Internet : une étude se penche sur la politique de gestion des mots de passe

Internet : une étude se penche sur la politique de gestion des mots de passe

86 % « n’arrivent pas au seuil minimum des règles de base »

38

Internet : une étude se penche sur la politique de gestion des mots de passe

Dashlane vient de publier son baromètre de la sécurité informatique au deuxième trimestre 2014. L'étude porte sur 44 sites internet et plus précisément sur leur gestion des mots de passe. Si une partie des utilisateurs doivent apprendre à changer leurs habitudes, c'est également l'occasion de voir qu'il en est de même pour certains sites.

 

Le monde de la sécurité informatique est souvent secoué par des failles de sécurité (même si toutes ne sont pas de l'ampleur de Heartbleed) et par les cyberattaques. Les données des utilisateurs sont alors parfois en vadrouille sur Internet, y compris en ce qui concerne les mots de passe (comme L'Équipe par exemple). On ne le répétera d'ailleurs jamais assez, mais la règle de base impose d'utiliser des mots de passe différents pour chaque site et de mélanger autant que possible les chiffres, les nombres et les caractères spéciaux. 

 

Si une partie des utilisateurs doit revoir son approche de la sécurité, qu'en est-il des sites ? Dashlane, une société spécialisée dans la gestion des mots de passe, vient de publier son baromètre de la sécurité du deuxième trimestre. Bien évidemment, il s'agit de mettre en avant sa solution maison, mais les résultats de cette enquête n'en restent pas moins intéressants. 

 

Pour 44 sites, pas moins de 22 critères différents sont analysés, mais 6 seulement sont regroupés dans un tableau récapitulatif par site. On y retrouve la longueur minimale du mot de passe (4 à 8 caractères), l'utilisation obligatoire de caractères alphanumériques, la présence d'un indicateur de robustesse, l'envoi d'un email de confirmation lors d'un changement, le verrouillage du compte après 10 tentatives infructueuses et, cerise sur le gâteau, autoriser des mots de passe du genre « motdepasse ». Un score final allant de - 100 à+ 100 est alors établi.

 

Voici une partie des résultats de leur enquête avec les 10 premiers sites :

 

 

Dans cette infographie, ils synthétisent les résultats... qui ont de quoi donner quelques sueurs froides. Ainsi, 52 % des sites acceptent des mots de passe comme azerty, abc123, motdepasse, 123456, 111111. De plus, les trois quarts des sites n'obligent pas à utiliser un mélange de chiffres et de lettres, tandis que plus de la moitié ne bloque pas le compte après dix tentatives de connexion.

 

Au total, la société indique que, selon son analyse, « 86 % des sites étudiés n’arrivent pas au seuil minimum des règles de base en matière de mots de passe »Mais qui s'en sort le mieux ? Le trio de tête est composé d'Apple, de Live.com et d'UPS. Les trois derniers sont Spartoo, Meetic Afinity et Showrooprive. Si l'on regarde par catégorie, Dashlane précise que « le baromètre montre que ce sont les sites de rencontre qui obtiennent la plus mauvaise moyenne avec - 45. Suivent les sites de sécurité (- 23 de moyenne), de e-commerce (- 21) et de voyages (- 16) ».

 

La France n'est pas spécialement un bon élève. Dashlane indique que « 66% des sites français ont reçu des notes négatives (contre 53% sur l’ensemble de l’étude) » et ajoute que « 68 % des sites français acceptent « motdepasse » comme mot de passe ».

Commentaires (38)


Bof, rien d’illogique.



La sécurité est du ressort de l’utilisateur/client. On ne va quand même pas dépenser de l’argent pour ça, non ?



<img data-src=" /> Relisez bien le contrat…




l’envoi d’un email de confirmation lors d’un changement,



J’espère qu’ils ont aussi pris en compte que dans certains email de confirmation d’inscription des sites te redonne ton mot de passe en clair et continue à le faire après chaque modification.

Sachant que les emails sont des cartes postales, bonjour la sécurité …








Soriatane a écrit :



J’espère qu’ils ont aussi pris en compte que dans certains email de confirmation d’inscription des sites te redonne ton mot de passe en clair et continue à le faire après chaque modification.

Sachant que les emails sont des cartes postales, bonjour la sécurité …





+1 C’est exactement ce à quoi je pensais. ça m’est arrivé encore récemment.









FrenchPig a écrit :



+1 C’est exactement ce à quoi je pensais. ça m’est arrivé encore récemment.





http://plaintextoffenders.com/ :)









Soriatane a écrit :



J’espère qu’ils ont aussi pris en compte que dans certains email de confirmation d’inscription des sites te redonne ton mot de passe en clair et continue à le faire après chaque modification.

Sachant que les emails sont des cartes postales, bonjour la sécurité …







Ca veut aussi dire que le mot de passe est soit stocké en clair, soit décryptable…



Donc c’est doublement mauvais.









ennixo a écrit :



Ca veut aussi dire que le mot de passe est soit stocké en clair, soit décryptable…



Donc c’est doublement mauvais.







Pas forcément, par exemple si l’email est directement envoyé en direct après l’envoi du formulaire.



Il faut utiliser LastPass les gens.



Ce truc est juste magique.


En quo l’utilisation obligatoire de caractères alphanumériques serait-il une bonne chose ? Au contraire, ça fragilise les mots de passe ! S’ils ne sont pas foutus de nettoyer (sanitize) les entrées utilisateur c’est un autre problème.



Et qu’est-ce que c’est que cette étude foireuse qui ne s’intéresse même pas à tout ce qui compte vraiment (mode de stockage des mdp, algo de hachage côté serveur, algo de chiffrement ssl côté, etc). Et pourquoi se focaliser sur “motdepasse” alors que des dizaines d’autres mdp sont très courants ?



C’est n’importe quoi cette “étude”.


Du coup Outlook.com n’est pas testé ?


Les mauvais élèves ont décidé de changer de nom, pour être en conformité avec ces résultats. Nous aurons donc :







  • Showroompublic (plus besoin de mot de passe, tout est accessible à tous)

  • Spartooz (on échange son mot de passe avec un inconnu)

  • Meetic Password Affinity (deux personnes avec un même mot de passe pourront se rencontrer)

  • 3 Russes (avec un générateur de mot de passe vérolé)

  • Viadeg (où on raconte ses mésaventures de aux piratages de compte)

  • Allopresta (avec des appels d’offre pour refaire des SI)

  • EasyJette (avec des mots de passe jetables)

  • CDiscount ne change rien, la qualité est déjà décrite dans son nom




il faut toutefois relativiser



ca n’est pas le site lui meme qui est mal sécurisé, c’est la génération du mot de passe qui ne repecte pas quelques regles simples



MAIS



si sur un de ces sites là vous utilisez un mot de passe deja fort, par essence, ca n’est pas leurs regles d’attribution/de gestion du mot de passe qui devrait vous inquieter mais des regles d’utilisation dans la gestion du mot de passe lui meme:



par exemple le processus de reset de mot de passe en cas d’oubli (question de secu avant de le balancer sur l’email enregistrée ? car si l’email est elle meme compromise…)

Le mot de passe est il stocké en clair ou avec du hash

l’acces aux coordonnées banquaires (si elles sont stockées) dispose t il d’une couche supplémentaire de sécurité (demande du cryptogramme, et/ou verification de l’adresse d’expedition et geolocalisation de l’ip de connexion au compte)



CA, en ce qui me concerne ce sont des criteres plus pertinents ! (exemple d’amazon descendu en flamme car amazon etant le grand satan du moment - prix des livres, etc- il convient de le basher, hors certaines precautions prises par le site pour les achats meme en cas d’utilisation du compte apres authentification sont nettement plus rassurantes)



d’autre part les mecs vous le disent sur la page de l’etude: ils sont tous nuls ou presque alors utilisez notre produit à nous pour le faire à leur place (hmmm? un peu de partialité)



plus loin ils disent que plusieurs site atteignent meme pas les 50 alors que les regles “de base” (selon la bienseance de ces messieurs) sont a 66 ce qui fait passer les sites ayat moins de 50 pour des grosses branques qu’on devrait carrement interdire de collecte/creation de données utilisateurs par le swat du coin



hors il n’y a QUE 3 sites qui brillent par leur score superieur à 66: apple, microsoft et ups. De là à dire que ce sont les plus gros qui auraient ET les moyens ET l’interet mediatique de fournir un gros cheque a dashlane pour ne pas etre montré du doigt par leur etude, pire pour leur faire un peu de pub et redorer leur blason ecorné par differentes affaires (mauvais traitements des salariés, nsa carpette style, fichage/flicage, espionnage et profilage commercial de leurs clients etc) et aussi les plus gros dont on a pas interet de s’attirer l’inimitié (car les gens de dashlane bossent tous sous win/office, ont un iphone et recoivent leurs marchandises par ups…)



traitez moi de parano, mais cette etude est de toute facon biaisée et ne sert qu’à faire frémir le populo et la menagere de +50 MEME SI une/plusieurs VRAIES etudes objectives avec de VRAIS criteres orientés du point de vue de l’utilisateur devraient etre faites sur le sujet








HarmattanBlow a écrit :



En quo l’utilisation obligatoire de caractères alphanumériques serait-il une bonne chose ? Au contraire, ça fragilise les mots de passe ! S’ils ne sont pas foutus de nettoyer (sanitize) les entrées utilisateur c’est un autre problème.



Et qu’est-ce que c’est que cette étude foireuse qui ne s’intéresse même pas à tout ce qui compte vraiment (mode de stockage des mdp, algo de hachage côté serveur, algo de chiffrement ssl côté, etc). Et pourquoi se focaliser sur “motdepasse” alors que des dizaines d’autres mdp sont très courants ?



C’est n’importe quoi cette “étude”.





ah oui tu as raison j’ai oublié ca aussi



le mythe du mot de passe super compliqué en l337 style de roxxor facon geek des années 90 qui serait le graal de la securité, hors c’est faux

de nos jours avec les puissances à dispo des fermes de calcules/reseaux zombies et autres botnets, les sites qui imposent une longueur maximum par exemple, meme avec des caracteres speciaux et des chiffres+lettre ca vaut as tripette



de nos jours ce sont les agencements de mots courants et/ou les phrases passes qui ont le plus de chance de resistr, car la ou l’ascii n’a que 256 caracteres, les langues les plus communes (anglais, espagnol, francais, etc) ont par exemple plus de 500 ou 600 mots de longueurs 6,7 ou 8 signes et ont donc plus de chance de resister ET à du brute force ET de l’attaque par dico pour peu que votre phrase passe soit completement illogique



(exemple con vous prenez un chiffre en chiffre, un adjectif qualiticatif semantiquement attaché a une personne, un nom d’object/de fruit/marque de bagnole et un nom de couleur ou un autre truc, vous separez par des underscore, des etoiles ou autre et hop vous obtenez un mot de passe qui





  1. sera facile à retenir car ABSURDE donc marquant les esprits

  2. qui necessitera en brute force plus de temps de cassage que votre esperance de vie

  3. resistera aux attaques par dico



    Exemple: 5_mechantes_peugeot_bourgeonnantes (c’est con j’avais prevenu, moi je fais ca avec autre chose mais c’est du meme accabit)

    Le_cactus_jaune_recycle_3_chiens_liquides



    le mythe du mot de passe de W4rL0rD5 c’est fini









Soriatane a écrit :



J’espère qu’ils ont aussi pris en compte que dans certains email de confirmation d’inscription des sites te redonne ton mot de passe en clair et continue à le faire après chaque modification.

Sachant que les emails sont des cartes postales, bonjour la sécurité …





Ce n’est pas parce que ton mot de passe est envoyé en clair après inscription et modification que celui-ci est stocké en clair ou qu’il est possible de le retrouver.



Bon, c’est un peu space l’étude.



En plus, moi, la solution, c’est un mot de passe bien chiadé 20 caractères minuscule, majuscule, non alpha et chiffre. Différent pour chaque site. Le tout stocké bien au chaud dans un gestionnaire de mot de passe.



Sauf que …



Certains sites refusent des mots de passe trop long ! Le pire ? Celui de ma banque, pas plus de 8 caractères (pas moins) et pas de non alpha ! Pas rassurant tout cela. Heureusement qu’ils envoient un SMS de confirmation à chaque virement.



Donc, étude très (trop) incomplète pour un vrai intérêt.








Neliger a écrit :



Pas forcément, par exemple si l’email est directement envoyé en direct après l’envoi du formulaire.







Ca m’inspire quand même pas bien confiance…



Et puis il me semble que là c’est lors de la récupération de mot de passe donc pas depuis un formulaire d’inscription.









fabiengb a écrit :



Il faut utiliser LastPass les gens.



Ce truc est juste magique.





J’utilisais ce service il y a quelques années, mais si le service tombe tous les comptes (bancaires !) tombent aussi …



LastPass étant une cible de choix étant donné tous les mot de passe stockés.









Djaron a écrit :





le mythe du mot de passe de W4rL0rD5 c’est fini







http://xkcd.com/936/









A33 a écrit :



Ce n’est pas parce que ton mot de passe est envoyé en clair après inscription et modification que celui-ci est stocké en clair ou qu’il est possible de le retrouver.





Si tu envoies le mot de passe par email, il peux être intercepté et lu par des tiers.

email = carte postale car il ne faut pas en attendre plus au niveau confidentialité.









agauthier51 a écrit :



Bof, rien d’illogique.



La sécurité est du ressort de l’utilisateur/client. On ne va quand même pas dépenser de l’argent pour ça, non ?



<img data-src=" /> Relisez bien le contrat…





Euh…. non, c’est l’inverse en fait.



Il est connu que les utilisateurs sont ignorants des principes de sécurité les plus élémentaires, et qu’ils outrepassent volontiers le peu qu’ils connaissent à chaque fois que ça les arrange.



Celui qui est responsable de la sécurité, c’est celui qui conçoit le système et le met à disposition des utilisateurs.

Il est de sa responsabilité de s’assurer que le système soit robuste, qu’il ne puisse pas être détourné, d’apprendre aux utilisateurs à l’utiliser, et de surveiller sa bonne mise en application.



La plus grosse faille, c’est quand le créateur d’un site donne à un utilisateur (quelqu’un d’inculte vis à vis de la sécurité) la tâche critique de créer le mot de passe, sensé être long, complèxe, difficile à deviner et unique… bref tout ce qu”on sait pertinemment que la très grande majorité des utilisateurs ne feront pas.



C’est comme si un serrurier, demandait à ses client de dessiner eux même la forme de sa clé. On sait dès le départ que ce ne sera pas sûr.



Ce que je trouve agaçant ce sont les sites qui affichent lors de l’inscription “mot de passe non conforme aux exigences requises” mais qui ne les précisent qu’après X tentatives obligeant à “dégrader” le mot de passe au fur et à mesure… une sorte de loterie avec remise








BlackSharkfr a écrit :



Euh…. non, c’est l’inverse en fait.



Il est connu que les utilisateurs sont ignorants des principes de sécurité les plus élémentaires, et qu’ils outrepassent volontiers le peu qu’ils connaissent à chaque fois que ça les arrange.



Celui qui est responsable de la sécurité, c’est celui qui conçoit le système et le met à disposition des utilisateurs.

Il est de sa responsabilité de s’assurer que le système soit robuste, qu’il ne puisse pas être détourné, d’apprendre aux utilisateurs à l’utiliser, et de surveiller sa bonne mise en application.



La plus grosse faille, c’est quand le créateur d’un site donne à un utilisateur (quelqu’un d’inculte vis à vis de la sécurité) la tâche critique de créer le mot de passe, sensé être long, complèxe, difficile à deviner et unique… bref tout ce qu”on sait pertinemment que la très grande majorité des utilisateurs ne feront pas.



C’est comme si un serrurier, demandait à ses client de dessiner eux même la forme de sa clé. On sait dès le départ que ce ne sera pas sûr.







Et donc tu veux dire qu’il faut imposer le mot de passe à lutilisateur ?



Djaron a écrit :



ah oui tu as raison j’ai oublié ca aussi



le mythe du mot de passe super compliqué en l337 style de roxxor facon geek des années 90 qui serait le graal de la securité, hors c’est faux

de nos jours avec les puissances à dispo des fermes de calcules/reseaux zombies et autres botnets, les sites qui imposent une longueur maximum par exemple, meme avec des caracteres speciaux et des chiffres+lettre ca vaut as tripette



de nos jours ce sont les agencements de mots courants et/ou les phrases passes qui ont le plus de chance de resistr, car la ou l’ascii n’a que 256 caracteres, les langues les plus communes (anglais, espagnol, francais, etc) ont par exemple plus de 500 ou 600 mots de longueurs 6,7 ou 8 signes et ont donc plus de chance de resister ET à du brute force ET de l’attaque par dico pour peu que votre phrase passe soit completement illogique



(exemple con vous prenez un chiffre en chiffre, un adjectif qualiticatif semantiquement attaché a une personne, un nom d’object/de fruit/marque de bagnole et un nom de couleur ou un autre truc, vous separez par des underscore, des etoiles ou autre et hop vous obtenez un mot de passe qui





  1. sera facile à retenir car ABSURDE donc marquant les esprits

  2. qui necessitera en brute force plus de temps de cassage que votre esperance de vie

  3. resistera aux attaques par dico



    Exemple: 5_mechantes_peugeot_bourgeonnantes (c’est con j’avais prevenu, moi je fais ca avec autre chose mais c’est du meme accabit)

    Le_cactus_jaune_recycle_3_chiens_liquides



    le mythe du mot de passe de W4rL0rD5 c’est fini





    Aurais tu connaissance de littérature sur le sujet ? Je bosse dans la sécu et les mots de passe style W4rL0rD5 ont encore le vent en poupe ( que ce soit auprès des autideurs ou de la direction). J’ai cherché de la littérature sur le sujet mais à chaque fois je tombe sur le fameux dessin XKCD ou des références à celui-ci.









Djaron a écrit :



de nos jours ce sont les agencements de mots courants et/ou les phrases passes qui ont le plus de chance de resistr, car la ou l’ascii n’a que 256 caracteres, les langues les plus communes (anglais, espagnol, francais, etc) ont par exemple plus de 500 ou 600 mots de longueurs 6,7 ou 8 signes et ont donc plus de chance de resister ET à du brute force ET de l’attaque par dico pour peu que votre phrase passe soit completement illogique







password de 4 mots de 6 lettres pris dans un dictionnaire de 500 mots:

–&gt; Longueur: 24 caractères

–&gt; Nb de combinaisons: 500^4 = 6.25E+10



password de 8 caractères aléatoires parmi 64.

–&gt; Longueur: 8 caractères

–&gt; Nb de combinaisons: 64^8 = 2.8E+14



Question rentabilité, je préfère le password aléatoire court. <img data-src=" />



Moi ce qui m’énerve c’est les systèmes qui imposent un caractère spécial. Pour l’obligation d’une majuscule que je met généralement en début de mot ça me les cassent aussi.





« 68 % des sites français acceptent « motdepasse » comme mot de passe ».





En même temps, si on commence à bannir les mots de passe sensibles aux attaques par dictionnaire, ils mettent quoi à la place les utilisateurs ? leur date de naissance ? Il y a aussi une curieuse habitude qu’ont les utilisateurs insouciants qui est de mettre un mot de passe qui contient le login.


Un bon logiciel au passage pour les mots de passe :

keepass :http://keepass.info


J’aurais été amusé de voir les résultats de MyTF1.fr, qui te renvoie ton mot de passe en clair quand tu l’as oublié…


@Djaron : je suis pas certain de la méthode de calcul :/

je suis aussi preneur d’une étude ou d’un document à l’appui



autre que xkcd qui, je pense aussi, ne calcul pas correctement la chose (je peux me tromper hein, mais ca me semble très très bizare)



je considère que les mots aléatoires (correct horse stapple black) sont équivalent à un caractère (c h s b) car le brut force va les tester en tant que mot et non lettre par lettre, donc une grosse phase sera réduite à l’équivalent de 4 blocs si on veut, 4 blocs relativement simple qui plus est

alors que Fa_P9VMz23*$zZ par exemple, prend en compte un bien plus de combinaison possible (alors certes, pour les lettres, on sera limité a 26, chiffres a 10, etc) mais la totalité formera un ensemble quasi unique.

je ne comprends pas trop comment (correct horse stapple black) est plus sécurisé…








elezoic a écrit :



Moi ce qui m’énerve c’est les systèmes qui imposent un caractère spécial. Pour l’obligation d’une majuscule que je met généralement en début de mot ça me les cassent aussi.





Ou alors les sites avec un champ de 8 caractères max. “Ah et puis il faut des caractères spéciaux mais pas ceux ci on les accepte pas”…









ben5757 a écrit :



Et donc tu veux dire qu’il faut imposer le mot de passe à lutilisateur ?



Aurais tu connaissance de littérature sur le sujet ? Je bosse dans la sécu et les mots de passe style W4rL0rD5 ont encore le vent en poupe ( que ce soit auprès des autideurs ou de la direction). J’ai cherché de la littérature sur le sujet mais à chaque fois je tombe sur le fameux dessin XKCD ou des références à celui-ci.





Pour répondre court : oui, un mot de passe imposé.

Pour répondre plus en détail :

on sait que l’humain est le plus faible maillon de la chaîne de sécurité.

Le concept de mot de passe créé par un humain pour être facilement mémorisable par un humain, et ne pas être oublié, est totalement inadapté à la sécurité informatique moderne où on utilise des dizaines, parfois des centaines de service distincts avec chacun son système de sécurité indépendant.



Le mot de passe est une voie sans issue dont il faut sortir pour pouvoir résoudre ce problème.

Il faut remplacer le mot de passe (court, facile à mémoriser, facile à deviner car réutiliser), par une clé (longue et fortement aléatoire, donc impossible à mémoriser, et unique donc impossible à deviner).



Pour faire la transition avec le système de mot de passe actuel : un mot de passe imposé, créé par le responsable de la sécurité (avec un générateur de mot de passe long et aléatoire).

Et à côté il faudra populariser les systèmes de coffres-forts à mots de passe, comme keepass, lastpass, et consorts…



Et même si les utilisateurs ne les utilisent pas, j’aime à rappeler que le post-it collé sur le cadre de l’écran est plus sûr que de laisser les gens choisir 123456. (parce qu’on sait très bien, statistiques à l’appui que les gens réutiliseront des mots de passe débiles, encore et encore)



Encore une pseudo étude réalisé par une entreprise pour vendre son produit…








HarmattanBlow a écrit :



En quo l’utilisation obligatoire de caractères alphanumériques serait-il une bonne chose ? Au contraire, ça fragilise les mots de passe ! S’ils ne sont pas foutus de nettoyer (sanitize) les entrées utilisateur c’est un autre problème.



Et qu’est-ce que c’est que cette étude foireuse qui ne s’intéresse même pas à tout ce qui compte vraiment (mode de stockage des mdp, algo de hachage côté serveur, algo de chiffrement ssl côté, etc). Et pourquoi se focaliser sur “motdepasse” alors que des dizaines d’autres mdp sont très courants ?



C’est n’importe quoi cette “étude”.







Le meilleur c’est de voir que les critères restrictif de comparaison ont été établi pour donner à une certaine marque 100100, <img data-src=" />



exit donc les concurrents un peu plus pointilleux comme Dropbox,

exit les critères qui ne donnerai pas 100% à Apple comme la double authentification ou le blocage géographique.



c’est beau

<img data-src=" />



En même temps c’est logique, ils visent plus la clientele Apple depuis le début , et puis en mettant Apple en avant ils s’assurent d’être publié sur tout les sites techno (ou presque)









ben5757 a écrit :



Aurais tu connaissance de littérature sur le sujet ? Je bosse dans la sécu et les mots de passe style W4rL0rD5 ont encore le vent en poupe ( que ce soit auprès des autideurs ou de la direction). J’ai cherché de la littérature sur le sujet mais à chaque fois je tombe sur le fameux dessin XKCD ou des références à celui-ci.







hormis dans les milieux maths/infos on trouve pas trop de documentation sur ce sujet. pourtant il a bien raison.



grosso modo, la resistance d’un mot de passe se calcule sur l’etat entropique binaire du mot de passe pour avoir le nombre d’états possibles.

(ex: 01 ou 10 seront plus facile a casser que 0001101110111001 parce qu’il y’a moins d’états possible)

donc c’est bien la longueur en octets qui va déterminer la résistance de ton mot de passe.












ennixo a écrit :



Ca m’inspire quand même pas bien confiance…



Et puis il me semble que là c’est lors de la récupération de mot de passe donc pas depuis un formulaire d’inscription.







Ah, dans ce cas là pas de doute lol



Mais déjà, le mot de passe dans l’email de confirmation est une absurdité. Même si cela ne veut pas dire qu’il est stocké en clair, l’utilisateur sait bien quel est son mot de passe puisqu’il vient à peine de l’indiquer, pas la peine de le faire transiter partout sur le réseau pour finir par le stocker dans une boite mail qui peut être compromise un jour.



j’etais moi meme adepte des mots de passe de geek incomprehensibles mais lorsque j’ai du gerer de la securité avec d’autres personnes que juste moi (utilisateurs lambda non techniciens) j’avais été confronté au probleme du maillon faible:



a quoi ca serte des politiques de mot de passe “propres” (changement tous les xx jours, caracteres imposés, longueur minimum) si ensuite les gens mettent tout le temps le meme, se l’echangent, l’affichent sur un post it sur le clavier, etc…



du coup à cette époque j’etais tombé sur cet article

http://www.baekdal.com/insights/password-security-usability

entre autre

ce dessin aussihttp://www.journaldugeek.com/files/2011/08/mot-de-passe.png qui visiblement est mentionné ici dans les commentaires sous la reference xbcd



désolé de paraitre neuneuh mais objectivement j’avais trouvé ca censé et aupres du grand publique (clients, utilisateurs finaux ou stagiaires) cad non geek, j’ai tendance à m’appuyer dessus plutot que de leur recommander des pass aleatoires ou compliqués comme ceux que je me colle pour moi meme depuis des annees parce que chez moi je fais ce que je veux mais dans leur cas ca vaut toujours mieux que des mdp du style “peluche” ou “[datedenaissace][nomdel’amoureux]” ou “machindudepartement[xx]”








Ballos a écrit :



Le meilleur c’est de voir que les critères restrictif de comparaison ont été établi pour donner à une certaine marque 100100, <img data-src=" />



exit donc les concurrents un peu plus pointilleux comme Dropbox,

exit les critères qui ne donnerai pas 100% à Apple comme la double authentification ou le blocage géographique.



c’est beau

<img data-src=" />



En même temps c’est logique, ils visent plus la clientele Apple depuis le début , et puis en mettant Apple en avant ils s’assurent d’être publié sur tout les sites techno (ou presque)







aaaah merci ! c’est pas juste moi qui faisait mon parano :)









saf04 a écrit :



hormis dans les milieux maths/infos on trouve pas trop de documentation sur ce sujet. pourtant il a bien raison.



grosso modo, la resistance d’un mot de passe se calcule sur l’etat entropique binaire du mot de passe pour avoir le nombre d’états possibles.

(ex: 01 ou 10 seront plus facile a casser que 0001101110111001 parce qu’il y’a moins d’états possible)

donc c’est bien la longueur en octets qui va déterminer la résistance de ton mot de passe.







merci pour ton explication… ca donne un eclairage et des pistes interessants et c’est plus constructif que de dire “le machin sur xbcd c’est bidon hop poubelle piskonvouldit”



Ca a été déjà dit j’suis d’accord c’est clairement très flippant de voir encore des mots de passes envoyées par email, et plus que transitant en clair, ils sont donc stocké en clair ou déchiffrable depuis le serveur. <img data-src=" />









bismarckiz a écrit :



Du coup Outlook.com n’est pas testé ?







outlook live msn hotmail office live microsoft ID même chose tout ça, en plus les règles sont pourris la dessus on peut pas mettre plus de 16 caractères.









Oz a écrit :



Ce que je trouve agaçant ce sont les sites qui affichent lors de l’inscription “mot de passe non conforme aux exigences requises” mais qui ne les précisent qu’après X tentatives obligeant à “dégrader” le mot de passe au fur et à mesure… une sorte de loterie avec remise





Toi tu as tenté de changer ton MDP orange?<img data-src=" />

Ca a été un sketch, j’ai fini par caractériser car par car se qui passsait pas, entre le trop de cars, les car spéciaux obligatoires mais seulement 1 est accepté, <img data-src=" /><img data-src=" />



Sinon pour info j’ai tenté d’ouvrir un .rar avec crark, ben c’est loin d’etre évident a paramétrer le fichier de règles. Et en mettant de a à z, en maj et min +les chiffres et 2chars bizarres, on a du mal a dépasser les 8chars. Et on sent bien qu’à chaque char ajouté ça multiplie par 54 le temps.







127.0.0.1 a écrit :



password de 4 mots de 6 lettres pris dans un dictionnaire de 500 mots:

–&gt; Longueur: 24 caractères

–&gt; Nb de combinaisons: 500^4 = 6.25E+10



password de 8 caractères aléatoires parmi 64.

–&gt; Longueur: 8 caractères

–&gt; Nb de combinaisons: 64^8 = 2.8E+14

Question rentabilité, je préfère le password aléatoire court. <img data-src=" />





<img data-src=" /> Ce ne sont pas 4mots de 6lettres dans ses 2 exemples, mais plutot 4mots ET 8 chars parmi 64, le tout bien entremélé. Les mots ne sont la que pour diluer et éviter la force brute.



trop tard pour éditer, autre approximation a la pelleteuse : 500 mots.

(there are about 500,000 words in the English language)

@Djaron : très bon ton lien, a lire jusqu’au bout! <img data-src=" />


Fermer