Êtes vous un extra-terrestre du mot de passe ?

Bigcake · Le 20/09/2013, à 13:10

Bonjour,

Je suis en train développer une application (dont je ferai profiter la communauté bientôt), une des options est l'analyse du mot de passe pour savoir si votre mot de passe est fort ou faible, et savoir ce qu'il faut rajouter pour le rendre fort
En me baladant, sur le net je suis tombé sur un article "Plus de 90% des mots de passe sur Internet peuvent être piratés"

franceinfo.fr a écrit :

Six millions de mots de passe analysés
Lors de son étude, la société Deloitte a analysé six millions de "passwords". Elle assure qu'avec les 1.000 mots de passe les plus communs, elle a pu accéder à des services protégés dans 91% des cas. Par "services protégés", elle entend comptes bancaires, réseaux sociaux ou site de vente.
L'étude montre également que 79% des utilisateurs concentrent 500 mots de passes les plus courants.
"Le problème le plus grave des mots de passe est leur réutilisation. L'être humain, pour une question de mémoire, retient cinq, six, sept mots de passe, et naturellement, on les utilise pour tout, ce qui les rend très fragiles" (cabinet Deloitte)

Source : franceinfo.fr

J'ai vite fait le comptage de mes différents comptes locaux / web / pro et de leur mot de passe associés :
J'ai compté 30 comptes et 27 mots de passe différents que je connais par coeurs

D'après le cabinet Deloitte, je suis ne suis donc pas un être humain ..... et vous êtes-vous un extra-terrestre du mot de passe ?

Dernière modification par Bigcake (Le 20/09/2013, à 13:12)

ssdg · Le 20/09/2013, à 14:02

Je dois en être à 4~5 (générés aléatoirement, un à 20 char, les autres à 8 ) connus de tête et le reste (des services dont je me sert moins souvent, avec des mots de passe assez long) dans keepass, par contre, les 4~5 par coeur peuvent être réutilisés plusleurs fois.

c'est pas super, je sais.

Dernière modification par ssdg (Le 20/09/2013, à 14:03)

Compte anonymisé · Le 21/09/2013, à 22:36

Moi j'en ai pas mal mais je suis obligé de les noter sur des bouts de papier sur mon bureau sinon je ne m'en souviens plus

Bon j'en ai aussi quelques uns qui sont stockés dans un fichier crypté ( via cryptkeeper )

Par contre pour celui de ma banque, il n'est ni sur un bout de papier ni dans un dossier crypté mais dans ma tête.
Il est constitué de 2 MDP ( un de 6 chiffres et l'autre de 10 chiffres + une lettre ) mais j'arrive à le garder en mémoire

inkey · Le 21/09/2013, à 23:58

Je doit en avoir 4-5 aussi, depuis le temps que passe sur le web. De plus en plus sophistiqué au fil du temps.
Pous autant j'évite les mots de passe trop compliqué pour mon petit cerveau .
Je privilégie donc plutôt les mots de passe long mais dont on peut se rappeler facilement.
Il n'est d'ailleurs pas forcément intelligent de faire des mots de passe compliqué à l'absurde :

ssdg · Le 22/09/2013, à 21:17

Ce XKCD à été contredit assez rapidement puisque quand on essaie de craquer un mot de passe depuis une liste de mdp MD5, on n'utilise pas la brute force, mais des attaques par dictionnaire (en gros, de la brute force où ou utilise une liste de mots(oui, un dico), de transformations(L33t sp33k, espaces/CamelCase pour les espaces,...) et de combinaisons (en gros plusieurs mots bout à bout au lieu d'un) ).

Désolé, mais si on en croit les articles sur les dernières grosses récupérations de comptes utilisateurs, "shaeNg0yie" sera craqué bien âpres "C0rr3c7 H0r53 b4T73ry St4p13"

godverdami · Le 22/09/2013, à 21:24

Anecdote sur les mots de passe: Je viens de changer d'ordi portable au boulot....entre le boot, le profil, les habilitations, l'accès à l'intranet, les applications protégées, la clé 3G....j'ai fait remarquer à notre cher service informatique qu'il me fallait saisir (et retenir) pas moins de 7 mots de passe pour bosser avec ma machine. Et vas y que je te met de la sécurité sur de la sécurité....c'est franchement dingo
Donc j'en choisi des simples, les + simples possibles....et tant pis pour la sécurité qui, de toutes façons, est un leurre et surtout un excellent argument commercial

Dernière modification par tontonrobertettantirene (Le 22/09/2013, à 22:54)

inkey · Le 22/09/2013, à 22:11

ssdg a écrit :

Ce XKCD à été contredit assez rapidement puisque quand on essaie de craquer un mot de passe depuis une liste de mdp MD5, on n'utilise pas la brute force, mais des attaques par dictionnaire (en gros, de la brute force où ou utilise une liste de mots(oui, un dico), de transformations(L33t sp33k, espaces/CamelCase pour les espaces,...) et de combinaisons (en gros plusieurs mots bout à bout au lieu d'un) ).
Désolé, mais si on en croit les articles sur les dernières grosses récupérations de comptes utilisateurs, "shaeNg0yie" sera craqué bien âpres "C0rr3c7 H0r53 b4T73ry St4p13"

Je suis pas du tout convaincu justement. Une attaque par dictionnaire pour un mot de passe très long composé de plusieurs mots dans un ordre non logique (pas une phrase correctement structuré) me paraît au contraire très dur à trouver, d'autant plus si on s'amuse à déroger un peu à la règle en placant des ajout ou autre et quand bien même ce serait le cas, il s'agit aussi d'une question d'échelle.
Un mot de passe s'il est impossible de se le remémorer n'apporte pas grand chose. Il faudrait un tout autre paradigme pour avoir une vrai sécurité.
En attendant, je trouve que les mots de passe long avec des mots sont probablement le meilleurs compromis.

ssdg · Le 22/09/2013, à 22:24

Comme tu veux, mais il se trouve qu'un ordinateur ne va pas associer les mots logiquement. (sinon, on aurait des logiciel de reconnaissance de caractère ou de traduction automatique bien plus performants depuis bien plus longtemps)

The Uploader · Le 23/09/2013, à 10:55

tontonrobertettantirene a écrit :

Anecdote sur les mots de passe: Je viens de changer d'ordi portable au boulot....entre le boot, le profil, les habilitations, l'accès à l'intranet, les applications protégées, la clé 3G....j'ai fait remarquer à notre cher service informatique qu'il me fallait saisir (et retenir) pas moins de 7 mots de passe pour bosser avec ma machine. Et vas y que je te met de la sécurité sur de la sécurité....c'est franchement dingo
Donc j'en choisi des simples, les + simples possibles....et tant pis pour la sécurité qui, de toutes façons, est un leurre et surtout un excellent argument commercial

Bigcake · Le 23/09/2013, à 16:39

Je suis déçu, je pensais qu'il y aurait plus de gens ici qui retiennent leur X mots de passe différents et régulier....

ssdg a écrit :

Désolé, mais si on en croit les articles sur les dernières grosses récupérations de comptes utilisateurs, "shaeNg0yie" sera craqué bien âpres "C0rr3c7 H0r53 b4T73ry St4p13"

Si tu retrouve l'article ça m'intéresse ! j'ai trouvé un article allant dans ce sens mais y a pas bcp de détails sur le type de mots de passe cassés : http://www.lemondeinformatique.fr/actua … 54825.html

tontonrobertettantirene a écrit :

Et vas y que je te met de la sécurité sur de la sécurité....c'est franchement dingo

Y a une très bonne phrase a ce sujet : La sécurité d'un système se mesure par la résistance de son maillon le plus faible.
Le problème de certaines équipes informatiques, c'est qu'ils ne prennent pas en compte le facteur humain
Avoir un mot de passe différent pour tout les services à changer tout les 3 mois :
- D'un point de vue technique, c'est très sécurisé.
- D'un point de vue humain, c'est ultra chiant et ça devient souvent post-it collé sur l'écran (dans le pire des cas)

Dernière modification par Bigcake (Le 23/09/2013, à 16:42)

ssdg · Le 23/09/2013, à 17:34

Désolé, c'est en anglais, mais c'est là:
https://www.schneier.com/blog/archives/ … ood_a.html (note le C'est une réponse au truc "batterie horse staple")

C'est d'ailleurs sur le même blog qu'on avait vu des "xkcd à raison" à l'époque. Pourquoi? parcequ'XKCD tiens la route mathématiquement (c'est vrai), mais qu'il ne règle pas tout les problèmes.

Wacken · Le 24/09/2013, à 11:26

J'utilise KeePassX pour stocker tous mes mots de passe : un seul fichier chiffré, qui contient des mots de passe de 8 à 24 caractères (selon les règles propres à chaque site web) générés aléatoirement.

xabilon · Le 24/09/2013, à 12:02

ssdg a écrit :

on n'utilise pas la brute force, mais des attaques par dictionnaire (en gros, de la brute force où ou utilise une liste de mots(oui, un dico), de transformations(L33t sp33k, espaces/CamelCase pour les espaces,...) et de combinaisons (en gros plusieurs mots bout à bout au lieu d'un) ).

Un dico... en quelle langue ? en navajo ? tibétain ? basque ?
Je n'ai que quelques mots de passe faciles à retenir (pour moi), mais ils sont stockés exclusivement dans ma tête.

Henry de Monfreid · Le 24/09/2013, à 12:18

Salut.

Moi, je prend les initiales des mots d'une chanson.

Allons enfants de la Patrie,Le jour de gloire est arrivé >> aedlpljdgea

On ne retrouve pas ce genre de password avec une attaque par dictionnaire et on s'en souvient facilement.

On peut compliquer avec des !@#$%^&*, des chiffes et des majuscules.

godverdami · Le 24/09/2013, à 13:27

Y a une très bonne phrase a ce sujet : La sécurité d'un système se mesure par la résistance de son maillon le plus faible.
Le problème de certaines équipes informatiques, c'est qu'ils ne prennent pas en compte le facteur humain
Avoir un mot de passe différent pour tout les services à changer tout les 3 mois :
- D'un point de vue technique, c'est très sécurisé.
- D'un point de vue humain, c'est ultra chiant et ça devient souvent post-it collé sur l'écran (dans le pire des cas)

Oui...un autre ecceuil est qu'ils n'ont pas de vision globale...style, je sécurise une appli, mais ça ne me vient pas à l'esprit que pour l'utilisateur ça représente une couche supplémentaire.
Le pire, c'est que ça tient aussi au degré de connaissances des personnels des services informatiques. Moins ils en savent et plus ils te pondent des usines à gaz

Dernière modification par tontonrobertettantirene (Le 24/09/2013, à 13:28)

ssdg · Le 24/09/2013, à 14:32

xabilon a écrit :

ssdg a écrit :
on n'utilise pas la brute force, mais des attaques par dictionnaire (en gros, de la brute force où ou utilise une liste de mots(oui, un dico), de transformations(L33t sp33k, espaces/CamelCase pour les espaces,...) et de combinaisons (en gros plusieurs mots bout à bout au lieu d'un) ).
Un dico... en quelle langue ? en navajo ? tibétain ? basque ?
Je n'ai que quelques mots de passe faciles à retenir (pour moi), mais ils sont stockés exclusivement dans ma tête.

Oui, c'est plus facile quand tu connais la langue de ton interlocuteur. Dans le cas d'une attaque ciblée, Français et Anglais (et sans doute les langues et patois enseignées/parlés là ou tu as fait tes études ou des voyages... 15min~2h x 8 langues grand max, c'est toujours moins que 10 ans)

xabilon · Le 24/09/2013, à 16:09

Mouais... je sais pas, je préfère avoir une dizaine de mots de passe en tête, facilement mémorisables, que plein de mots de passe impossibles à retenir stockés sur un disque dur.
Donc je ne suis pas un extra-terrestre

Bigcake · Le 24/09/2013, à 17:09

ssdg a écrit :

https://www.schneier.com/blog/archives/ … ood_a.html

Nickel, c'est vraiment bien fait et très intéressant comme article

Effectivement, la technique de SOD est très bonne, ils en parlent dans l'article d'ailleurs (par contre il faut rajouter majuscule et caractère spécial minimum, sinon c'est pas top)

Dernière modification par Bigcake (Le 24/09/2013, à 17:12)

Dragoneart · Le 25/09/2013, à 08:22

Pour ma part, je pense que l'on peut dire que je suis un extraterrestre du mot de passe. Mes 2 seuls mots de passe ne veulent strictement rien dire. L'un a une signification, mais dans aucune langue. C'est une signification plutôt mathématique. Le 2ème, je l'ai fait à partir d'une langue que je m'étais amusé à inventer pour un roman. Et ce dernier mot de passe est tellement long, qu'à chaque fois que je me connecte sur hotmail, leur limite de 16 caractères à la noix me force à supprimer quelques lettres à la fin... XD
Mais sinon, pas de risque pour moi. Ca fait plus de 3 ans que j'utilise ces 2 mots de passe, alors longs et difficiles, OK, mais la seule chose qui pourra me les faire oublier, c'est Alzheimer, à mon avis. XD
(Et je précise que je n'ai pas besoin de les stocker sur un disque dur ni sur un bout de papier... donc arrêtez de dire que les mots de passes longs, compliqués et sans aucun sens ne peuvent pas être mémorisés. ^^')

Bob49 · Le 28/09/2013, à 14:17

Salut

De toute façon, s'il y à du piratage possible de mots de passe, qu'il soit super complexe ou pas... il sera piraté.
Qu'il soit utilisé à maintes reprises ou pas, c'est pareil... Une seule fois utilisé et il peut être piraté...

C'est comme le paiement par carte bancaire..... il y à des personnes qui font beaucoup d'achats sur internet, sans aucun problème (comme moi ) et d'autres qui se font avoir dés le premier achat... C'est la faute à pas de chance et au(x méchant(s) qui se trouve à l'autre bout !
Et pour la carte bancaire, tu change pas d'identifiants comme cela.

D'ailleurs, si l'on vient à commander sur le net, on commande sur de plus en plus de sites, donc de plus en plus d'identifiants à retenir.... donc faire dans le très compliqué ne tient pas longtemps, surtout pour les mémoriser dans la p'tite tête de sa personne.

Pour les sites autres que les commerciaux, banque et mes webmail, ça me dérange bien moins si une autre personne se connecte à ma place et je vais pas faire dans le très compliqué non plus !... au pire je fais supprimer le compte et j'en crée un autre.

Dernière modification par Bob49 (Le 28/09/2013, à 16:44)

:!pakman · Le 28/09/2013, à 22:47

Compte importants :
Pour ma part, c'est un bide de mon petit frêre qui me sert de mot de passe
Il était petit, il aimait raconter une blague nulle, dans un français approximatif, mais c'était mignon, je l'ai gardée comme mot de passe

Je sais qu'il fait plus de 30 caractères, un peu chiant quand les cookies arrivent à expiration. Mais allez retrouver le mot de passe à partir du hash...

Les autres comptes
Mot de passe qui mélange chiffres, lettres, caractères spéciaux, mais qui ne veut rien dire.

J'ai que 2-3 mots de passes, pas terrible...

bbkmet · Le 29/09/2013, à 10:57

J'ai remarqué que la communauté des utilisateurs de Linux est beaucoup beaucoup plus stricte sur sa sécurité que d'autres. Enfin, c'est une impression. Perso, j'ai jamais trop compris cette parano sur la sécurité de mes différents comptes (jeux / sites internet / forum...). J'aimerais bien savoir qui va avoir envie de venir me piraté moi, sur des millions et des millions d'utilisateurs du web, alors qu'aucune raison censé le pousse à le faire.
J'ai des mots de passe assez similaire pour presque tout, mais plutôt long, plus de 10 caractères. Et je n'ai jamais eu aucun soucis.

Apparament, je suis humain !

Henry de Monfreid · Le 29/09/2013, à 13:18

bbkmet a écrit :

J'aimerais bien savoir qui va avoir envie de venir me piraté moi

Principalement : des mafias ou des services secrets pour utiliser ton PC au sein d'un botnet. Accessoirement : l'ex petit-ami de ta fille pour vandaliser son compte facebook.

Bob49 · Le 29/09/2013, à 13:46

SODⒶ a écrit :

bbkmet a écrit :
J'aimerais bien savoir qui va avoir envie de venir me piraté moi
Principalement : des mafias ou des services secrets pour utiliser ton PC au sein d'un botnet. Accessoirement : l'ex petit-ami de ta fille pour vandaliser son compte facebook.

Wouaihhh !! après cela à tendance à s'appeler "paranoïa"... Attention à ne pas te faire piraté tes mots de passe par les extraterrestres...d'après les films de science-fiction, il ont de millénaires d'avance sur les terriens en matière de technologie...
De toute façon, les services secrets ont les moyens de passer les mots de passe les plus complexe et les mafias se payer les personnes qui ont ses moyens... Bref, il faut faire des mots de passe pas trop simple, mais trop compliqué ne sers pas à grand chose.

Mais peut-être que derrière bbkmet soit une personne renommée se cache !... on ne sait jamais.

Henry de Monfreid · Le 29/09/2013, à 13:51

Bob49 a écrit :

Wouaihhh !! après cela à tendance à s'appeler "paranoïa"... Attention à ne pas te faire piraté tes mots de passe par les extraterrestres...d'après les films de science-fiction, il ont de millénaires d'avance sur les terriens en matière de technologie...

Avant de rire, regarde les logs de ton routeur.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 20/09/2013, à 13:10

Êtes vous un extra-terrestre du mot de passe ?

#2 Le 20/09/2013, à 14:02

Re : Êtes vous un extra-terrestre du mot de passe ?

#3 Le 21/09/2013, à 22:36

Re : Êtes vous un extra-terrestre du mot de passe ?

#4 Le 21/09/2013, à 23:58

Re : Êtes vous un extra-terrestre du mot de passe ?

#5 Le 22/09/2013, à 21:17

Re : Êtes vous un extra-terrestre du mot de passe ?

#6 Le 22/09/2013, à 21:24

Re : Êtes vous un extra-terrestre du mot de passe ?

#7 Le 22/09/2013, à 22:11

Re : Êtes vous un extra-terrestre du mot de passe ?

#8 Le 22/09/2013, à 22:24

Re : Êtes vous un extra-terrestre du mot de passe ?

#9 Le 23/09/2013, à 10:55

Re : Êtes vous un extra-terrestre du mot de passe ?

#10 Le 23/09/2013, à 16:39

Re : Êtes vous un extra-terrestre du mot de passe ?

#11 Le 23/09/2013, à 17:34

Re : Êtes vous un extra-terrestre du mot de passe ?

#12 Le 24/09/2013, à 11:26

Re : Êtes vous un extra-terrestre du mot de passe ?

#13 Le 24/09/2013, à 12:02

Re : Êtes vous un extra-terrestre du mot de passe ?

#14 Le 24/09/2013, à 12:18

Re : Êtes vous un extra-terrestre du mot de passe ?

#15 Le 24/09/2013, à 13:27

Re : Êtes vous un extra-terrestre du mot de passe ?

#16 Le 24/09/2013, à 14:32

Re : Êtes vous un extra-terrestre du mot de passe ?

#17 Le 24/09/2013, à 16:09

Re : Êtes vous un extra-terrestre du mot de passe ?

#18 Le 24/09/2013, à 17:09

Re : Êtes vous un extra-terrestre du mot de passe ?

#19 Le 25/09/2013, à 08:22

Re : Êtes vous un extra-terrestre du mot de passe ?

#20 Le 28/09/2013, à 14:17

Re : Êtes vous un extra-terrestre du mot de passe ?

#21 Le 28/09/2013, à 22:47

Re : Êtes vous un extra-terrestre du mot de passe ?

#22 Le 29/09/2013, à 10:57

Re : Êtes vous un extra-terrestre du mot de passe ?

#23 Le 29/09/2013, à 13:18

Re : Êtes vous un extra-terrestre du mot de passe ?

#24 Le 29/09/2013, à 13:46

Re : Êtes vous un extra-terrestre du mot de passe ?

#25 Le 29/09/2013, à 13:51

Re : Êtes vous un extra-terrestre du mot de passe ?

Pied de page des forums