[ Résolu ] Un mot de passe fort, comment le définir ?

cristobal78 · Le 18/02/2014, à 12:18

-pascal34- a écrit :

Et en dernier point, cela fait deux fois que tu l'indiques sur le forum, et dès la première fois, j'ai trouvé cela assez dangereux de dire en clair ici comment tu construis tes mots de passe, ce n'est peut-être pas très bien de l'indiquer, en fouillant à gauche à droite, on apprend que moins on en dit sur la conception de nos mots de passe (sur Facebook, sur Twitter, sur les forums en clair comme ici), mais même en message privé ici ou ailleurs c'est aussi dangereux, mais peut-être un peu moins car tu n'auras indiqué la façon dont tu construis tes mot de passe qu'à une seule personne, mais sera-t-elle une personne "sympa" ou sera-t-elle une personne "intéressée" au plus haut point" ? difficile à définir sur un forum et en message privé, alors dans le doute..... Mais bon quand c'est en clair comme ici sur les forums, il ne faut pas, car moins tu donnes d'indication précises sur la conception de tes mots de passe, leur longueur, moins tu seras facilement crackable par une personne mal intentionnée.

Pour te rassurer je n'ai pas de compte facebook, pas de Linkedin, pas de compte tweeter, pas de ....
J'ai présenté une méthode, pas mon mot de passe, notamment "Maître corbeau sur un arbre perché... " qui conduit à Mcsuaptdsbuf1950!

Mais les génies de la littérature française nous ont heureusement plus que généreusement pourvu en vers et en particulier en alexandrins : Racine, Corneille, de Hérédia, V Hugo, pour n'en citer que quelques uns. Donc le choix est gigantesque.

Exemples :

Corneille, Le Cid
"Je vous connais encore et c'est ce qui me tue"
Jvceeccqmt1950!

Racine, Athalie, le songe
"C'était pendant l'horreur d'une profonde nuit"
Ceplhdupn1950!

Hugo, La conscience
"L'oeil était dans la tombe et regardait Caïn"
LoedlterC1950!

José-Maria de HEREDIA, Les conquérants
"Comme un vol de gerfauts hors du charnier natal"
Cuvdghdcn1950!

La dernière lettre peut systématiquement être mise en majuscule.
La place du symbole, un point d'exclamation dans mon exemple, peut être systématiquement mis en 1-ère position, ou bien en avant-dernière lettre, à la fin, etc... tout est possible pour gêner l'attaquant. L'année de naissance -qui bien sur n'est pas 1950 dans mon cas !!- peut être aussi mise ailleurs.

Le tout c'est que le mdp soit :
long (>12 car.)
aléatoire
impossible retenir
enfantin à retrouver (par toi seul)

En pratique
---------------
J'ai 4 PC chez moi. Chacun a un mdp (sudo) différent, chacun issu d'une fable de la Fontaine.

PC1 : corbeau
fable = Corbeau et le renard
"Maître corbeau sur un arbre perché tenait dans son bec un fromage
mdp = Mcsuaptdsbuf1950!

PC2 : loup
fable =Le Loup et l'agneau
"La raison du plus fort est toujours la meilleure"
mdp = Lrdpfetlm1950!

PC3 : lièvre
fable = le lièvre et le tortue
"Rien ne sert de courir il faut partir à point"
Rnsdcifpap1950!

etc...
Une étiquette est collée sur l'écran de chaque PC pour me rappeler son IP locale, et surtout son nom : loup, lièvre, corbeau, donc le mdp qui lui est associé.

Bon, depuis j'ai changé de fables

compte supprimé · Le 18/02/2014, à 13:19

Salut Cristobal, ça peut être vraiment problématique à cause de ça : http://linuxfr.org/users/gui13/journaux … s-de-passe

Je sais pas ce que tu en penses ?

cristobal78 · Le 18/02/2014, à 14:53

on y parle de phrase de passe mais ces phrases existent réellement ou ont un sens, ont été prononcée dans un film, un jeu, un livre ....les mots qui la composent existent. Rien de "RANDOM" dans tout ça.

Un mdp tel que : "ilétaitunpetitnavirequinavaitjamaisnaviguéohéohé" est complètement nul au regard des attaques actuelles mais car les mots existent, la phrase existe dans une chanson, les lettres ne sont pas le fruit du hasard, etc...
Ca rien à voir avec les mdp dont je parle ici et qui pourrait être :

Iéupnqnajnoo1950!

compte supprimé · Le 18/02/2014, à 22:45

cristobal78 a écrit :

perso j'utilise la méthode de la phrase mnémotechnique du genre plus deux suffixes :
- "Maitre corbeau sur un arbre perché tenait dans son bec un fromage" = Mcsuaptdsbuf
- une date de naissance = 1960
- un symbole (tjrs le même) = !
ce qui donne :

Mcsuaptdsbuf1960!
soit 17 caractères faciles à retrouver/retenir mais sûrement très difficiles ou très/trop longs pour une attaque en force brute.

Ça reste quand même un risque de dire ce qui ressemble à nos mots de passe, à leur construction, surtout en clair sur un forum. Ce que j'ai mis en gras est quand même assez explicite sur la conception que tu décris, je continue à penser que moins un internaute en dira sur la conception de ses mots de passe(en clair ou en message privé à quelqu'un), mieux se portera sa sécurité

J5012 · Le 19/02/2014, à 08:50

la question est moins sur la longueur et la composition du pass que sur la methode de salaison de ce pass ... comme tout le monde le sait, aucun random n'est parfait ... on peut seulement s'en approcher en evitant les erreurs de cyclage grace aux procedes de la salaison (et de l'enfumage ...)

compte supprimé · Le 19/02/2014, à 09:54

J5012 a écrit :

la question est moins sur la longueur et la composition du pass que sur la methode de salaison de ce pass ... comme tout le monde le sait, aucun random n'est parfait ... on peut seulement s'en approcher en evitant les erreurs de cyclage grace aux procedes de la salaison (et de l'enfumage ...)

Salut J5012, ce serait bien de développer les points de salaison, enfumage et erreurs de cyclage dont tu parles pour les lecteurs néophytes (en un bref résumé), beaucoup de sauront pas ce que c'est.

J5012 · Le 20/02/2014, à 06:12

wikipedia :
http://fr.wikipedia.org/wiki/G%C3%A9n%C … %A9atoires

les machines de chiffrement necessitent de generer des nombres aleatoires , aucun systeme n'etant parfait, au bout d'un certain temps les nombres generes au debut reviennent !

les systemes les plus "performants" essaient de reduire cet effet en "salant" (on ajoute une variable independante a la fonction) ou/et en enfumant (un code dans un autre) ...

Dernière modification par J5012 (Le 20/02/2014, à 06:19)

bruno · Le 20/02/2014, à 10:27

Le salage concerne le stockage des mots de passe. Un système a besoin de stocker les mots de passe pour pouvoir comparer ce que l'utilisateur a saisi avec ce qui est stocké.

Bien entendu, pour une sécurité de base le système ne stocke pas les mots de passe en clair mais utilise une fonction de hachage (MD5 ou à l'heure actuelle SHA1, SHA2). C'est le résultat de la fonction de hachage, appelée aussi empreinte du mot de passe, qui est stockée et non le mot de passe lui-même.

Lorsque l’utilisateur veut se connecter, le mot de passe qu'il saisit est traité par la même fonction de hachage (SHA1 par exemple) puis comparé à l'empreinte stockée.

Un attaquant qui réussirait à s'emparer des empreintes des mots de passes pourrait utiliser des tables arc-en-ciel (rainbow tables) pour retrouver les mots de passe en clair.

Pour rendre plus difficile ce type d'attaque on utilise en plus de la fonction de hachage une fonction de salage. Le salage consiste à ajouter une chaîne de caractères (aléatoire ou non) au mot de passe avant d'appliquer la fonction de hachage.

Dernière modification par bruno (Le 20/02/2014, à 10:28)

compte supprimé · Le 20/02/2014, à 11:08

Merci J5012 et merci Bruno.

compte supprimé · Le 21/03/2014, à 19:41

Salut, pour ceux que ça intéresse, j'ai trouvé ce lien sur le site du cert (bon je n'ai pas de mérite il est visible sur la page principale), mais en gros il y a un pdf sûrement intéressant en point 2 (le lien de la documentation), ici :

http://www.cert.ssi.gouv.fr/site/CERTA- … index.html

Je ne l'ai pas encore lu, mais vu la qualité de ce site, il doit y avoir des trucs à récupérer, à plus.

Arbiel · Le 21/05/2014, à 10:05

Bonjour à tous

Je viens de prendre connaissance de cette discussion. Je l'ai lue rapidement et peut-être suis-je passé à côté des remarques et questions suivantes

1) je suis assez d'accord avec les remarques de cristobal78 sur l'importance de la longueur du mot de passe et sur la faible incidence des caractères spéciaux.

2) je ne suis pas d'accord sur l'estimation qu'il fait du nombre de tentatives nécessaires pour casser un mot de passe. Il part du principe que l'attaquant va, pour chaque "tour de roue", incrémenter d'une unité la longueur des essais. Pourquoi ne tirerait-il cette longueur au hasard parmi les longueurs non encore utilisées, en fixant la longueur maximale en fonction de l'effort qu'il veut (ou peut) consacrer à cette activité. La longueur n'est pas une garantie de sécurité absolue et même considéré comme sûr, un mot de passe peut être découvert en moins de temps qu'il n'en faut pour lire ces quelques lignes.

3) il est regrettable que les sites restreignent l'ensemble des caractères disponibles. Lorsque cela est possible, j'utilise un clavier non latin, et je pense que, même avec un seul caractère, je serais déjà bien à l'abri, mais bien sûr, mes mots de passe comportent plusieurs caractères.

4) je me suis longtemps demandé pourquoi il fallait changer fréquemment le mot de passe. Je partais du principe qu'il nous est difficile de trouver de "bons" mots de passe, puis ensuite de mémoriser le mot de passe en vigueur et enfin que, une fois le mot de passe découvert par un attaquant, il est trop tard pour en changer. Je pensais à mon compte en banque. J'ai récemment réalisé que là n'était pas la seule cible des attaques dont nous pouvons être victimes et que nos messages, et les pièces qui y sont jointes, contiennent une multitude d'informations pouvant intéresser un attaquant. Et là, nous n'avons pas connaissance de la fuite.

Arbiel

compte supprimé · Le 21/05/2014, à 10:27

Bonjour Arbiel, je suis d'accord avec ce que tu as dit, et il faudrait prendre en compte les réelles performances de brute-force de ce type d'ordinateur par exemple, mais pas seulement en attaque de mot de passe en brute force, mais aussi, avec les tables arc en ciel, les attaques par dictionnaire et tous les autres types d’attaques que je ne connais pas, parce que lui, il est vraiment dangereux : https://fr.wikipedia.org/wiki/Tianhe-2

ou ici :

http://www.pcworld.fr/materiel/actualit … 9481,1.htm

Dernière modification par -pascal34- (Le 21/05/2014, à 10:29)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#51 Le 18/02/2014, à 12:18

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#52 Le 18/02/2014, à 13:19

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#53 Le 18/02/2014, à 14:53

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#54 Le 18/02/2014, à 22:45

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#55 Le 19/02/2014, à 08:50

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#56 Le 19/02/2014, à 09:54

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#57 Le 20/02/2014, à 06:12

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#58 Le 20/02/2014, à 10:27

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#59 Le 20/02/2014, à 11:08

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#60 Le 21/03/2014, à 19:41

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#61 Le 21/05/2014, à 10:05

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#62 Le 21/05/2014, à 10:27

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Pied de page des forums