitre corbeau sur un arbre perché tenait dans son bec un fromage" = Mcsuaptdsbuf
- une date de naissance = 1960
- un symbole (tjrs le même) = !

ce qui donne :

Mcsuaptdsbuf1960!

soit 17 caractères faciles à retrouver/retenir mais sûrement très difficiles ou très/trop longs pour une attaque en force brute.

---

Laptop Lenovo Ubuntu 20.04 LTS / DELL Mint 20.2 - XFCE / Laptop HP Mint 20.2 - XFCE

J5012

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

- trucs mnemotech
- lettres ou phonemes peu usites
- ne pas reutiliser un signe
- utiliser les signes de ponctuation ou les signes non phonetiques (ex : ^"%*ù|ç°# , etc)

stevebuntu

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Il ne faut jamai oublier que le mot de passe que tu peux choisir ne sera jamais incassable parfaitement.  Tu dois avoir de bonne pratique de mot de passe.  Le bien choisir et le modifier regulierement. Choisis un mot que tu peux t'en souvenir meme apres 1000 ans d'hibernation ensuite choisis une facon a toi de l'ecrire.
Toute fois il faut etre prudent il ne faut pas utiliser des password du genre m0+2p@$s.  Aussi complexe que cela apparait n'importe qui pourrait le deviner.

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Merci pour les conseils, je voulais vous demander aussi à partir de quel nombre de caractères mélangés (lettres majuscules minuscules, signes spéciaux, ponctuations, chiffres) un mot de passe peut devenir vraiment difficile à trouver ? (en considérant les attaques par brute force, et par table arc-en-ciel (combinées) par exemple ?) Merci

bruno

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Tu devrais lire ceci : https://linuxfr.org/users/gui13/journau … s-de-passe et les liens associés.

On peut en retenir qu'il est préférable d'utiliser une suite de mots facilement mémorisable, qu'un mot de passe qui semble tordu avec lettres chiffres et ponctuations.

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Merci le lien que tu donnes me fait apparaître un message me disant que je m’apprête à entrer sur un site dont la connexion chiffrée n'est pas certifié (donc je ne suis pas entré sur le site via ton lien, je l'ai chercher via google et j'ai vu qu'il y avait une différence entre celui que tu donnes ici et celui de google, le tiens est en https, celui de google en http normal) tu sais d'où ça vient ?

cristobal78

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

@ stevebuntu
"... il ne faut pas utiliser des password du genre m0+2p@$s ..."

bien sur car celui ci est le mot "motdepasse" un peu bricolé !!
En plus il est difficile à retenir, par exemple comment se souvenir que "$" est avant "s"  ?

@ bruno
C'était ma proposition

Perso je ne comprends tjrs pas et ne vois toujours pas le besoin de mettre des signes cabalistiques dans son mot de passe.
En effet une attaque force brute consiste à essayer TOUTES les possibilités de caractères du clavier
... a...zA...Z0...9éèê0çù&~#{[(-|_\^@)]=<=>+*$£%!:;,?....
sans en oublier aucune.

En effet l'attaquant ne pouvant pas savoir à priori si des signes autres qu'alphanumériques ont été utilisés il faut bien qu'il fasse "comme si".
Donc même si un mot de passe ne contient pas de signes autres que des chiffres et des lettres l'attaquant devra de toute façon les vérifier. En pure perte de temps.

Ce qui résiste c'est ce qui prend du temps, et donc éventuellement TROP de temps et ça c'est la longueur du mot de passe qui le fait, pas les signes cabalistiques qui ont en plus le gros inconvénient de ne pas être au même endroit sur un clavier anglais, allemand, etc ... donc source d'ennui : passer d'un AZERTY à un QWERTY ce n'est pas rigolo.

Dernière modification par cristobal78 (Le 07/02/2014, à 10:40)

---

Laptop Lenovo Ubuntu 20.04 LTS / DELL Mint 20.2 - XFCE / Laptop HP Mint 20.2 - XFCE

CM63

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Bonjour,

Pour compléter sur la méthode de la phrase mnémotechnique dont on prend la première lettre ou les deux premières lettre de chaque mot, puis on rajoute des caractères spéciaux(1):
- comment trouver cette fameuse phrase? Prendre dans les souvenirs d'enfance, qu'on ne risque pas d'oublier, moi j'en ai pris une relative à mon premier cadeau de Noël.

D'autre part il existe des sites qui permettent de tester les mots de passe, et qui vont te donner des infos du genre:
- votre mot de passe, il faudra :
- un an pour un PC basique personnel pour le déplomber (par une méthode d'essai erreur , méthode du bœuf),
- un mois pour un cluster de PC,
- une heure pour la machine la plus puissante du monde actuellement
(ce sont des exemples).

Je recherche ce site.

Bonne journée.

(1) Caractères spéciaux : ,;.?§%$ , et non pas caractères non imprimables (Ctrl C , etc). En revanche, mettre aussi des chiffres.

Dernière modification par CM63 (Le 07/02/2014, à 10:49)

---

Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

CM63

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Bonjour,

passer d'un AZERTY à un QWERTY ce n'est pas rigolo.

Oui mais là, t'as des problèmes même avec les lettres simples, donc on n'y peut pas grand chose.

---

Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Ok cristobal78, tu dis un truc qui m'intéresse quand tu parles de longueur de mot de passe qui ajoute de la force à celui-ci, mais quelle serait la longueur butoir qui porte le mot de passe choisi à un temps de calcul tellement grand qu'il ne peut pas être encore trouvé à l'heure actuelle malgré toutes les attaques dont on cites les nboms ici (en prenant bien sûr soin de combiner lettres minuclues, majuscules, chiffres, ponctuations, caractère spéciaux) ? Serait-ce à partir de 14 caractères que là ce serait impossible, ou 40 ?

A CM63 ça m'intéresse le site qui permet d'indiquer le temps de calcul pour trouver le mot de passe !

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

CM63 je viens de trouver cela : https://www-ssl.intel.com/content/www/u … rdwin.html

CM63

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Bonjour,

Voici un site de test de mot de passe, qui semble très bien. On y dit que le temps "nécessaire à déplomber un mot de passe" n'est pas le critère le plus intéressant car la puissance des machines évolue sans cesse. Ils s'intéressent plutôt à "la résistance des "Mots de passe" par rapport aux difficultés connues que leurs types opposent aux méthodologies de cassage".

Le site t'invite à la plus grande prudence:
"Qu'est-ce qui vous dit que le présent site où vous êtes ne tente pas de connaître votre mot de passe?". (ils parlent d'eux-mêmes)

Et donc ils te conseillent de tester non pas ton vrai mot de passe, mais un mot de passe construit de la même façon, aboutissant au même nombre de caractères, ayant les mêmes critères de difficulté de construction.

Bonne journée.

---

Quoi? Quelque chose que je ne connais pas et qui me fait l'affront d'exister?!

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

J'ai trouvé celui-ci aussi : https://howsecureismypassword.net/

bruno

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Je t'invite à y tester :

Adr;t675!

puis :

Les oiseaux ont des ailes !

par exemple.

Pour mon lien précédent c'est parce que le certificat de linuxfr.org est signé par CaCert.org et que cette autorité de certification n'est pas installée dans tous les navigateurs. Si ça te défrise tu y accède en http

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Oui j'ai vu, je suis passé en http comme expliqué au dessus trouvé par Google, ça m'a lissé les cheveux  Mais je vais aller y faire friser tes mots de passe

Mmmmm ça passe pas trop mal encore, mais le site de Free donné par CM63 est le site de cette discussion qui prend le plus de paramètres possibles et qui donne les explications. Il dit aussi ce qui est positif et négatif dans le choix de nos mots passe, assez intéressant.

Dernière modification par -pascal34- (Le 07/02/2014, à 11:36)

gigiair

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Bonjour,

Pour compléter sur la méthode de la phrase mnémotechnique dont on prend la première lettre ou les deux premières lettre de chaque mot, puis on rajoute des caractères spéciaux(1):
- comment trouver cette fameuse phrase? Prendre dans les souvenirs d'enfance, qu'on ne risque pas d'oublier, moi j'en ai pris une relative à mon premier cadeau de Noël.

Je suis bénévole dans une association qui édite un journal interne. J'applique cette méthode au titre de l'éditorial.
comme ce n'est pas moi qui utilise les machines, ça me permet de changer le MDP tous les mois et de le communiquer aux usagers. Ils sont au courant, la revue est toujours sur le bureau, c'est mieux que le post-it sur l'écran.

---

--
JJR.

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Bonjour,

Pour compléter sur la méthode de la phrase mnémotechnique dont on prend la première lettre ou les deux premières lettre de chaque mot, puis on rajoute des caractères spéciaux(1):
- comment trouver cette fameuse phrase? Prendre dans les souvenirs d'enfance, qu'on ne risque pas d'oublier, moi j'en ai pris une relative à mon premier cadeau de Noël.

Je suis bénévole dans une association qui édite un journal interne. J'applique cette méthode au titre de l'éditorial.
comme ce n'est pas moi qui utilise les machines, ça me permet de changer le MDP tous les mois et de le communiquer aux usagers. Ils sont au courant, la revue est toujours sur le bureau, c'est mieux que le post-it sur l'écran.

Ce qui est plutôt habile !

gigiair

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

En plus, ils lisent la publication.
Il y a moyen d'adapter ce principe à beaucoup d'autres situations. On peut prendre l'édito de Linux Magazine ou d'une autre revue. Un quotidien, c'est top pour les paranos. On peut aussi trouver un autre algorithme pour générer le MDP. Il faut des règles simples, parce que l'oubli d'un MDP, c'est plutôt gênant.

---

--
JJR.

cristobal78

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Méfiez vous de ces sites qui soit disant mesure la robustesse des mots de passe en estimant le temps qu'il faut pour les craquer.
J'ai repris les exemples de sites des posts #14 et post #16 ci dessus. (rassure toi -pascal34-  tu n'es pas visé   )
Voilà les résultats, ils sont pitoyables :

1/- essais de MdP avec le site proposé en post # 14
---------------------------------------------------------------------------

J'ai essayé avec de mauvais mdp car composés de 10 fois le même caractère et j'ai demandé au site le temps pour les casser :
10 fois
le chiffre "0"  --------> temps = 0 sec
le "a" minuscule ----> temps = 5 mois
le "A" majuscule ----> temps = 5 mois
le signe "&"        ----> temps = 3 ans
le signe "="   ----------> temps = 3 ans (36 mois)
enfin j'ai essayé :
a2z3s8d7k6  ----> 1 mois
A2Z3S8D7K6 ----> 1 jour  !!! (délirant !)

tout cela montre à l'évidence l'inutilité totale de ce site pour juger de la robustesse d'un MdP : 10 fois le signe "=" est 36 fois PLUS robuste que " a2z3s8d7k6".

2/- essais de MdP avec le site proposé en post # 16
---------------------------------------------------------------------------

J'ai repris les mêmes mauvais mdp car composés de 10 fois le même caractère et j'ai demandé au site le temps pour les casser :

10 fois
le chiffre "0"  --------> temps = 2 sec
le "a" minuscule ----> temps = 9 hrs
le "A" majuscule ----> temps = 9 hrs
  le signe "&"        ----> temps = 2 mn
le signe "="   ----------> temps = 2 mn
  enfin j'ai essayé :
  a2z3s8d7k6  ----> 10 jours (14400 mn)
  A2Z3S8D7K6 ----> 10 jours  !!!
 
Tout cela montre à l'évidence l'inutilité totale de ce site pour juger de la robustesse d'un MdP : 10 fois le signe "=" est 720 fois MOINS robuste que " a2z3s8d7k6".
Comparer ce résultat avec celui obtenu avec les mêmes exemple au § 1

Donc on peut oublier sans regret ce genre de sites qui ne testent rien mais qui assujettit la robustesse d'un mdp à la présence ou non de certains caractères ce qui n'a aucun sens.
C'est flagrant avec 10 fois le zéro comparé à 10 dois le "a" qui en réalité offrent exactement la même résistance (quasi nulle) à une attaque en force brute.

Dernière modification par cristobal78 (Le 07/02/2014, à 15:12)

---

Laptop Lenovo Ubuntu 20.04 LTS / DELL Mint 20.2 - XFCE / Laptop HP Mint 20.2 - XFCE

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Méfiez vous de ces sites qui soit disant mesure la robustesse des mots de passe en estimant le temps qu'il faut pour les craquer.
J'ai repris les exemples de sites des posts #14 et post #16 ci dessus. (rassure toi tu n'es pas visé   )
Voilà les résultats c'est pitoyables :

1/- essais de MdP avec le site proposé en post # 14
---------------------------------------------------------------------------

J'ai essayé avec de mauvais mdp car composé de 10 fois le même caractères et j'ai demandé au site le temps pour le casser :
chiffre "0"            ----> temps = 0 sec
le "a" minuscule ----> temps = 5 mois
le "A" majuscule ----> temps = 5 mois
le signe "&"        ----> temps = 3 ans
le signe "="   ----------> temps = 3 ans
enfin j'ai essayé :
a2z3s8d7k6  ----> 1 mois
A2Z3S8D7K6 ----> 1 jour  !!!

tout cela montre à l'évidence l'inutilité totale de ce site pour juger de la robustesse d'un MdP : 10 fois le signe "=" est 36 fois PLUS robuste que " a2z3s8d7k6".

2/- essais de MdP avec le site proposé en post # 16
---------------------------------------------------------------------------
J'ai essayé avec de mauvais mdp car composé de 10 fois le même caractères et j'ai demandé au site le temps pour le casser :
chiffre "0"  --------------> temps = 2 sec
le "a" minuscule ----> temps = 9 hrs
le "A" majuscule ----> temps = 9 hrs
  le signe "&"        ----> temps = 2 mn
le signe "="   ----------> temps = 2 mn
  enfin j'ai essayé :
  a2z3s8d7k6  ----> 10 jours (14400 mn)
  A2Z3S8D7K6 ----> 10 jours  !!!
 
Tout cela montre à l'évidence l'inutilité totale de ce site pour juger de la robustesse d'un MdP : 10 fois le signe "=" est 720 fois MOINS robuste que " a2z3s8d7k6".
Comparer ce résultat avec celui obtenu avec les mêmes exemple au § 1

Donc on peut oublier sans regret ce genre de sites qui ne teste rien mais qui assujetti la robustesse d'un mdp à la présence ou non de certains caractères. C'est flagrant avec 10 fois le zéro comparé à 10 dois le "a" qui en réalité offrent exactement la même résistance (quasi nulle) à une attaque en force brute.

Merci d'avoir expliqué et porté notre attention sur ces sites, perso je les avais écarté aussi quand j'ai vu celui proposé par CM63, qui est un peu plus fiable. Et qui présente un peu mieux ce qu'il analyse sur le mot de passe que l'on lui soumet. Les postes #14 et #16 de cette discussion, sont donc à mettre dans les sites peu fiables. je les laisse en exemple quand même, se sera toujours utile pour comparer un peu ce que l'on peut trouver sur la toile.

Par contre ce fil de discussion peut-être bien pour vérifier comment l'on a construit nos mots de passe actuels, il y a peut-être des révisions à faire. @ toutes les lectrices et lecteurs, on a ici de quoi vous faire cracker (le coeur !)

sinbad83

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Un truc simple pour se faire une idée, grandeur nature (mieux vaut avoir un multi-processeur pour pouvoir faire autre chose)

sudo apt-get install john

sudo john /etc/shadow

On ne peut pas toujours aller jusqu'au bout, mais on peut laisser tourner pour voir.

Dernière modification par sinbad83 (Le 07/02/2014, à 15:35)

---

La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10,   HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04

gigiair

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Quelle garantie a-t-on que ce genre de site n'ait pas pour but d'alimenter une base de donnée de MDP pour une utilisation frauduleuse ?

---

--
JJR.