Ashley Madison : les mots de passe navrants de banalité
Même pour un usage aussi sensible
Il y aura bientôt deux mois, le site de rencontres Ashley Madison a été durement piraté. L’Impact Team, le groupe de pirates à l’origine de l’attaque, s’est emparé des informations de 36 millions de comptes. Une énorme fuite de données qui montre encore une fois que les mots de passe choisis sont loin, très loin d’assurer la moindre protection.
Ashley Madison est un site de rencontres, mais d’un genre particulier. L’objectif est affiché avec franchise et fierté : aider les personnes en couple, voire mariées, à aller voir ailleurs dans la plus grande discrétion. Une aura sulfureuse sur laquelle les projecteurs se sont brutalement braqués il y a un peu moins de deux mois, quand un groupe de pirates s’est emparé des données d'environ 37 millions de comptes utilisateurs. De quoi donner immédiatement des sueurs froides aux inscrits.
Toutes les données personnelles des comptes
Lorsque l’annonce a été confirmée par l’éditeur Avid Life Media (ALM), la menace est devenue très sérieuse et la société a d’ailleurs souhaité arrondir les angles. Supprimer complètement son profil sur Ashley Madison était ainsi une opération payante, facturée 19 dollars. ALM avait rendu l’opération gratuite, mais les pirates avaient averti que non seulement cette procédure n’était pas aussi complète qu’indiqué, mais que les données avaient déjà été récupérées. Ils demandaient que les sites Ashley Madison et Established Men soient fermés définitivement, sans quoi les données deviendraient publiques.
Moins d’un mois plus tard, la menace était mise à exécution : plusieurs gigaoctets de données ont été mis en ligne, et beaucoup se sont jetés sur les fichiers pour vérifier leur authenticité. Un fichier d’environ 10 Go s’est ainsi retrouvé partagé par BitTorrent et contenait bien les emails, données de profils, listes de transactions par carte bancaire et autres informations présentes dans les comptes Ashley Madison. Tout était présent : noms, prénoms, adresses, descriptions, poids, taille, numéro de téléphone et ainsi de suite.
Des erreurs dans la sécurité et une utilisation internationale
Des données sensibles protégées par un mot de passe chiffré et salé, via bcrypt. En temps normal, ce dernier aurait dû représenter un sérieux défi : très gourmand en puissance de calcul, il aurait réclamé de nombreuses années pour déchiffrer le contenu. Mais un groupe de « crackers », CynoSure Prime, a révélé il y a quelques jours que des erreurs de programmation permettaient un décryptage beaucoup plus rapide pour environ 15 millions de comptes. En fait, les mots de passe de ces derniers étaient stockés dans la base de données (qui atteignait 100 Go après plusieurs semaines de publications) en ayant été passés seulement dans la moulinette MD5. Avec ce dernier, couplé au fait que les développeurs convertissaient automatiquement les majuscules en minuscules avant le hachage, a permis de tester plusieurs millions de possibilités chaque seconde.
Des choix opérés sans doute (c’est l’avis du groupe de crackers) pour accélérer les étapes de vérification et de connexion, ALM n’ayant pas voulu ralentir son site. Le résultat est que les données sont en circulation depuis plusieurs semaines, et l’on sait par exemple qu’environ 15 000 comptes ont été créés avec adresses email officielles provenant d’instances gouvernementales américaines. On trouve également plus de 1 300 comptes appartenant à des français, y compris parfois avec des adresses tout aussi officielles.
Mots de passe : un bien triste constat
Et si la situation n’était déjà pas assez navrante, on connaît désormais les mots de passe utilisés par plusieurs millions d’internautes. Le constat est assez effarant, mais s’aligne avec le comportement de ceux qui n’ont pas imaginé une seconde qu’utiliser une adresse officielle pouvait être un problème. Le Top 10 des mots de passe les plus utilisés est ainsi : 123456, 12345, password, DEFAULT, 123456789, qwerty, 12345678, abc123, pussy et 1234567. Rien de différent finalement avec les mots de passe utilisés ailleurs, à une exception. Mais le caractère très sensible des activités du site ne semble pas avoir invité ses utilisateurs à une plus grande prudence.
Les statistiques fournies par CynoSure Prime sont particulièrement intéressantes et précises. Elles se basent sur un échantillon de 11,7 millions de mots de passe, dont on sait désormais que seuls 4,6 millions d’entre eux étaient uniques, mais tous sont considérés comme faibles. On sait en outre que le mot de passe « 123465 » a été utilisé 120 511 fois, « password » 39 448 fois, « DEFAULT » 34 275 fois, et ainsi de suite. Finalement, les utilisateurs d'Ashley Madison n'ont pas pris plus de précautions que sur LinkedIn, Adult Finder ou encore chez Sony Pictures.
Déni, remord et humour comme sources d’inspiration
Quelques jours plus tard, CynoSure Prime extirpait de la base des mots de passe plus longs, et qui avaient nécessairement pris plus de temps à trouver. Constat intéressant : au moins une partie des utilisateurs d’Ashley Madison se sentait coupable d’utiliser un tel service. On jugera des mots de passe employés :
- ishouldnotbedoingthis : « Je ne devrais pas faire ça »
- ithinkilovemywife : « Je pense que j’aime ma femme »
- donteventhinkaboutit : « N’y pense même pas »
- justcheckingitout : « Je ne fais que regarder »
- goodguydoingthewrongthing : « Un mec bien faisant une erreur »
- youwillneverfindout : « Tu ne sauras jamais »
- allthegoodpasswordshavegone : « Tous les bons mots de passe ont été pris »
On pourrait être tenté de dire que ces mots de passe sont meilleurs que ceux mentionnés plus haut. S’il faut vraiment établir une « hiérarchie du pire », alors c’est le cas. Mais comme le rappelle CynoSure Prime, les suites de mots composants des phrases simples sont particulièrement vulnérables. En outre, il n’y a que des lettres, toutes en minuscules, même si ajouter des majuscules à certains mots de passe ne changerait probablement rien, tant ils sont prévisibles. 630 000 mots de passe étaient même identiques aux identifiants correspondants.
On ne rappellera jamais assez qu’un bon mot de passe est unique et contient des lettres minuscules et majuscules, des chiffres ainsi que des symboles. Ils ne doivent pas présenter de mots issus du dictionnaire ou d’informations trop aisées à deviner, comme les dates d’anniversaires des enfants, le second prénom, le nom de jeune fille et ainsi de suite. Bien entendu, le service sur lequel on s’inscrit a un rôle crucial à jouer, car il doit non seulement stocker les informations de manière sécurisée, mais il peut définir ce qu’il accepte ou non comme mot de passe. Ashley Madison n’aurait par exemple jamais dû accepter un mot de passe identique à l’identifiant.
Commentaires (157)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 14/09/2015 à 15h20
“On ne rappellera jamais assez qu’un bon mot de passe est unique et
contient des lettres minuscules et majuscules, des chiffres ainsi que
des symboles. Ils ne doivent pas présenter de mots issus du dictionnaire”
J’ai souvent entendu le contraire, une petite démonstration :
 https://xkcd.com/936/
Le 14/09/2015 à 15h21
Le 14/09/2015 à 15h25
Eh ! Tant que le robot est majeur et consentant !
" />
Le 14/09/2015 à 15h26
L’idéal c’est de saisir une phrase où il y aura naturellement de la ponctuation et éventuellement des signes diacritiques. Mais en matière de sécurité de mots de passe le mieux ce sont les banques pour l’accès en ligne : le plus souvent limité à 6 chiffres pour le mot de passe, un beau certificat EV à au moins 250 $ et une config https notée F par SSLLabs !
Le 14/09/2015 à 15h26
Robot de 18 ans : gaffe aux défaillances.
Le 14/09/2015 à 15h28
545dsqf5dsf#‘à”“é’àé)_ç”(“654é”(
Essaye de memoriser ce pass..
Utiliser des gestionnaires de pass? On en revien au même probleme, et le jours ou ce dit gestionnaire de pass se fait hacké?
Le 14/09/2015 à 15h30
Le gestionnaire en local sur une partition non accessible depuis le réseau local et avec des droits d’accès bien configuré. Ça limite la potentielle casse.
Le 14/09/2015 à 15h30
Tu as oublié de mettre une/des majuscules
Le 14/09/2015 à 15h32
En gros le plus simple c’est d’assumer son truc. Au moins si c’est public on viendra pas te faire chier
" />
Apres faire du blabla pour les mots de passe c’est bien. Mais vu la multiplication des sites qui demandent un mot de passes, allez retenir tout ca.
Si c’est pour écrire en clair sur un fichier je n’en vois pas trop l’intérêt.
Le 14/09/2015 à 15h38
Ça même un nom ce phénomène : Password Fatigue
On demande à des gens de trouver des mots de passe complexes et uniques pour chaque sites alors que beaucoup de gens ne se sentent pas capables de tout retenir (je ne dis pas que c’est vrai, mais c’est ce qu’ils ressentent).
Quand on sait qu’un bon mot de passe devrait avoir 10 caractères mixtes minimum aujourd’hui, ça devient vraiment un problème .
Tous les moyens sont bon : post-it sur le clavier, fichier txt sur le bureau, même mdp partout ou mdp le plus faible possible, et keepass dans le meilleur des cas.
Il ne faut pas se tromper, je suis totalement pour la sécurité des mots de passe. Mais ne pas tenir compte du fait que c’est compliqué pour certaines personnes est aussi une des raisons pour lesquelles les gens se font avoir.
Le 14/09/2015 à 15h41
Demander à l’utilisateur de créer des mots de passe complexes, c’est une chose. Reste encore bon nombre de sites qui renvoient, suite à une inscription, ton mot de passe en clair dans un mail (en clair) de confirmation. ça m’est arrivé 2 fois en peu de temps, et pas forcément des sites inconnus.
Sans compter certaines banques ou certains FAI, qui limitent -lamentablement- les “mots de passe” à 4 ou 6 chiffres !
Quant aux gestionnaires de mots de passe, je trouve pas ça choquant, étant donné que c’est le “moins pire” des compromis entre sécurisation, mémorisation et quantité d’identifiants utilisés (j’utilise Keepass)
Le 14/09/2015 à 15h42
Concernant les mots de passe, je ne suis pas étonné. Je pense que la plupart des gens utilisent des mots de passe d’une facilité déconcertante, quelque soient les sites qu’ils utilisent, et ils utilisent un même mot de passe pour plusieurs sites.
Nous n’avons pas pris encore l’ampleur du désastre : la sécurité informatique est grandement négligé par une majorité de gens, particuliers comme entreprises.
Le 14/09/2015 à 15h42
C’est la taille qui compte…
" />
Pour avoir un mot de passe difficile à forcer hein
Le 14/09/2015 à 15h45
ces mots de passe
" />
Le 14/09/2015 à 15h48
y’avait une stats qui était sortie sur le site également :
Pour 1 compte féminin, il y avait plus de 5000 comptes masculins.
Fallait vraiment u croire !
Le 14/09/2015 à 15h54
Le 14/09/2015 à 21h51
Un peu d’ingénierie sociale et il est vite trouvé.
" />
Le 14/09/2015 à 22h28
Le 14/09/2015 à 22h54
Si le site a changé de nom, tu peux te connecter avec l’ancien mdp puis faire la modification. Et si un gus balance un de nos mdp en clair, rien ne dit qu’il va faire un lien avec tous nos mots de passe et trouver l’algo correspondant. Rien n’empêche aussi de mettre un passphrase au lieu des initiales, etc.
Mais de toute façon, on aura beau choisir un beau mot de passe, si les sites en questions ne prennent pas le temps de le crypter et de sécuriser leurs serveurs… Ce système de mdp a au moins l’avantage de répondre aux critères de sécurité et d’être unique par site.
Le 14/09/2015 à 23h07
Le 14/09/2015 à 23h11
Le 15/09/2015 à 04h31
Le 15/09/2015 à 04h34
Le 15/09/2015 à 05h52
“gone” parmis les 100 mots les plus utilisés ?, j’ai pas trouvé de liste qui le référence.
De toute façon, on peut comparer cette phrase à un mode de passe type “123Ab”.
Le 15/09/2015 à 06h03
Sérieux ? Ce n’est pas le cas de ma banque en tout cas
" />
Le 15/09/2015 à 06h05
Mouais j’ai quand même un doute pour une attaque non-ciblée : il faut déjà comprendre l’algo employé par l’utilisateur pour son MDP et aller le tester sur d’autres sites, sans aucunes garanties. Pour une attaque ad hominem je veux bien, le pirate va prendre le temps de comprendre, mais pour une attaque de masse, ça me semble un peu plus difficile
" />
Le 15/09/2015 à 06h33
Le 15/09/2015 à 06h39
Certes, mais si l’algo est un peu plus compliqué que ça, ta technique tombe à l’eau. Par exemple, l’utilisateur rajoute une date ou une couleur (blue pour FB).
Le 15/09/2015 à 07h02
Sérieux. Ma banque pro est comme ça : faille POODLE non patchée, SSL toujours activé, et 6 chiffres pour le mot de passe. Il y a eu une conférence Pas sage en Seine cette année sur les configs TLS, l’intervenant a testé une grande quantité d’accès aux comptes en ligne de banques françaises, à quelques très rares exceptions la note était (selon SSLLabs) : F
" />
Le 15/09/2015 à 07h09
Non.
Le 15/09/2015 à 07h15
Idée simple pour les mots de passe : prenez quelque chose de facile à retenir, une phrase par exemple, ou une série de mots aléatoires comme conseillé dans XKCD. Allez juste sur http://www.base64encode.org/ et encodez votre série de mots. Ainsi plus besoin de retenir le vrai mot de passe. Et vous aurez un mot de passe pas trop mal niveau sécurité, que vous pourrez retrouver en visitant ce site. De cette façon il est même possible d’associer un mot de passe spécifique à chaque site sans avoir à le retenir.
En prenant l’exemple de XKCD : le mot de passe “correct horse battery stapple” devient :
“Y29ycmVjdCBob3JzZSBiYXR0ZXJ5IHN0YXBwbGU=” et vous n’avez même pas à retenir tout ce charabia :-)
Le 15/09/2015 à 07h15
et #TaubiraPrésidente2017!
Le 14/09/2015 à 15h08
Après on dit que ce sont les femmes qui trompe le plus souvent
" />
Le 14/09/2015 à 15h11
Pourtant pour ce genre de choses il faut être deux…
Le 14/09/2015 à 15h16
Tout à fait, sauf que là c’est un mauvais exemple vu qu’il n’y avait que des mecs sur ce site
" />
Le 14/09/2015 à 15h16
mais tous sont considérés comme faibles
M’enfin, Ashley Madison peut pas trop se permettre de donner des leçon.
Pour les mdp, j’aime bien utiliser les initiales des mots d’une phrase facile à retenir. La partie moins évidente à retenir c’est d’y inclure majuscules/chiffres (les symboles étant de moins en moins fréquemment acceptés, sans doute à cause des sites pour lesquels un login par tél est possible)
Le 14/09/2015 à 15h19
Deux ou plus. Vu le “rapport de force” sur le site, le “plus” a dû se produire un minimum :p
Sinon affligeant de voir à quel point les mdp sont évidents. Comme si les gens n’avaient absolument rien à cacher, encore plus dans ce cas. Y’a quand même un minimum d’effort à faire, si on peut parler d’effort.
Le 14/09/2015 à 15h57
Je vois pas l’interêt des majuscules/minuscule/accent/etc…. Pour un ordi ca reste un caractère donc ca ne rajoute aucune protection contre un ordi un tant soit peu puissant. Par contre plus c’est long, plus c’est bon ….
Le 14/09/2015 à 15h58
Mots de passe : un bien triste constat
Mots de passe : une bien pauvre méthode d’authentification. Surtout pour un usage aussi sensible.
/If You’re Not Part of the Solution, You’re Part of the Problem.
Le 14/09/2015 à 15h59
Le 14/09/2015 à 16h00
En alternatif chantifiant qui impactent certaines catégories d’utilisateurs : des sites qui utilisent des captchas tellement difficiles à lire que certains utilisateurs n’arrivent plus à les déchiffrer…
Ta démonstration est la bonne, confirmée dans mon boulot. On ne peut sincèrement imposer à chaque utilisateur d’avoir un mot de passe robuste par service auquel il accède. 99% des utilisateurs en sont incapables (risques d’oublis, post-it, …)…
Les alternatives à cela ? Bah on les attend toujours… Je parle pas d’un système particulier (biométrie ou autre), mais d’un système d’authentification standard et pas trop cher (pour être repris par suffisamment de services) sans être une tare pour les utilisateurs. Des connaisseurs ?
Le 14/09/2015 à 16h00
Je ne comprends plus trop en quoi il est difficile de trouver des mdp un peu élaborés, différents selon les sites et facilement mémorisables sans recourir à un gestionnaire. En tout cas quand on est pas limités par le nombre de caractères, ça marche pas mal.
Adapter son mdp au site visité c’est plutôt bien, si on arrive à trouver l’équilibre entre robustesse et mémorisation. Vu que tu peux adopter des règles totalement random et connues uniquement de toi. Et ça évite d’avoir un gestionnaire sur le PC.
Pour ma part, ça marche bien, je ne retiens plus les mdp mais des règles de constitution/calcul qui permettent de tout recracher dans les 30 sec grand max. Les mdp sont complexes, totalement aléatoires vu de l’extérieur (à partir du moment où on a 5 règles ou +, même en connaissant un seul mdp ça me paraît très difficile de retrouver le machin tellement les écarts sont importants).
Bref, 123456 c’est vraiment qu’on en a rien à foutre.
Le 14/09/2015 à 16h01
Le 14/09/2015 à 16h03
On ne rappellera jamais assez qu’un bon mot de passe est unique et contient des lettres minuscules et majuscules, des chiffres ainsi que des symboles.
… pour arriver à des mots de passes tellement compliqués que les gens les écrivent sur des post it collés sur le bord de leur écran.
Le 14/09/2015 à 16h04
Le 14/09/2015 à 16h11
Le 14/09/2015 à 16h11
Il faudrait que les sites acceptent tous une connexion via Facebook ou via Twitter. Ca diminuerait le nombre de mot de passe à retenir et permettrait d’avoir des mots de passe plus compliqués.
Le 14/09/2015 à 16h12
“On ne rappellera jamais assez qu’un bon mot de passe est unique et contient des lettres minuscules et majuscules, des chiffres ainsi que des symboles. Ils ne doivent pas présenter de mots issus du dictionnaire ou d’informations trop aisées à deviner”
Pas d’accord :
http://imgs.xkcd.com/comics/password_strength.png
Le 14/09/2015 à 16h14
Perso, j’ai plusieurs mots de passe, plus ou moins sécurisé en fonction de l’importance du site où je vais. Sur un site sur lequel j’ai des doutes j’utilise un mot de passe bidon que je peux me faire voler sans rien craindre car je me fiche des données contenues sur ce site (et il ne permet de se connecter à mes mails). Avoir un mot de passe par site est impossible.
Le 14/09/2015 à 16h15
mention spéciale pour :
allthegoodpasswordshavegone : « Tous les bons mots de passe ont été pris »
(J’adore)
Le 14/09/2015 à 16h18
Le 14/09/2015 à 16h19
Le 14/09/2015 à 16h20
Le 14/09/2015 à 16h22
Le 14/09/2015 à 16h31
Le 14/09/2015 à 16h41
On peut faire un peu plus simple…
" />
Dans mon gestionnaire de mot de passe, je n’indique quasiment jamais le login associé au mot de passe…
Juste @email.fr ou “dee…” par exemple sur des sites comme NXI qui utilisent des logins comme indication.
Je me dis que comme ça, si ce fichier se fait pirater, normalement ça devrait faire une belle jambe au pirateur !
Bien entendu, je n’utilise pas de gestionnaire de mot de passe pour mes adresses mails
Après, aucune sécurité n’est fiable à 100% !
Faut surtout tenter d’utiliser un mot de passe par site, un maximum d’adresse mails différentes et la validation en plusieurs étapes quand c’est possible parce que généralement, c’est pas les gestionnaires qui sont en défaut mais la sécurité des sites web en eux mêmes !
Le 14/09/2015 à 16h42
Pas marié, peux pas y aller
" />
Le 14/09/2015 à 16h42
et l’on sait par exemple qu’environ 15 000 comptes ont été créés avec adresses email officielles provenant d’instances gouvernementales américaines. On trouve également plus de 1 300 comptes appartenant à des français, y compris parfois avec des adresses tout aussi officielles.
Et qu’est-ce qu’on s’en fout ?
Les mecs ne veulent pas utiliser leur mail personnel, ils prennent celui qu’ils ont sous la main, j’imagine, en se disant que c’est séparé de leur vie perso….
Ou bien c’est le côté “ouhhh c’est pas bien, un fonctionnaire qui trompe sa femme
Le 14/09/2015 à 16h44
En allant dans cette direction, il y a mieux : OpenID
Wikipedia
Le protocole est libre, il y a de nombreuses implémentation open source et pas mal de fournisseur de confiance.
Ça commence à être vieux comme le monde (comprendre largement éprouvé et non pas obsolète) et devrait être universel/unifié depuis longtemps plutôt que de multiplier les SSO (facebook, twitter, google, … France connect, …).
Et si tu ne fais pas confiance aux autres acteurs (genre comme moi ?), tu fais ton propre provider.
Attention tout de même, cette dernière possibilité peut être à double tranchant si l’on fait n’importe quoi.
Le 14/09/2015 à 16h44
Truc tout bête qui permet d’avoir des mots de passe solide (ça vient de Mozilla) :
Ca donne :
Facebook : %aBc\(Fb
Next Inpact : %aBc\)NxI
Google : %aBc\(Gg
Microsoft : %aBc\)Ms
Le Bon Coin : %aBc$LbC
Et ainsi de suite
Si le site demande des chiffres dans le mdp, rajouter le département ou l’année de naissance à la fin.
Le 14/09/2015 à 16h45
Le 14/09/2015 à 16h47
Le 14/09/2015 à 16h49
Schéma prédictible, tu en casse un, tu les as tous.
Le 14/09/2015 à 17h08
C’est pour ça qu’il faut une base de mdp avec des caractères exotiques à base de #, &, % et j’en passe. Par force brute ou par dictionnaire, c’est indéchiffrable, et ça répond aux critères d’un mdp “sûr”.
Le 14/09/2015 à 17h12
Je me demande, parmi tous les gens qui utilisent leurs adresses institutionnelles, combien utilisaient le même mot de passe sur Ashley Madison et sur le SI de leur gouvernement (si vous vous faites prendre en ratissant les webmails de ministères, c’est pas moi qui vous ai donné l’idée
" />)
Le 14/09/2015 à 17h13
mouais t’as augmenter ton charset size mais t’es quand même à max 8 caractères … :p
Le 14/09/2015 à 17h14
Oui et non.
L’attaque par dico d’un tel mot de passe prendrait autant de temps qu’une attaque par bruteforce d’un mot de passe aléatoire relativement long.
Le 14/09/2015 à 17h20
ça répond à la norme du moment en effet, tant que ça reste une niche et/ou que tu n’es pas spécifiquement ciblé et que le public n’a pas conscience que le système est déjà désuet.
Tout système mémo-technique et/ou à base de constante est faillible, il faut juste qu’une seule personne ce penche sur l’algo pour le casser.
Si le système devient un tant soit peu populaire (genre conseillé par Mozilla), on peut être certain que la technique a été développé à coté des bons vieux brute force, dicos et autres techniques plus ou moins exotiques.
Le 14/09/2015 à 17h24
Moi j’aime pas parce que:
1- on se rappelle jamais de la façon dont on avait abrégé le nom du site (en + s’il change change, on est dans le caca)
2- si un blaireau nous le renvoie en clair, tous les mots de passes sont morts d’un coup.
A la limite :
. 1- choisir une racine non triviale : fgc”6876r’#\(a
. 2- y coller le nom complet du site : fgc"6876r'#\)anextinpact
. 3- hasher avec l’algo de son choix, ça peut être un algo tout à fait standard
. 4- utiliser ce hash (ou un morceau) comme mot de passe
Reste à résoudre le problème du changement de nom et à toujours se balader avec l’algo sous la main.
C’est pas parfait, mais ça devrait te protéger des attaques non ciblées, et ça nécessitera déjà plus d’efforts à quelqu’un qui te voudrait personellement du mal
Le 14/09/2015 à 17h35
Les 100 mots de passe vraiment efficaces
Désolé…
Le 14/09/2015 à 17h55
Un algorithme de Brut force va essayer de trouver ton mot de passe en essayant de faire le moins d’essais possible, sur la base de la probabilité:
- il va commencer par les 10 000 password les plus connus ( 123, password, 321 etc) ( 10 000 c’est un ordre d’idée) >> rien qu’avec 10 000 essais, il a une grande chance de hacker le compte.
- il va ensuite essayer des mots du dictionnaire, des combinaisons de mot du dictionnaire, quelques chiffres avec… beaucoup de combinaisons, mais encore une fois, niveau probabilité, c’est très efficace….
- il va ensuite essayer des combinaisons de lettre de l’aphabet minuscule, la il a 26^n (n, la longueure du mot de passe ) >> c’est très cher, il ne fera l’effort que si il veut VRAIMENT ton compte, et qu’il a du temps
- apres il va intercaller des chiffres ( donc 36^n - 26^n déjà essayés)
- apres les majuscules ( 52^n en enlevant ceux qu’ils a déjà testés)
- avec les charactères spéciaux, il se retrouve avec potentiellement 100^n ( si on compte les caractères bizarres ®©æǂ̚¬ que ton navigteur n’affichera peut être même pas, voir encore plus avec de l’unicode)
et tu te retrouves avec des milliards de milliards de combinaisons a essayer. Un pirate ne fera cet effort que si il a une GROSSE puissance de calcul, et du temps à y passer ( si tu n’es pas un cible comme un président, un ministre, ou un militaire, l’attaquant passera a une autre cible avant de tester 100^25 combinaisons… )
TLDR: un pirate lambda laissera tomber avant d’essayer de trouver un mot de passe trop compliqué
Le 14/09/2015 à 17h58
Le 14/09/2015 à 18h01
Le 14/09/2015 à 18h03
Le 14/09/2015 à 18h08
Le 14/09/2015 à 18h14
Le 14/09/2015 à 18h15
Le 14/09/2015 à 18h17
Le 14/09/2015 à 18h18
Le 14/09/2015 à 18h21
Le 14/09/2015 à 18h25
pas du tout ! si tu essaye une fois sur 10 000 compte dans le lot tu peux en chopper un.
et tu peux te permettre de faire un essai par jour, sur les 10 000 comptes. Jusqu’a tomber sur le bon couple login/password
un peu comme euromillions :), tu ne joue qu’une fois mais il ya toujours un gagnant
Le 14/09/2015 à 18h27
Le 14/09/2015 à 18h30
Heu chers amis @sscrit et @Haemy , le cracking ne se fait plus en ligne depuis très longetmps. Le cracking se fait chez soi après avoir récupéré la base de données (hashée + salée). Les sites ont depuis longtemps mis en place des solutions qui bloquent le compte après X tentatives. Et essayer un mdp par compte par jour prendrait probablement des millions d’années pour tomber sur des mots de passe un tant soit peu complexe …
Le 14/09/2015 à 18h31
solution pas infaillible mais acceptable : la double authentification avec envoi de code par sms
" />
bon faut pas se faire piquer son tél ou y installer n’importe quoi.
Dans le même style les systèmes qui te sortent une clé à usage unique valable seulement 2 min (petit boitier qui génère le machin), j’avais eu ça sur un projet une fois. Mais là pareil, faut pas paumer le boitier.
Le 14/09/2015 à 18h31
Le 14/09/2015 à 18h32
Le 14/09/2015 à 18h32
Le 14/09/2015 à 18h37
Finalement, un carnet chez soi de mots de passe longs impossibles à retenir de tête est plus efficace que tout le reste…
Le 14/09/2015 à 18h40
Le 14/09/2015 à 18h46
Le 14/09/2015 à 20h00
26 lettres
Le 14/09/2015 à 20h15
C’est typiquement la solution retenue oui.. .
mais quand on prend en compte les botnet, ca peut faire beaucoup d’essais en ayant du mal a identifier une attaque, ou au moins sans avoir a bannir un utilisateur ( ca ferais alors un effet DoS)
Le 14/09/2015 à 20h19
Le graph empêche la page de s’afficher correctement sur un iPhone.
Le 14/09/2015 à 20h22
J’ai cru lire ailleurs que l’adresse mail ne servait que comme identifiant, donc certains tapaient de fausses adresses en.gov ou autres. quelqu’un pour confirmer ou infirmer?
Le 14/09/2015 à 20h23
dans les 1 400 000 mots, on peut aussi mettre des probabilités sur leurs utilisations dans la langue de tout les jours ( j’ai calculé, il y a autant de chance qu’une personne utilise ‘plaquebière’ , ou ‘coucouter’ dans son mot de passe que d’avoir &éeçazdodifjqkjlshfç 
" /> …. enfin tu vois ce que je veux dire 
" /> )
" />
Si tu prend dans ton dictionnaire les mots usuels, tu peux largement défricher les mots les plus probables, et ignorer les moins probable ( qui seront balayés par du brute force de toute façon)
Maintenant c’est sur que 4 mots du dictionnaires c’est assez efficace comme mot de passe, tant que c’est pas “mot de passe chouette”
Le 14/09/2015 à 20h33
Le 14/09/2015 à 20h51
Le 14/09/2015 à 20h54
Le 14/09/2015 à 21h00
Évite de ne mettre que des minuscules !
" />
" />
" />
“L’idéal” actuellement c’est d’utiliser 4 mots tirés de dictionnaires différents : langue française, langue japonaise, dico de latin et décliner les mots, liste de personnalités … On ajoute un caractère ésotérique et un chiffre . M’enfin à part mon mail principal et 2 autres trucs, mes autres mots de passe sont plus simples.
Edit : faut éviter de faire trop long aussi, il m’est arrivé de bloquer un compte en mettant quelque chose de trop long.
Note : surtout la majuscule, pas uniquement sur la première lettre. Et les chiffres pas qu’à la fin ! Parce que ‘Saucisse1’ c’est aussi très prédictible à l’heure actuelle
Le 14/09/2015 à 21h15
Encore faut-il connaître sa taille, en général ce qui n’est pas le cas dans la cadre d’un formulaire de saisie.
Le 14/09/2015 à 21h46
Moi j’ai un mot de passe très simple à retenir : 2horsléMigrantsMLP2017#TaubiraDémission!!!
" /> 
" />
Le 15/09/2015 à 07h16
Ceci dit, bon nombre de site ne supporte pas les mots de passe avec des caractères spéciaux.
Le 15/09/2015 à 07h25
Le 15/09/2015 à 07h25
Le 15/09/2015 à 07h29
Le 15/09/2015 à 07h31
Sinon, la première strophe de l’hymne national polonais écrite à l’envers en leet speak avec une alternance de \(, \), #, _ et = pour remplacer les espaces, c’est bon comme mdp ?
Le 15/09/2015 à 07h59
Le 15/09/2015 à 08h11
Il faut être cohérent, d’un coté l’algo fait une analyse grammaticale, d’un autre coté il ne teste pas les mots de passe les plus utilisés.
Le 15/09/2015 à 08h28
« Bien entendu, le service sur lequel on s’inscrit a un rôle crucial à
jouer, car il doit non seulement stocker les informations de manière
sécurisée, mais il peut définir ce qu’il accepte ou non comme mot de
passe. »
Non non non ! J’ai horreur des sites qui me disent quoi mettre dans mon mot de passe. Mes mots de passe sont construits avec des caractères hors de la plage ASCII étendue, alors ce n’est pas parce que je n’ai pas mis un * de chiffre que ce ne sera pas sécurisé !! Sans parler des sites, comme Google, qui en 2015 n’acceptent même pas les caractères UTF-8 dans les mots de passe…
Le 15/09/2015 à 08h53
Le 15/09/2015 à 09h21
A propos des gestionnaires, comment fait-on lorsqu’on a pas son pc perso sous la main?
il existe un article Nxi sur les différents logiciels?
Le 15/09/2015 à 09h28
Des choix opérés sans doute (c’est l’avis du groupe de crackers) pour
accélérer les étapes de vérification et de connexion, ALM n’ayant pas
voulu ralentir son site.
Utiliser bcrypt aurait ralenti le site ? Pas compris là
Le 15/09/2015 à 09h30
Oui mais aujourd’hui tout le monde utilise « thatsabatterystaplecorrect » comme mot de passe
" />
Le 15/09/2015 à 09h34
Le 15/09/2015 à 09h44
Le 15/09/2015 à 09h47
Ben il est préconisé d’utiliser bcrypt plutôt que MD5 pour les hashs cryptographiques, car un hash bcrypt est plus long à calculer (l’intérêt étant de ralentir une attaque par dictionnaire/brute force - le MD5 est aujourd’hui très vulnérable aux calculs parallélisés sur des cartes graphiques).
Mais si c’est plus long à calculer pour un hacker, ça l’est aussi pour les serveurs du site, je suppose.
Le 15/09/2015 à 10h08
Ce n’est pas ce qu’explique cette XKCD.
Un mot de passe avec une plus grande variation de symboles est plus sécurisé. Cette strip XKCD explique que, il y a quelques années, la pédagogie consistait à dire au gens “un bon mot de passe est un mot, suivi de chiffre”. Et de rajouter “Changer les lettres par des chiffres”. Si en plus tu connais le 1773, c’est plus facile. Seulement un attaquant ayant conscience de ce biais cognitif, n’analysera pas le mot passe en brute force. Il prendra tous les mots du dictionnaire (par ordre d’apparition statistique). Puis les deux symboles à la fin n’ajoute que peu de possibilité. Globalement, le FORMAT du mot de passe (comme précisé dans la légende) étant très commun, l’efficacité de celui est considérablement réduite. De plus, comme déjà mentionné, le mot de passe proposé après est attaquable efficacement par dictionnaire.
Un bon exemple de mot de passe c’est ça.
Le 15/09/2015 à 10h11
Pour un hacker, je comprends l’intérêt si on passe de x jours à x années.
Mais pour un utilisateur, quelle est la perte de temps ? Si avec md5 il se connecte en quelques milli-secondes, combien de temps cela prend avec bcrypt ? Des minutes ? Des heures ???
Le 15/09/2015 à 10h22
Non, mais sur un serveur public s’il y a 10 000 authentifications à traiter sur une période temps très courte. 5ms ou 500ms de traitement par authentification ça fait une sacrée différence de charge sur les backends sans compter le délai de réaction ce qui est toujours quelque chose que l’on souhaite le plus faible possible.
Le 15/09/2015 à 10h29
Le problème se situe du côté du serveur, vu que c’est lui qui calcule le hash lors d’une connexion.
Si t’as un sites avec une base de mots de passe en md5 et que ton infrastructure est taillée pour gérer x connexions à la secondes, si tu passes en bcrypt sans ajuster la puissance de calcul, tu risques de tomber à x/n connexions à la secondes. En heure de pointe, tu risques de ramer (et aussi d’augmenter ta vulnérabilité aux DDOS).
Note : ce n’est pas mon domaine, je dis peut-être des conneries.
Le 15/09/2015 à 11h12
C’est pas le genre de site ou je vais m’embeter a mettre un mdp compliqué.
Le 15/09/2015 à 11h31
Le 15/09/2015 à 11h35
Le 15/09/2015 à 11h41
En laissant une belle trace du mot de passe en clair dans .bash_history pour la postérité
" />
Le 15/09/2015 à 11h43
Dans ton cas, en effet, oublie cette méthode :-)
Le 15/09/2015 à 11h44
Le 15/09/2015 à 11h45
Ça m’étonnerait que l’attaquant ajoute une étape de ce genre couteuse en CPU, surtout vu la proportion de gens qui doivent encoder leurs mots de passe en base6… Bien sûr rien n’est 100% sûr mais je pense qu’on est à des années lumières de “123456” :-)
Le 15/09/2015 à 11h47
Sous Windows aussi, en installant Cygwin :-)
Le 15/09/2015 à 11h50
Le 15/09/2015 à 11h55
Sauf que dans les bonnes pratiques, le mot de passe en clair doit être effacé dès traitement et remplacé par un token cryptographique non rejouable excepté sur une fenêtre de quelques minutes.
N’importe quel programme sous l’utilisateur courant peut lire ce fichier et le balancer à l’extérieur et il n’y aura aucune alerte de consignée.
Le « mieux » est vraiment l’ennemi du bien en sécurité. Or, en l’espèce le coup du base 64 c’est assez stupide ; avant de faire une attaque par dictionnaire, il faut faire une analyse du jeu de symbole utilisé et de la dispersion pour essayer de réduire la combinatoire. Détecter et décoder du base64 c’est pas trop dur, puis après attaque classique par dictionnaire. Intérêt : strictement zéro sauf pour emmerder les script kiddies.
Le 15/09/2015 à 12h11
Le 15/09/2015 à 12h19
Le 15/09/2015 à 12h27
Je ne suis pas sûr de comprendre. Je ne parle pas de stocker les mdp en base64 sur le serveur, ce qui serait de la pure folie, je parle au nom d’un utilisateur, qui peut générer des mots de passe plus complexes sans avoir à se souvenir d’une suite de caractères compliquée. Certes pour ce mot de passe précis, l’étendue des caractères est limitée à ceux autorisés en base64. Mais dans la pratique, les mots de passe des autres utilisateurs utiliseront sans doutes d’autres caractères. Dans l’éventualité où l’attaquant arrive à découvrir le mot de passe, c’est foutu de toute façon. Je pense qu’il y a un malentendu :-)
Le 15/09/2015 à 12h32
Sinon technique améliorée :
$ echo “nextinpact.com correct horse battery stapple” | sha512sum | base64
Ce qui donne :
OTg3Mzc1NGIyODNkOWM1OWMzMDFiODFiYzI5NzRlYjg5ZmU3YWI1MjAwNmQ3YmQ4Y2E4YTA5NWU5
YzJkZDNkODU0ZjIzYjI3NWZhZjY1Y2M4ZWI5YTY4OGNmZjIxNTJkZWY1YWI4OWUxNTM1YjM3YTZj
ZmE0NDhhYTNhNGI3NjMgKi0K
Bonne chance pour casser ce mot de passe :-)
Le 15/09/2015 à 12h34
Fastoche !
“nextinpact.com correct horse battery stapple”
Le 15/09/2015 à 12h36
J’ai bien compris. Mais là où tu te trompes c’est en supposant que le mot de passe sera plus complexe - pour l’utilisateur en revanche c’est certain - puisque c’est simplement un changement de l’alphabet utilisé. Si c’est du hash salé fait dans les règles ça peut avoir un effet.
Mais si c’est du chiffrement symétrique avec clé fixe (genre un xor sur un buffer circulaire - très fréquent dans les progiciels voire en milieu industriel) la simple analyse statistique de la distribution des symboles des mots de passe « chiffrés » dit que le mot de passe source est en base 64, dès lors attaque par dictionnaire en prenant le soin d’encoder en base 64 les mots à tester, retour case départ.
Le vrai problème c’est que les sites (ou que le CNIL) devraient systématiquement indiquer publiquement les mesures prises en vue d’assurer la confidentialité des données et de l’authentification.
Le 15/09/2015 à 12h38
Comment que t’es trop fort !
" />
Le 15/09/2015 à 12h50
Je reste persuadé que “Y29ycmVjdCBob3JzZSBiYXR0ZXJ5IHN0YXBwbGUgDQo=” est plus complexe que “correct horse battery stapple” et est plus résistant aux attaques par bruteforce à l’aveugle.
Après comme suggéré plus haut on peut ajouter une étape de hashage (exemple : sha-1) avant encodage en base 64.
$ echo “nextinpact.com correct horse battery stapple” | sha1sum | base64
Qui donne : MTVhOGJmZDA4OGMxODQxZTZiNjZiMmMwY2ZiZGZiZmE0MzFmY2IwOCAqLQo=
Soit un mot de passe d’une bonne complexité.
Le 15/09/2015 à 13h03
Sinon y’a d’autres méthodes d’encodage moins connues :-) Comme l’ASCII85 et le base91 afin d’élargir la table des caractères utilisés
Le 15/09/2015 à 13h19
Y2VjaSBlc3Qgc3VwcG9zw6kgw6p0cmUgdW4gbW90IGRlIHBhc3NlIGNvbXBsZXhlCg==
Déjà je sais que c’est du base 64 (en plus de ça les ‘=’ en sont la signature et de plus superfétatoires) donc :
echo “Y2VjaSBlc3Qgc3VwcG9zw6kgw6p0cmUgdW4gbW90IGRlIHBhc3NlIGNvbXBsZXhlCg==” | base64 -d
=> ceci est supposé être un mot de passe complexe
Ça c’est si c’est en clair (mais ça n’arrive jamais : aucun site web au 21ème siècle ne fait ça, pas vrai ?). Après en fonction du type de chiffrement on avise. Si c’est du symétrique avec clé fixe, c’est plié aussi, on a juste perdu 90% des script kiddies à ce stade.
L’intérêt d’une telle technique est quand même d’empêcher des attaques relativement faciles avec des rainbow tables (dictionnaire pré-hashé avec un index). Donc ça peut effectivement empêcher quelques attaques basiques.
Mais ça ne change pas fondamentalement le problème, on s’en remet complètement à l’algorithme / protocole de chiffrement. Mais comme la quantité d’information / entropie n’a pas changé mais seulement la notation et compte tenu des techniques élaborées de cryptanalyse, s’il y a une faille ou une possibilité de réduction de la combinatoire exploitable dans la fonction de hashage, c’est ce qui sera utilisé et donc le fait que ce soit en base 64 ne jouera qu’à la marge.
Le 15/09/2015 à 13h32
Le 15/09/2015 à 13h40
Le 15/09/2015 à 13h44
En même temps, c’est pas révélateur de grand chose étant donné qu’une grande partie était des faux profils. Pas étonnant qu’un grand nombre de mots de passe soient bidon du coup
Le 15/09/2015 à 13h46
Le 15/09/2015 à 13h52
Le 15/09/2015 à 14h55
Comment faire pour avoir un mot de passe avec ceinture de chasteté alors ?
Le 15/09/2015 à 15h03
Tu as raison dans ce que tu dis, mais on ne parle pas de la même chose :-). Je parle d’une technique pour générer des mots de passes complexes sans avoir à les retenir, à partir de données simples.
Qu’importe si on peut déchiffrer les mots de passe ou non : ceux qui sont générés par ma technique utilisent des majuscules, minuscules, des chiffres et même des signes avec le “=”, c’est plus complexe que la majorité des mots de passe et cela répond aux critères de sécurité de nombreux sites.
En cas de piratage du serveur, on n’est pas plus à l’abri avec cette technique, en effet : si les mots de passe sont compromis et sont en clair, qu’importe s’ils contiennent du texte en base64 ou non, le pirate les a et peut les utiliser.
L’intérêt selon moi est que l’on a plus besoin de se rappeler de son mot de passe puisqu’on a juste à le recalculer pour l’obtenir. C’est tout :-)
Le 15/09/2015 à 15h04
Ben tu t’inscris sur Ashley Madison. Vu la proportion des sexes parmi les vrais comptes, y a un paquet de clients qu’ont pas niqué (cette opportunité de bon jeu de mot vous est offerte par le podoclaste).
Le 15/09/2015 à 15h18
J’entends bien. Mais l’idéal ce serait de disposer d’un mot de passe costaud, facile à retenir pour l’utilisateur et difficile à deviner pour un tiers. Or c’est pas si difficile, avec une phrase ; une citation qu’on apprécie, une phrase qui commence en français et qui se termine en tahitien, on peut imaginer beaucoup de variantes.
Le gros facteur limitant ce sont les sites qui imposent des mesures débiles au lieu de simplement mettre un indicateur d’entropie quant à la qualité du mot de passe choisi et surtout d’expliquer ce qu’ils en font après, mais ça c’est franchement pas gagné…
Le 15/09/2015 à 15h23
@vincent
ca serait bien de ne pas repeter des rumeurs, surtout en informatique:
“On ne rappellera jamais assez qu’un bon mot de passe est unique et contient des lettres minuscules et majuscules, des chiffres ainsi que des symboles.”
ton mot de passe va etre traité au final en binaire, et qu’il soit avec des majuscules des minuscules des chiffres, etc… cela ne sera qu’une boucle de test dans la table ASCII.
pour mémoire: la resistance d’un mot de passe se calcule sur le nombre de possibilité en binaire.
dire ‘eu_ti(-yu est indéchiffrable, c’est revenir au debut de l’info ou on croyait que des humains allaient casser les codes en commencant par AAAA.
Le 15/09/2015 à 17h18
Tu as un ordi qui travaille en binaire ? Passe à l’octet ca va te changer la vie
" />
Le 16/09/2015 à 08h05
Le 16/09/2015 à 12h19
Dernièrement, mon MdeP sur Paypal ne marchait plus. J’ai dû passer par le téléphone pour le changer et, en même temps, expliquer que cela était bizarre puisque, craignant les keylogger (qui peut se dire vraiment à l’abri ?) je fais un copié/collé de mon mot de passe, issu lui-même d’une clé USB qui ne me sert que sur mon PC.
J’ai été stupéfait de devoir taper au clavier un nouveau mot de passe ! Quelle sécurité !
Dès que ce fut fait, j’en ai pondu un nouveau (compliqué) via ma connexion, fabriqué en copié-collé d’un document texte qui ne me sert qu’à cela.
Et pour ma banque, je passe via un Linux qui ne me sert qu’à elle. Je peux faire quoi de plus !?!
Je suis parano ? Peut-être… Mais j’en connais une qui s’est fait piéger (keylogger) et piqué ses identifiants CB après que son abruti de conjoint lui ait installé un logiciel… craqué !
Le 16/09/2015 à 12h36
Le 16/09/2015 à 14h55
Le 16/09/2015 à 16h35
Le 18/09/2015 à 15h39