Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#51 Le 18/02/2014, à 11:18

cristobal78

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

-pascal34- a écrit :

Et en dernier point, cela fait deux fois que tu l'indiques sur le forum, et dès la première fois, j'ai trouvé cela assez dangereux de dire en clair ici comment tu construis tes mots de passe, ce n'est peut-être pas très bien de l'indiquer, en fouillant à gauche à droite, on apprend que moins on en dit sur la conception de nos mots de passe (sur Facebook, sur Twitter, sur les forums en clair comme ici), mais même en message privé ici ou ailleurs c'est aussi dangereux, mais peut-être un peu moins car tu n'auras indiqué la façon dont tu construis tes mot de passe qu'à une seule personne, mais sera-t-elle une personne "sympa" ou sera-t-elle une personne "intéressée" au plus haut point" ? difficile à définir sur un forum et en message privé, alors dans le doute..... Mais bon quand c'est en clair comme ici sur les forums, il ne faut pas, car moins tu donnes d'indication précises sur la conception de tes mots de passe, leur longueur, moins tu seras facilement crackable par une personne mal intentionnée.

Pour te rassurer je n'ai pas de compte facebook, pas de Linkedin, pas de compte tweeter, pas de ....
J'ai présenté une méthode, pas mon mot de passe, notamment  "Maître corbeau sur un arbre perché... " qui conduit à Mcsuaptdsbuf1950!

Mais les génies de la littérature française nous ont heureusement plus que généreusement pourvu  en vers et en particulier en alexandrins : Racine, Corneille, de Hérédia, V Hugo, pour n'en citer que quelques uns. Donc le choix est gigantesque.

Exemples :

Corneille, Le Cid
"Je vous connais encore et c'est ce qui me tue"
Jvceeccqmt1950!

Racine, Athalie, le songe
"C'était pendant l'horreur d'une profonde nuit"
Ceplhdupn1950!

Hugo, La conscience
"L'oeil était dans la tombe et regardait Caïn"
LoedlterC1950!

José-Maria de HEREDIA,  Les conquérants
"Comme un vol de gerfauts hors du charnier natal"
Cuvdghdcn1950!

La dernière lettre peut systématiquement être mise en majuscule.
La place du symbole, un point d'exclamation dans mon exemple, peut être systématiquement mis en 1-ère position, ou bien en avant-dernière lettre, à la fin, etc... tout est possible pour gêner l'attaquant. L'année de naissance -qui bien sur n'est pas 1950 dans mon cas !!-  peut être aussi mise ailleurs.

Le tout c'est que le mdp soit :
long (>12 car.)
aléatoire
impossible retenir
enfantin à retrouver (par toi seul)

En pratique
---------------
J'ai 4 PC chez moi. Chacun a un mdp (sudo) différent, chacun issu d'une fable de la Fontaine.

PC1 : corbeau
fable = Corbeau et le renard
"Maître corbeau sur un arbre perché tenait dans son bec un fromage
mdp = Mcsuaptdsbuf1950!

PC2 : loup
fable =Le Loup et l'agneau
"La raison du plus fort est toujours la meilleure"
mdp = Lrdpfetlm1950!

PC3 : lièvre
fable = le lièvre et le tortue
"Rien ne sert de courir il faut partir à point"
Rnsdcifpap1950!

etc...
Une étiquette est collée sur l'écran de chaque PC pour me rappeler son IP locale, et surtout son nom : loup, lièvre, corbeau,  donc le mdp qui lui est associé.

Bon, depuis j'ai changé de fables smile


Laptop Lenovo Ubuntu 20.04 LTS / DELL Mint 20.2 - XFCE / Laptop HP Mint 20.2 - XFCE

Hors ligne

#52 Le 18/02/2014, à 12:19

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Salut Cristobal, ça peut être vraiment problématique à cause de ça : http://linuxfr.org/users/gui13/journaux … s-de-passe

Je sais pas ce que tu en penses ?

#53 Le 18/02/2014, à 13:53

cristobal78

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

on y parle de phrase de passe mais ces phrases existent réellement ou ont un sens, ont été prononcée dans un film, un jeu, un livre ....les mots qui la composent existent. Rien de "RANDOM" dans tout ça.

Un mdp tel que : "ilétaitunpetitnavirequinavaitjamaisnaviguéohéohé" est complètement nul au regard des attaques actuelles mais  car les mots existent, la phrase existe dans une chanson, les lettres ne sont pas le fruit du hasard, etc...
Ca rien à voir avec les mdp dont je parle ici et qui pourrait être :

Iéupnqnajnoo1950!


Laptop Lenovo Ubuntu 20.04 LTS / DELL Mint 20.2 - XFCE / Laptop HP Mint 20.2 - XFCE

Hors ligne

#54 Le 18/02/2014, à 21:45

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

cristobal78 a écrit :

perso j'utilise la méthode de la phrase mnémotechnique du genre plus deux suffixes :

- "Maitre corbeau sur un arbre perché tenait dans son bec un fromage" = Mcsuaptdsbuf
- une date de naissance = 1960
- un symbole (tjrs le même) = !

ce qui donne :

Mcsuaptdsbuf1960!

soit 17 caractères faciles à retrouver/retenir mais sûrement très difficiles ou très/trop longs pour une attaque en force brute.

Ça reste quand même un risque de dire ce qui ressemble à nos mots de passe, à leur construction, surtout en clair sur un forum. Ce que j'ai mis en gras est quand même assez explicite sur la conception que tu décris, je continue à penser que moins un internaute en dira sur la conception de ses mots de passe(en clair ou en message privé à quelqu'un), mieux se portera sa sécurité wink

#55 Le 19/02/2014, à 07:50

J5012

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

la question est moins sur la longueur et la composition du pass que sur la methode de salaison de ce pass ... comme tout le monde le sait, aucun random n'est parfait ... on peut seulement s'en approcher en evitant les erreurs de cyclage grace aux procedes de la salaison (et de l'enfumage tongue ...)

Hors ligne

#56 Le 19/02/2014, à 08:54

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

J5012 a écrit :

la question est moins sur la longueur et la composition du pass que sur la methode de salaison de ce pass ... comme tout le monde le sait, aucun random n'est parfait ... on peut seulement s'en approcher en evitant les erreurs de cyclage grace aux procedes de la salaison (et de l'enfumage tongue ...)

Salut J5012, ce serait bien de développer les points de salaison, enfumage et erreurs de cyclage dont tu parles pour les lecteurs néophytes (en un bref résumé), beaucoup de sauront pas ce que c'est.

#57 Le 20/02/2014, à 05:12

J5012

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

wikipedia :
http://fr.wikipedia.org/wiki/G%C3%A9n%C … %A9atoires

les machines de chiffrement necessitent de generer des nombres aleatoires , aucun systeme n'etant parfait, au bout d'un certain temps les nombres generes au debut reviennent !

les systemes les plus "performants" essaient de reduire cet effet en "salant" (on ajoute une variable independante a la fonction) ou/et en enfumant (un code dans un autre) ...

Dernière modification par J5012 (Le 20/02/2014, à 05:19)

Hors ligne

#58 Le 20/02/2014, à 09:27

bruno

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Le salage concerne le stockage des mots de passe. Un système a besoin de stocker les mots de passe pour pouvoir comparer ce que l'utilisateur a saisi avec ce qui est stocké.

Bien entendu, pour une sécurité de base le système ne stocke pas les mots de passe en clair mais utilise une fonction de hachage (MD5 ou à l'heure actuelle SHA1, SHA2). C'est le résultat de la fonction de hachage, appelée aussi empreinte du mot de passe, qui est stockée et non le mot de passe lui-même.

Lorsque l’utilisateur veut se connecter, le mot de passe qu'il saisit est traité par la même fonction de hachage (SHA1 par exemple) puis comparé à l'empreinte stockée.

Un attaquant qui réussirait à s'emparer des empreintes des mots de passes pourrait utiliser des tables arc-en-ciel (rainbow tables) pour retrouver les mots de passe en clair.

Pour rendre plus difficile ce type d'attaque on utilise en plus de la fonction de hachage une fonction de salage. Le salage consiste à ajouter une chaîne de caractères (aléatoire ou non) au mot de passe avant d'appliquer la fonction de hachage.

Dernière modification par bruno (Le 20/02/2014, à 09:28)

#59 Le 20/02/2014, à 10:08

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Merci J5012 et merci Bruno.

#60 Le 21/03/2014, à 18:41

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Salut, pour ceux que ça intéresse, j'ai trouvé ce lien sur le site du cert (bon je n'ai pas de mérite il est visible sur la page principale), mais en gros il y a un pdf sûrement intéressant en point 2 (le lien de la documentation), ici :

http://www.cert.ssi.gouv.fr/site/CERTA- … index.html


Je ne l'ai pas encore lu, mais vu la qualité de ce site, il doit y avoir des trucs à récupérer, à plus.

#61 Le 21/05/2014, à 09:05

Arbiel

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Bonjour à tous

Je viens de prendre connaissance de cette discussion. Je l'ai lue rapidement et peut-être suis-je passé à côté des remarques et questions suivantes

1) je suis assez d'accord avec les remarques de cristobal78 sur l'importance de la longueur du mot de passe et sur la faible incidence des caractères spéciaux.

2) je ne suis pas d'accord sur l'estimation qu'il fait du nombre de tentatives nécessaires pour casser un mot de passe. Il part du principe que l'attaquant va, pour chaque "tour de roue", incrémenter d'une unité la longueur des essais. Pourquoi ne tirerait-il cette longueur au hasard parmi les longueurs non encore utilisées, en fixant la longueur maximale en fonction de l'effort qu'il veut (ou peut) consacrer à cette activité. La longueur n'est pas une garantie de sécurité absolue et même considéré comme sûr, un mot de passe peut être découvert en moins de temps qu'il n'en faut pour lire ces quelques lignes.

3) il est regrettable que les sites restreignent l'ensemble des caractères disponibles. Lorsque cela est possible, j'utilise un clavier non latin, et je pense que, même avec un seul caractère, je serais déjà bien à l'abri, mais bien sûr, mes mots de passe comportent plusieurs caractères.

4) je me suis longtemps demandé pourquoi il fallait changer fréquemment le mot de passe. Je partais du principe qu'il nous est difficile de trouver de "bons" mots de passe, puis ensuite de mémoriser le mot de passe en vigueur et enfin que, une fois le mot de passe découvert par un attaquant, il est trop tard pour en changer. Je pensais à mon compte en banque. J'ai récemment réalisé que là n'était pas la seule cible des attaques dont nous pouvons être victimes et que nos messages, et les pièces qui y sont jointes, contiennent une multitude d'informations pouvant intéresser un attaquant. Et là, nous n'avons pas connaissance de la fuite.

Arbiel


Arbiel Perlacremaz
LDLC Aurore NK3S-8-S4 Ubuntu 20.04, GNOME 3.36.8
24.04 en cours de tests
Abandon d'azerty au profit de bépo, de google au profit de Lilo et de la messagerie électronique violable au profit de Protonmail, une messagerie chiffrée de poste de travail à poste de travail.

Hors ligne

#62 Le 21/05/2014, à 09:27

compte supprimé

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Bonjour Arbiel, je suis d'accord avec ce que tu as dit, et il faudrait prendre en compte les réelles performances de brute-force de ce type d'ordinateur par exemple, mais pas seulement en attaque de mot de passe en brute force, mais aussi, avec les tables arc en ciel, les attaques par dictionnaire et tous les autres types d’attaques que je ne connais pas, parce que lui, il est vraiment dangereux : https://fr.wikipedia.org/wiki/Tianhe-2

ou ici :

http://www.pcworld.fr/materiel/actualit … 9481,1.htm

Dernière modification par -pascal34- (Le 21/05/2014, à 09:29)