Les 25 pires mots de passe de l’année, l’histoire se répète encore et toujours

Adobe fait une entrée fracassante

Le 20 janvier 2014 à 10h30

3 min

Logiciel

Comme chaque début d'année, SpashData nous propose un classement des pires mots de passe et, malgré les nombreux piratages et autres fuites de données qui ont eu lieu l'année dernière, le top 5 reste le même. Encore plus inquiétant, sur les vingt premiers, on retrouve dans dix d'entre eux la suite de chiffres « 123 ».

La sécurité sur Internet n'est pas une chose à prendre à la légère, notamment en ce qui concerne la gestion de ses mots de passe. S'il est recommandé d'en choisir un complexe mélangeant caractères spéciaux, chiffres, minuscules et majuscules, certains n'en tiennent toujours pas compte, un constat qui se renouvelle malheureusement d'année en année.

« password » perd son titre et passe second, « 123456 » le pire mot de passe de 2013

En effet, SplashData propose une nouvelle synthèse des pires mots de passe trouvés sur le web. Pour cela, la firme spécialisée dans la sécurité se base sur les millions d'identifiants qui ont été déversés sur Internet, notamment à cause de piratages. Pour la première fois, « 123456 » occupe la première place, volant ainsi la vedette à « password ».

Voici le classement :

123456
password
12345678
qwerty
abc123
123456789
111111
1234567
iloveyou
adobe123
123123
admin
1234567890
letmein
photoshop
1234
monkey
shadow
sunshine
12345
password1
princess
azerty
trustno1
000000

2,9 millions de comptes Adobe piratés, « adobe123 » et « photoshop » dans le top 15

Parmi les nouveautés, on retrouve « adobe123 » et « photoshop », un impact sans doute du récent piratage des serveurs d'Adobe qui avait entraîné la fuite de pas moins de 2,9 millions de comptes. Plusieurs nouvelles combinaisons de chiffres font leur entrée : « 1234 », « 12345 », « 123456789 » et « 1234567890 ». Elles viennent donc compléter « 123456 » et « 12345678 », des habituées du podium.

Bien évidemment, si votre mot de passe fait partie de cette liste, il est plus qu'urgent d'en changer pour un plus sécurisé, ce qui ne devrait pas être trop difficile. De plus, il est important de ne pas toujours réutiliser le même, car s'il devait être compromis sur un site, des pirates pourraient s'en servir afin d'accéder à d'autres services comme les réseaux sociaux (Facebook, Twitter, Google+), un exemple parmi tant d'autres.

Afin de mesurer la « résistance » de votre mot de passe à une attaque, Intel se propose de calculer le temps nécessaire afin de le trouver, tandis que Microsoft essaye de le deviner. Évitez évidemment de donner votre véritable mot de passe et orientez-vous plutôt une combinaison du même acabit. Une précaution qui s'applique d'ailleurs à tous les sites qui veulent « tester » votre mot de passe.

Générateurs de mots de passe ou moyens mnémotechniques, les solutions existent

Pour rappel, si vous êtes en manque d'inspiration, il existe des solutions afin de vous aider. Des sites comme Générateur De Mot De Passe ou encore Maord vous permettent d'en créer facilement en ligne. Mais il reste tout de même la possibilité qu'ils soient enregistrés, même si les deux exemples cités précédemment s'en défendent.

Il est aussi possible de jouer avec son cerveau afin de créer des mots de passe sécurisés et pourtant simples à retenir, du moins après une période d'adaptation. Vous trouverez plusieurs exemples au sein de ce sujet de notre forum.

Commentaires (154)

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 15h23

misterdupond a écrit :

you:pi

crackable en 39 secondes, pas cool ca " />

et dire que : blablabla yakyakyak

lui, il met 204 trillions d’années (263000 années chez intel) pour être cracké. Y a pas de justice!" />

Vanilys

Le 20/01/2014 à 15h28

gokudomatic a écrit :

et dire que : blablabla yakyakyak

lui, il met 204 trillions d’années (263000 années chez intel) pour être cracké. Y a pas de justice!" />

Hum, c’est un peu what the fox says XD

XalG

Le 20/01/2014 à 15h29

Jarodd a écrit :

Merci " />

Mais quel est l’intérêt de la version Classic ? Il lui manque plein de trucs par rapport à la Pro, et les deux sont gratuites… Et en plus elle tourne sur Linux sans passer par Wine.

C’est pour ceux qui trouvent ça trop simple et qui veulent du challenge en plus dans la vie.

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 15h37

XalG a écrit :

C’est pour ceux qui trouvent ça trop simple et qui veulent du challenge en plus dans la vie.

c’est sur qu’installer une application mono sécurisée sous linux, c’est comme de jouer à un roguelike dans lequel on n’a droit qu’à un seul essai.

XalG

Le 20/01/2014 à 15h37

gokudomatic a écrit :

c’est sur qu’installer une application mono sécurisée sous linux, c’est comme de jouer à un roguelike dans lequel on n’a droit qu’à un seul essai.

Je vois pas le soucis ">

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 15h42

XalG a écrit :

Je vois pas le soucis ">

Ben j’attend la speedrun de l’installation de keepass 2 sur ubuntu avant de l’installer. Je préfère le bon vieux keepassx totalement stable et dans les dépôts.

…Attends. Quelqu’un n’avait pas dit que keepass 2 pro était aussi dans les dépôts?

BenGamin

Le 20/01/2014 à 15h47

Cara62 a écrit :

Rassurez moi, c’est pour des logins à la con ? Sans trop d’importance ? " />

Yeah j’suis trop fort. Qui dit mieux ? " />

(j’avais oublié de faire le test la dernière fois " /> )

kurasul a écrit :

oui ta raison

CONGRATULATIONS!

It would take about 1721418052035469 years to crack your password.

" />" />" />" />

Et sinon ça ne prendra que quelques secondes pour l’admin qui gère le site où vous avez rentré votre mot de passe. " /> " />

XalG

Le 20/01/2014 à 15h51

gokudomatic a écrit :

Ben j’attend la speedrun de l’installation de keepass 2 sur ubuntu avant de l’installer. Je préfère le bon vieux keepassx totalement stable et dans les dépôts.

…Attends. Quelqu’un n’avait pas dit que keepass 2 pro était aussi dans les dépôts?

sudo apt-get install keepass2

A priori ça y est

AirTé

Le 20/01/2014 à 16h17

It would take a desktop PC about

35 sextillion years

to crack your password

CONGRATULATIONS!

It would take about 1573727075901 years to crack your password.

Bon, ça va, j’ai de la marge.

coket

Le 20/01/2014 à 16h44

kurasul a écrit :

It would take a desktop PC about 4 thousand years to crack your password

^^ love it

pour ceux qui veulent tester

https://howsecureismypassword.net/

It would take a desktop PC about

169 sexdecillion years

to crack your password

J’apprends des mots en plus " />

Winderly

Le 20/01/2014 à 17h03

et orientez-vous plutôt une combinaison du même acabit.

Je crois que je vais orienter moi plutôt un bon verre. " />

linkin623 Abonné

Le 20/01/2014 à 18h29

Takoon a écrit :

4mn avec un eeePc 901 depuis ma terrasse, juste pour voir…hein ?

" /> juste pour voir " />

sr17

Le 20/01/2014 à 19h06

La preuve qu’il manque réellement une vraie formation sérieuse des utilisateurs à l’informatique.

On aura fait un grand pas le jour ou le monde réalisera que la formation des utilisateurs sur le tas ne pose que des problèmes.

Ne rigolez pas, ça peut coûter très cher à une nation quand les grandes entreprises se retrouvent avec leurs appels d’offre piratés par les concurrents à cause d’utilisateurs qui sont des vrais trous de sécurité vivants.

dualboot

Le 20/01/2014 à 19h40

John Shaft a écrit :

Il y a aussi KeePass, qui a l’avantage d’être libre et qui s’utilise en local " />

Faut que j’y passe, je suis actuellement sous FPM2, mais il ne semble plus maintenu.

Sinon le mot de passe qui pourrait être dans ce top tout en étant toujours différent en fonction de la personne, c’est la date de naissance. Grand classique.

John Shaft

Le 20/01/2014 à 20h17

dualboot a écrit :

Sinon le mot de passe qui pourrait être dans ce top tout en étant toujours différent en fonction de la personne, c’est la date de naissance. Grand classique.

1 chance sur 365 multiplié par 80 -> env. 29 200 possibilités (sans compter les années bissextiles), modulo les permutations liés au système de notation (aaaammdd, ddmmaaa, …)

Pas si dur à trouver effectivement

Autant mettre l’âge du capitaine en MdP " />

Obelixator

Le 20/01/2014 à 20h42

sr17 a écrit :

Ne rigolez pas, ça peut coûter très cher à une nation quand les grandes entreprises se retrouvent avec leurs réponses à appels d’offre piratées par les concurrents à cause d’utilisateurs qui sont des vrais trous de sécurité vivants.

" />

Bien pire que l’appel en lui-même " />

pecos

Le 20/01/2014 à 10h32

Vous pouvez ajouter celui de mon voisin, particulièrement confiant :

abcdef

(non je ne dirais pas où j’habite… " />)

Cara62

Le 20/01/2014 à 10h34

Rassurez moi, c’est pour des logins à la con ? Sans trop d’importance ? " />

CONGRATULATIONS!

It would take about 30255643682575413000 years to crack your password.

Yeah j’suis trop fort. Qui dit mieux ? " />

(j’avais oublié de faire le test la dernière fois " /> )

Avygeil

Le 20/01/2014 à 10h34

‘tain le “trustno1” est encore là, ya des furieux de X-Files encore, chapeau ^^

Sinon je resort encore le sempiternelhttps://xkcd.com/936/?

AxS

Le 20/01/2014 à 10h34

Parmi ceux là, combien correspondent à des comptes dont on se fout complètement ? Ceux qu’on crée “pour voir” avec des données volontairement fausses, et donc un mdp volontairement pourri ?

Edit : Grillé par Cara62 " />

Khalev

Le 20/01/2014 à 10h36

Bien évidemment, si votre mot de passe fait partie de cette liste, il est plus qu’urgent d’en changer pour un plus sécurisé, ce qui ne devrait pas être trop difficile

Fait! Je suis passe de “123456” à “password”. Je me sens en sécurité maintenant. Merci PCI!

:vroum:

Cara62

Le 20/01/2014 à 10h39

Natsume a écrit :

Parmi ceux là, combien correspondent à des comptes dont on se fout complètement ? Ceux qu’on crée “pour voir” avec des données volontairement fausses, et donc un mdp volontairement pourri ?

Edit : Grillé par Cara62 " />

Ouep, c’est ce que à quoi je pensais. " />

Vanilys

Le 20/01/2014 à 10h40

Par contre ce qui serait intéressant, c’est de connaître le pourcentage de chaque rang.

Car par exemple, si le premier “123456” est à 75% du total, c’est pas pareil que s’il est à 2% du total …

Dans le premier cas ça voudrait dire que ce mot de passe pourri est bien trop utilisé, que ça craint un max, alros que dans le deuxième cas, certes il est encore trop utilisé, mais il est quand mêm eassez dilué dans les autres mots de passe fréquents…

De même, on pourrait très bien avoir le premier rang à disons 20% du total, le deuxième rang à 18%, et les 8 autres rangs à 1 ou 2% maxi …

Pyroa

Le 20/01/2014 à 10h41

Natsume a écrit :

Parmi ceux là, combien correspondent à des comptes dont on se fout complètement ? Ceux qu’on crée “pour voir” avec des données volontairement fausses, et donc un mdp volontairement pourri ?

Edit : Grillé par Cara62 " />

La question est pertinente ! C’est clair que des comptes bidons avec des mots de passe encore plus bidon chacun de nous doit en avoir une sacrée liste !

Ca serait sympa d’avoir les chiffres qui prendrait en compte ceci. Mais comment le mesurer ? :s

kurasul

Le 20/01/2014 à 10h46

It would take a desktop PC about 4 thousand years to crack your password

^^ love it

pour ceux qui veulent tester

https://howsecureismypassword.net/

John Shaft

Le 20/01/2014 à 10h46

il existe des solutions afin de vous aider. Des sites comme Générateur De Mot De Passe ou encore Maord vous permettent d’en créer facilement en ligne. Mais il reste tout de même la possibilité qu’ils soient enregistrés, même si les deux exemples cités précédemment s’en défendent.

Il y a aussi KeePass, qui a l’avantage d’être libre et qui s’utilise en local " />

L3 G33K

Le 20/01/2014 à 10h46

Au bureau tout le monde a le même mot de passe non modifiable : password " />

XMalek

Le 20/01/2014 à 10h48

TBirdTheYuri a écrit :

Au bureau tout le monde a le même mot de passe non modifiable : password " />

Mouais pas pire qu’ici ou on interdit d’utiliser des caractères spécifiques du clavier (tout ceux n’étant pas commun à tous les claviers) dans les mots de passes sur des machines dites “critiques”

AnthoniF

Le 20/01/2014 à 23h22

Celui qui n’a rien à se reprocher n’a rien à cacher…. donc le lambda pigeon lobotomiser en a strictement rien à faire

ElenWii

Le 20/01/2014 à 23h27

Bon ca devrait aller pour mon mot de passe wifi : CONGRATULATIONS!

It would take about 3.2114142708729976e+38 years to crack your password

Par contre il est long à écrire avec une telecommande ou un téléphone " />

Fueg

Le 20/01/2014 à 23h35

j’ai un client qui a mise son nom de famille en MDP sur une mail composée de son pré[email protected]

y’a vraiment des fous " />

thieb03

Le 21/01/2014 à 08h32

En même temps quand tu vois ce que peut faire la NSA tu te demandes si ca vaut le coup de se creuser les méninges

bord

Le 21/01/2014 à 09h22

AZERTY 23eme ???

mais on peut carément dire COCORICOO !!!

y’a qu’en Français que les claviers commencent par AZERTY non ?

Sly

Le 21/01/2014 à 09h35

Tiens, cette année, “Dragon” est sorti du top est a été remplacé par “monkey”, ca dépend de l’année du calendrier chinois ? " />

vincm70

Le 21/01/2014 à 14h34

UN bon mot de passe , je part d’un poème.

Et je prend les premières lettres ,

remplace le “et” par “&” et les son “AU, O” par 0, “sur” par “/” etc….

http://poesie.webnet.fr/vospoemes/poemes/charly_lellouche/tu_es_mon_livre_ouvert…

Exemple:

Celle dont je sais tout, d’aujourd’hui et d’hier,——————————> CDjCt,D0&h

Celle qui se confie et me dit “je t’adore”, ———————————–> Ckiccon&md”jt’A”

Qui murmure “j’ai froid” lorsque survient l’hiver,————————— > kim”j’èf”lsl’h

Et puis “réchauffe moi” et “aime moi encore”. ——————————> Ep”rm”&ame

eric7950

Le 21/01/2014 à 15h45

c’est très théorique, ce délai, tout dépend de l’ordre d’envoi des lettres ou mots,

dans les films ils trouvent en quelques secondes, sauf quand le scénariste est audacieux, le portable qui s’efface " />

et quand on oublie le mdp, en cliquant le lien pour le réinitialiser (ou le recevoir)

c’est pas le mdp en lui même qui doit être blindé, mais le serveur où il est installé

ou carrément plus simple, pourquoi seulement 2 cases (identifiant et mdp) ? on ajoute une clé de sécurité et même avec 2 mdp pourris, les possibilités sont augmentées (même en mettant de fois le même)

dualboot

Le 21/01/2014 à 17h44

John Shaft a écrit :

1 chance sur 365 multiplié par 80 -> env. 29 200 possibilités (sans compter les années bissextiles), modulo les permutations liés au système de notation (aaaammdd, ddmmaaa, …)

Pas si dur à trouver effectivement

Autant mettre l’âge du capitaine en MdP " />

Non non, je voulais dire : avec un peu ingénierie sociale, si tu arrive à déterminer le propriétaire d’un compte, la date de naissance est souvent associée au mot de passe.

John Shaft

Le 21/01/2014 à 18h01

dualboot a écrit :

Non non, je voulais dire : avec un peu ingénierie sociale, si tu arrive à déterminer le propriétaire d’un compte, la date de naissance est souvent associée au mot de passe.

Ah dans ce cas " />

Bon la brute force me semble plus simple tout de même, surtout qu’avec un peu de fourberie, il suffit de choisir la date de naissance du chat et ça complique les chose pour l’ingénierie sociale " />" />

dualboot

Le 21/01/2014 à 18h07

John Shaft a écrit :

Ah dans ce cas " />

Bon la brute force me semble plus simple tout de même, surtout qu’avec un peu de fourberie, il suffit de choisir la date de naissance du chat et ça complique les chose pour l’ingénierie sociale " />" />

C’est vrai qu’un chat c’est plus difficile à interroger. " />

John Shaft

Le 21/01/2014 à 18h13

dualboot a écrit :

C’est vrai qu’un chat c’est plus difficile à interroger. " />

Faut choper son tatouage " />

Jarodd Abonné

Le 21/01/2014 à 20h14

Les explications " />

Guinnness

Le 22/01/2014 à 13h23

gokudomatic a écrit :

ouais, essaie donc de faire ça lorsque le site te dit que le mot de passe ne doit pas dépasser 8 caractères.

Bah sur ce genre de sites en carton c’est adresse mail temporaire générée via jetable.org ou équivalent et remplissage de profils au minimum toléré et bien sur avec des infos 100% bidon, le tout étant de garder une trace de ses infos de connexion quelquepart car forcément pas moyen de récupérer un mot de passe oublié.

baldodo

Le 22/01/2014 à 17h07

thieb03 a écrit :

En même temps quand tu vois ce que peut faire la NSA tu te demandes si ca vaut le coup de se creuser les méninges

ta remarque serait valable si ton seul “ennemi” était la NSA (qui a un peu plus de moyen qu’un simple escroc, fut-il doué)

NonMais

Le 20/01/2014 à 11h01

cid_Dileezer_geek a écrit :

Je te bats " />

ça marche avec les copier/coller?

CONGRATULATIONS!

It would take about 83442938948370220001 years to crack your password.

ha bah oui " />

Jed08

Le 20/01/2014 à 11h03

On se casse la tête à chercher des mots de passe… N’en mettez pas, les gens chercheront bêtement dans le vide " />

(pour les plus naïfs d’entre vous, ceci est de l’ironie)

fubiga

Le 20/01/2014 à 11h03

perso je ne les connais pas par coeur, mais peux le retrouver.

exemple:

echo -n “pcimpact:monloggin” | openssl enc -base64

echo -n “facebook:monloggin” | openssl enc -base64

francus29

Le 20/01/2014 à 11h04

Mon mot de passe wifi ^^

CONGRATULATIONS!

It would take about 1.2494903859239465e+27 years to crack your password.

Gab&

Le 20/01/2014 à 11h07

fubiga a écrit :

perso je ne les connais pas par coeur, mais peux le retrouver.

exemple:

echo -n “pcimpact:monloggin” | openssl enc -base64

echo -n “facebook:monloggin” | openssl enc -base64

Le problème de base dans ce cas est qu’il faut écrire le nom du site correctement… " />

nampaboy

Le 20/01/2014 à 11h06

kurasul a écrit :

It would take a desktop PC about 4 thousand years to crack your password

^^ love it

pour ceux qui veulent tester

https://howsecureismypassword.net/

j’ai mieux et plus simple :

It would take a desktop PC about

4 quintillion years

to crack your password

le pass : lechatestdanslachambre5 " />

cid_Dileezer_geek

Le 20/01/2014 à 11h07

NonMais a écrit :

ça marche avec les copier/coller?

ha bah oui " />

tricheur, je l’ai battu à la régulière, avec un password de même type que les miens, par contre :

Ellierys a écrit :

It would take about 1.220205455003854e+24 years to crack your password.

Suivant ?

il suffit de jouer à kikalaplugrosse pour écraser tlm " />

Sisyphe73-173

Le 20/01/2014 à 11h07

Perso j’utilise 00000000

C’est super secure, la preuve, c’est même utilisé par l’armée US…

Ellierys

Le 20/01/2014 à 11h08

cid_Dileezer_geek a écrit :

tricheur, je l’ai battu à la régulière, avec un password de même type que les miens, par contre :

il suffit de jouer à kikalaplugrosse pour écraser tlm " />

J’ai fait le test avec ma passphrase pour le Wi-Fi " />

127.0.0.1

Le 20/01/2014 à 11h12

Le problème c’est pas tant que le password que le site web qui t’oblige à créer un compte (user/password) pour te “fidéliser”.

Y a pas tellement de site où j’ai réellement besoin d’être authentifié formellement.

francus29

Le 20/01/2014 à 11h12

Ellierys a écrit :

J’ai fait le test avec ma passphrase pour le Wi-Fi " />

idem pour plus haut

le meme mot de passe sur l’autre site

It would take a desktop PC about

633 decillion years

to crack your password

mais bon il fait 32 caractères aussi ^^

jb18v

Le 20/01/2014 à 11h13

Avygeil a écrit :

Sinon je resort encore le sempiternelhttps://xkcd.com/936/?

ben oui c’est un classique " />

L3 G33K

Le 20/01/2014 à 11h17

Mon password de l’accès Wifi :

CONGRATULATIONS!

It would take about 1.6544349115234861e+131 years to crack your password.

Ca devrai aller " />

f4f_ender

Le 20/01/2014 à 11h19

J’avais bien reçu une carte bancaire du crédit agricole avec comme mot de passe inclus 0000 et ceux la on peut pas les changer. Ça parait incroyable mais c’est vrai et je me suis toujours demandé si ça avait été un oublis d’affectation de leur part ou si c’est un pur hasard.

en tout cas c’était facile à retenir :)

mmvik

Le 20/01/2014 à 11h22

127.0.0.1 a écrit :

Le problème c’est pas tant que le password que le site web qui t’oblige à créer un compte (user/password) pour te “fidéliser”.

Y a pas tellement de site où j’ai réellement besoin d’être authentifié formellement.

Tout à fait d’accord. L’internaute n’a AUCUN INTERET à créer un compte sur Adobe ! Alors 000000 ou abcd n’a aucune importance. Ce sont les sites web qui obligent à créer un compte inutilement qui “passent pour des imbéciles” et non l’internaute comme le laisse supposer Sébastien…

cid_Dileezer_geek

Le 20/01/2014 à 11h23

Ellierys a écrit :

J’ai fait le test avec ma passphrase pour le Wi-Fi " />

C’est bien ce que je disais, en augmentant le nombre de caractères tu augmente la durée pour le casser, mais bon, je trouves que plusieurs milliards de milliards d’années c’est déjà bien, sinon y a le meilleur mot de passe jamais utilisé: Best Password Oo —–> 8mois chez intel (espaces inclus hein) " />" />

tic tac

Le 20/01/2014 à 11h24

Je suis étonné de ne pas voir celui ci dans le top 25

sebcap26

Le 20/01/2014 à 11h24

Le mot de passe “admin” en 12ème position est celui qui m’inquiète le plus " />

cid_Dileezer_geek

Le 20/01/2014 à 11h26

tic tac a écrit :

Je suis étonné de ne pas voir celui ci dans le top 25

" />

John Shaft

Le 20/01/2014 à 11h27

J’arrive pas à rentrer le MdP de Stallman* dans leurs machins respectif " />

* Appui sur la touche Entrée de mémoire " />

charon.G

Le 20/01/2014 à 11h42

sebcap26 a écrit :

Le mot de passe “admin” en 12ème position est celui qui m’inquiète le plus " />

En fait c’est souvent le mot de passe par défaut sur les solutions web. J’imagine que certains ne touchent pas à la config par défaut " />

Sinon il n’y a pas pouet et prout suis déçu " />

SuperNiko

Le 20/01/2014 à 11h44

Celui de ma femme y est toujours !! :) J’adore ! :)

Gortix Lab

Le 20/01/2014 à 11h48

Intel : 131612043904891 years to crack your password

howsecureismypassword.net : 33 trillion years

{~[#|{[\|^@]^}@]

Il est pas forcement nécessaire de faire un mot de passe de 400 caractères …

Sans le ALT+GR en chiffre ça donne : 142536475869708°9+0° (décalage de deux cases sur le numérique du haut sur toute la ligne, taper se mot de passe prend 3 secondes au bout de la 5éme fois)

Takoon

Le 20/01/2014 à 11h51

pecos a écrit :

Vous pouvez ajouter celui de mon voisin, particulièrement confiant :

abcdef

(non je ne dirais pas où j’habite… " />)

le mien s’appelle ludovic, il a 37 ans. son mot de passe wifi est ludovic37,(Précision : Il est en WEP)

et pour sa sécurité chaque année il change de mot de passe, me dit-il avec applomb….." />

tAran

Le 20/01/2014 à 11h52

Les fleurs du mal devraient être LA référence pour choisir son mot de passe " />

Obelixator

Le 20/01/2014 à 11h57

kurasul a écrit :

It would take a desktop PC about 4 thousand years to crack your password

^^ love it

pour ceux qui veulent tester

https://howsecureismypassword.net/

geekounet85 a écrit :

la version d’Intel est moins optimiste!

" />

Les plus proches de la réalité, c’est quand même la NSA " />

“It would take less than 5 minutes to crack any password … If not, we kill the service” " /> " /> " />

psn00ps

Le 20/01/2014 à 12h04

SuperNiko a écrit :

Celui de ma femme y est toujours !! :) J’adore ! :)

letmein ? " />

Cara62

Le 20/01/2014 à 12h11

Patch a écrit :

moi : mieux " />

Je m’incline. " />

cid_Dileezer_geek a écrit :

Je te bat " />

" />

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 12h17

Takoon a écrit :

le mien s’appelle ludovic, il a 37 ans. son mot de passe wifi est ludovic37,(Précision : Il est en WEP)

et pour sa sécurité chaque année il change de mot de passe, me dit-il avec applomb….." />

tu pourras lui apporter un cadeau lorsque tu vois que son mot de passe a changé." />

pyro-700

Le 20/01/2014 à 12h19

le pire mot de passe est 1234 pour les carte sim neuve, madame michu ne pense pas a le changer. " />

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 12h25

Vanilys a écrit :

" />

Que j’utilise tout le temps.

La base de données - cryptée par Keepass - est stockée sur mon Dropbox, avec un mot de passe très fort.

Et je peux y accéder soit à partir de mes PC (avec le logiciel Keepass, et il y’a même pas besoin d’avoir dropbox installé sur sa machine), soit sur mon smartphone (7Pass pour mon WP)

Hyper pratique :)

même avec keepassx et un mot de passe très fort, je n’oserai jamais mettre un fichier keepass en cloud s’il contient des informations concernant mes comptes en banque. Sauf peut-être en backup dans un volume truecrypt.

Elwyns

Le 20/01/2014 à 12h28

gokudomatic a écrit :

même avec keepassx et un mot de passe très fort, je n’oserai jamais mettre un fichier keepass en cloud s’il contient des informations concernant mes comptes en banque. Sauf peut-être en backup dans un volume truecrypt.

Surtout en cloud sur dropbox hébergé par amazon aux US xD

Jarodd Abonné

Le 20/01/2014 à 12h56

How to secure my password c’est de la fumisterie.

11111111111111111111 mettrait 792 années à être cracké. C’est vrai c’est très secure !

Et sinon, on parle des sites qui limitent le nombre de caractères ? Qui les stocke en clair dans leur SI ? Qui les renvoie par mail non chiffré ? Ou qui n’acceptent que [a-z][0-9] et remplacent tout autre caractère par un espace ? Dédicace à Oxybul qui fait les quatre " />

XalG

Le 20/01/2014 à 12h56

DetunizedGravity a écrit :

Je n’ai pas le temps de lire les 6 pages de commentaire, là, donc je vais peut-être répéter le message de quelqu’un d’autre mais…

Je félicite tous ceux qui viennent de comparer la robustesse de leur mot de passe en allant le tester sur howsecureismypassword. Ils viennent de gagner le droit d’en changer, et donc de rendre la comparaison inutile. " />

Première règle d’or, qui découle de la définition même du mot de passe: ne révèle ton mot de passe à personne. P-e-r-s-o-n-n-e. Personne ne veux pas dire “personne sauf une bande de gars dont tu ne sais absolument rien, par l’intermédiaire d’un outil qui n’a pas été audité, qui s’exécute dans un environnement connecté à Internet, et qui est techniquement maqué à Twitter, Facebook et Google Analytics”. Personne veut dire personne.

Évitez évidemment de donner votre véritable mot de passe et orientez-vous plutôt une combinaison du même acabit. Une précaution qui s’applique d’ailleurs à tous les sites qui veulent « tester » votre mot de passe.

Oui, c’était indiqué dans l’article pour éviter des soucis àlakon

Takoon

Le 20/01/2014 à 12h59

linkin623 a écrit :

" /> Gros niveau… Une clef WEP, ça tient combien, deux trois minutes?

4mn avec un eeePc 901 depuis ma terrasse, juste pour voir…hein ?

Jarodd Abonné

Le 20/01/2014 à 12h59

WereWindle a écrit :

les dossiers/lecteurs partagés c’est tellement XXème siècle aussi (avoir une personne admin itou d’ailleurs) " />

Je comprends parfaitement le pourquoi de la chose mais son comment me laisse perplexe.

Si tu savais le nombre de boites où c’est la personne le plus calée en informatique qui gère tout cet aspect (c-a-d celle qui a W7 chez elle, quand les autres ont Vista), et le nombre où il n’y a pas de budget pour avoir un admin…

Takoon

Le 20/01/2014 à 13h02

psn00ps a écrit :

Celui de ma femme y est toujours !! :) J’adore ! :)

letmein ?

" />" />

le podoclaste

Le 20/01/2014 à 13h02

gokudomatic a écrit :

Même si ca dit que ça vérifie que ton mot de passe est solide? Faut arrêter la paranoïa à un moment donné.

Le site en question te dit que “00000000000000000” est un mot de passe solide. A vrai dire, j’ai moins peur que le site collecte les mdp plutôt qu’il soit pris au sérieux par quelqu’un qui verrais que “jeff123456” prend 8 siècles à être brisé.

Jarodd Abonné

Le 20/01/2014 à 13h02

Jarodd a écrit :

Je vais regarder Keepass, mais lequel est le bon, .com ou .fr ? " />

Je relance de quinze, car l’un propose la version 1.26, et l’autre 2.24. Est-ce vraiment le même produit ? " />

TaigaIV

Le 20/01/2014 à 13h06

Moi je ne files mes mots de passe ni à untel ni à Intel. " />

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 13h06

Jarodd a écrit :

Je relance de quinze, car l’un propose la version 1.26, et l’autre 2.24. Est-ce vraiment le même produit ? " />

et il y a aussi la version x (keepassx) mais qui est seulement une ancienne version portée sur linux, et qui n’est donc pas une verson eXtra.

Je me couche.

Groumfy

Le 20/01/2014 à 13h09

Jarodd a écrit :

Ca dépend où tu bosses. Tu n’es pas censé y avoir des comptes perso, et tu dois pouvoir partager les dossiers comme pour du papier.

Au boulot de ma femme, c’est interdiction de mettre un mdp. Parce qu’en cas d’absence, tout le monde doit pouvoir accéder à ses dossiers. C’est un risque en cas de vol des machines, mais ça reste moins probable que de faire capoter un dossier parce que personne ne peut prendre le relais. Seul le grand chef et sa secrétaire ont un mdp, probablement pour masquer les 5 à 7 " />

Ca fait peur de savoir comment certaines choses sont gérées. Dans une petite structure, c’est pas difficile à faire pourtant.

Guinnness

Le 20/01/2014 à 13h10

C’est pourtant pas très compliqué de faire des séries de mots de passe relativement robustes aux attaques bruteforce/dictionnaires tout en étant tout de même assez facile à retenir pour un être humain.

Perso je part d’un mot de passe classique avec lettres et chiffres mais qui reste simple à retenir car ayant une signification pour moi et j’y adjoint un acronyme spécifique en fonction du service auquel il sert.

De cette façon j’ai des mots de passes différents pour chaque comptes, avec suffisamment de caractères pour dissuader une personne normale d’utiliser une attaque bruteforce basique (après pour la NSA et leurs supercalculateurs là bah … " />), tout en étant faciles à retenir (depuis que j’utilise cette technique je n’ai pratiquement plus oublié un mot de passe)

Utiliser des caractères spéciaux dans ses mots de passe c’est juste pour ceux qui veulent se la jouer 1337, c’est excessivement difficile à retenir pour une personne normale mais en bruteforce ça tombera aussi vite qu’avec des caractères conventionnels.

Vanilys

Le 20/01/2014 à 13h13

gokudomatic a écrit :

même avec keepassx et un mot de passe très fort, je n’oserai jamais mettre un fichier keepass en cloud s’il contient des informations concernant mes comptes en banque. Sauf peut-être en backup dans un volume truecrypt.

J’y pensais, à utiliser TrueCrypt, mais le problème c’est qu’on perd immédiatement la possibilité de l’utiliser immédiatement par une application (KeePass, LastPass, 7Pass…), il faut au préalable le décrypter, donc … :-/

Je sais bien que ce n’est pas totalement secure sur dropbox, mais bon, je me dis que c’est un compromis entre le cryptage de la BD avec un mot de passe fort, et la facilité d’utilisation.

De plus, quand on l’utilise sur PC, y’a différentes techniques qui rendent également plus safe l’utilisation du mot de passe enregistré : Manuellement, un utilisateur tapera les lettres/chiffres les uns après les autres. Avec Keepass, il y a des protections supplémentaires en utilisant le mécanisme de copié/collé de Kepass : le password sur le site ou logiciel où tu veux te logguer sera “copié/collé” en utilisant le Two-Channel AutoType Obfuscation (et il y a en + d’autres petites techniques supplémentaires), ce qui rend difficile voire impossible à un keylogger de récupérer ton mot de passe.

L’algo utilisé par Keepass pour la BDD est Rijndael (AES). Le mot de passe principal est encodé en SHA-256, en ajoutant un salt hash de 128 bits aléatoire en complément du SHA-256.

Donc bon, tout ça fait que c’est quand même bien secure :)

Plus d’infos :

http://keepass.info/help/base/security.html

Vanilys

Le 20/01/2014 à 13h14

Jarodd a écrit :

azerty 23e, tout se perd ma bonne dame " />

Perso c’est un fichier txt chiffré par ccrypt et axcrupt (selon si je suis sur Win ou Linux), le tout dans un container truecrypt, sur ma clé usb qui ne me quitte jamais (avec divers backups en cas de perte).

Je vais regarder Keepass, mais lequel est le bon, .com ou .fr ? " />

.info :

http://keepass.info

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 13h15

Guinnness a écrit :

C’est pourtant pas très compliqué de faire des séries de mots de passe relativement robustes aux attaques bruteforce/dictionnaires tout en étant tout de même assez facile à retenir pour un être humain.

Perso je part d’un mot de passe classique avec lettres et chiffres mais qui reste simple à retenir car ayant une signification pour moi et j’y adjoint un acronyme spécifique en fonction du service auquel il sert.

De cette façon j’ai des mots de passes différents pour chaque comptes, avec suffisamment de caractères pour dissuader une personne normale d’utiliser une attaque bruteforce basique (après pour la NSA et leurs supercalculateurs là bah … " />), tout en étant faciles à retenir (depuis que j’utilise cette technique je n’ai pratiquement plus oublié un mot de passe)

Utiliser des caractères spéciaux dans ses mots de passe c’est juste pour ceux qui veulent se la jouer 1337, c’est excessivement difficile à retenir pour une personne normale mais en bruteforce ça tombera aussi vite qu’avec des caractères conventionnels.

ouais, essaie donc de faire ça lorsque le site te dit que le mot de passe ne doit pas dépasser 8 caractères.

monpci

Le 20/01/2014 à 13h16

TaigaIV a écrit :

Moi je ne files mes mots de passe ni à untel ni à Intel. " />

" />

Groumfy a écrit :

Ca fait peur de savoir comment certaines choses sont gérées. Dans une petite structure, c’est pas difficile à faire pourtant.

Si tu savais …..

Ph11

Le 20/01/2014 à 13h16

YouTube

Jarodd Abonné

Le 20/01/2014 à 14h05

John Shaft a écrit :

Les différences sont trouvables ici.

La principale différence que je vois est que - sous Windows - la branche classique (1.x) nécessite GDI+, là où la Pro (branche 2.x) nécessite le framework .NET.

Bon dans tous les cas, .NET est suffisamment répandu maintenant " /> (Et pis sous Linux, il n’y a que la Pro dans les dépôts - testé sous Debian et Ubuntu)

Oui merci, mais c’est le même lien que le mien " />

Je suis en train de tester Keepass " />

John Shaft

Le 20/01/2014 à 14h07

Jarodd a écrit :

Oui merci, mais c’est le même lien que le mien " />

Ahah !

:bombinette-a-fumee-ninja:

DetunizedGravity Abonné

Le 20/01/2014 à 14h08

Jarodd a écrit :

Je relance de quinze, car l’un propose la version 1.26, et l’autre 2.24. Est-ce vraiment le même produit ? " />

Même produit, obsolète vs. à jour. Cela, dit, allez plutôt le chercher à la source, sur le site officiel sur SourceForge. Keepass.com comme keepass.fr me paraissent douteux à première vue.

http://sourceforge.net/projects/keepass/?source=directory

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 14h10

DetunizedGravity a écrit :

C’est pas de la paranoïa. C’est mon métier de “penser comme les méchants” dans ce domaine, et je peux dire que créer un “site de vérification de robustesse de mot de passe” est très haut dans ma liste des “bonnes méthodes pour convaincre les gens de me filer leur mot de passe”.

C’est une méthode de phishing comme les autres.

Une objection presque valable aurait été “oui mais on ne me demande pas à quel compte ce mot de passe s’applique donc je suis tranquille”.

Sauf qu’ils ont aussi votre IP (et peut-être d’autres sources d’informations liées à l’IP) et toutes les infos que votre browser veut bien fournir ce qui n’est pas rien. De là à être capable de reconstituer des “comptes probables à tester”, il n’y a qu’un pas que je franchis allègrement.

Et aussi le but peut aussi être de construire des dictionnaires de mots de passes fréquemment utilisés pour améliorer l’efficacité des casseurs de mdp. De ce point de vue, les fuites comme celle des 3 millions de compte Adobe sont une véritable aubaine.

En tous cas, ma méthode de fishing marche bien. T’as mordu à pleines dents." />

Vanilys

Le 20/01/2014 à 14h10

DetunizedGravity a écrit :

Même produit, obsolète vs. à jour. Cela, dit, allez plutôt le chercher à la source, sur le site officiel sur SourceForge. Keepass.com comme keepass.fr me paraissent douteux à première vue.

http://sourceforge.net/projects/keepass/?source=directory

Le site officiel est http://keepass.info/

Et le téléchargement est redirigé sur sourceforge :)

DetunizedGravity Abonné

Le 20/01/2014 à 14h12

Shimaran a écrit :

Vivement qu’on remplace les mots de passe par une identification à la voix, à la cornée ou encore mieux à l’activité électrique du coeur ! (mais là je rêve ^^)

Données biométriques, qui sont synthétisées en données numériques pour pouvoir les comparer facilement. Données numériques qui sont ensuite stockées quelque part. et qui, donc, peuvent être volées et “rejouées” en votre absence.

Et quand quelqu’un vous aura volé votre “mot de passe biométrique” et commencera à se faire passer pour vous, dites-moi, vous ferez comment pour en changer? Just sayin’.

DetunizedGravity Abonné

Le 20/01/2014 à 14h15

gokudomatic a écrit :

En tous cas, ma méthode de fishing marche bien. T’as mordu à pleines dents." />

Si le but était de me faire réagir, ce n’est pas du phishing. C’est du trolling. Et donc je vais arrêter de te nourrir tout de suite.

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 14h15

DetunizedGravity a écrit :

Si le but était de me faire réagir, ce n’est pas du phishing. C’est du trolling. Et donc je vais arrêter de te nourrir tout de suite.

" />

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 14h27

Mithrill a écrit :

Bien vu, maintenant on va devoir recréer un nouveau site pour appâter le chaland pffff " />

et si on essayait de faire un site qui vérifie la sécurité des fichiers keepass? On propose de faire uploader un fichier, et par routine de verification, on demande à un moment donné la clé maitre.

yvan Abonné

Le 20/01/2014 à 14h34

Cara62 a écrit :

Rassurez moi, c’est pour des logins à la con ? Sans trop d’importance ? " />

Yeah j’suis trop fort. Qui dit mieux ? " />

(j’avais oublié de faire le test la dernière fois " /> )

Sauf qu’en ligne le bruteforce n’est pas possible si les sites sont pas trop neuneus. Là leur outil il suffit juste de taper un truc long genre “motdepassedelamortquitue” et ça marche.

Il serait mieux tant qu’à faire de la pédagogie de bien différentier attaque en ligne (où une confirmation sms va être demandée si trop de bots tentent trop de mdp sur un compte) de bruteforce local où tout est permis et où l’usage d’un lexique est généralement utilisé ce qui fait que “motdepassedelamortquitue” ne tient pas des centaines de milliers d’années.

monpci

Le 20/01/2014 à 14h33

gokudomatic a écrit :

et si on essayait de faire un site qui vérifie la sécurité des fichiers keepass? On propose de faire uploader un fichier, et par routine de verification, on demande à un moment donné la clé maitre.

non tester la robustesse du mot de passe gmail & ou facebook

et bien sur il faut fournir ID du compte pour éviter les mot de passe identique à l’ID ….

FunnyD

Le 20/01/2014 à 14h37

CONGRATULATIONS!It would take about 2607591842136569000 years to crack your password

Dieudonné M’Bala M’Bala est un super mot de passe!!!" />

misterdupond

Le 20/01/2014 à 14h48

you:pi

crackable en 39 secondes, pas cool ca " />

tic tac

Le 20/01/2014 à 14h51

(…)Dieudonné M’Bala M’Bala est un super mot de passe!!! (…)

Maintenant que tu viens de le révéler, il l’est dejà un peu moins …

FunnyD

Le 20/01/2014 à 14h59

tic tac a écrit :

(…)Dieudonné M’Bala M’Bala est un super mot de passe!!! (…)

Maintenant que tu viens de le révéler, il l’est dejà un peu moins …

M’en fous, c’est pas le mien " />

linkin623 Abonné

Le 20/01/2014 à 12h35

Avygeil a écrit :

‘tain le “trustno1” est encore là, ya des furieux de X-Files encore, chapeau ^^

Sinon je resort encore le sempiternelhttps://xkcd.com/936/?

" />

WereWindle

Le 20/01/2014 à 12h35

TBirdTheYuri a écrit :

Mon password de l’accès Wifi :

Ca devrai aller " />

c’est recevable en cas de lettre Hadopi, ce genre de relevé ?

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 12h36

WereWindle a écrit :

c’est recevable en cas de lettre Hadopi, ce genre de relevé ?

non, car il y a une grosse faute de conjugaison.

linkin623 Abonné

Le 20/01/2014 à 12h37

Takoon a écrit :

le mien s’appelle ludovic, il a 37 ans. son mot de passe wifi est ludovic37,(Précision : Il est en WEP)

et pour sa sécurité chaque année il change de mot de passe, me dit-il avec applomb….." />

" /> Gros niveau… Une clef WEP, ça tient combien, deux trois minutes?

DetunizedGravity Abonné

Le 20/01/2014 à 12h38

Je n’ai pas le temps de lire les 6 pages de commentaire, là, donc je vais peut-être répéter le message de quelqu’un d’autre mais…

Je félicite tous ceux qui viennent de comparer la robustesse de leur mot de passe en allant le tester sur howsecureismypassword. Ils viennent de gagner le droit d’en changer, et donc de rendre la comparaison inutile. " />

Première règle d’or, qui découle de la définition même du mot de passe: ne révèle ton mot de passe à personne. P-e-r-s-o-n-n-e. Personne ne veux pas dire “personne sauf une bande de gars dont tu ne sais absolument rien, par l’intermédiaire d’un outil qui n’a pas été audité, qui s’exécute dans un environnement connecté à Internet, et qui est techniquement maqué à Twitter, Facebook et Google Analytics”. Personne veut dire personne.

Jarodd Abonné

Le 20/01/2014 à 12h39

azerty 23e, tout se perd ma bonne dame " />

Perso c’est un fichier txt chiffré par ccrypt et axcrupt (selon si je suis sur Win ou Linux), le tout dans un container truecrypt, sur ma clé usb qui ne me quitte jamais (avec divers backups en cas de perte).

Je vais regarder Keepass, mais lequel est le bon, .com ou .fr ? " />

Jarodd Abonné

Le 20/01/2014 à 12h41

tic tac a écrit :

Je suis étonné de ne pas voir celui ci dans le top 25

" /> " />

WereWindle

Le 20/01/2014 à 12h43

DetunizedGravity a écrit :

Première règle d’or, qui découle de la définition même du mot de passe: ne révèle ton mot de passe à personne. P-e-r-s-o-n-n-e. Personne ne veux pas dire “personne sauf une bande de gars dont tu ne sais absolument rien, par l’intermédiaire d’un outil qui n’a pas été audité, qui s’exécute dans un environnement connecté à Internet, et qui est techniquement maqué à Twitter, Facebook et Google Analytics”. Personne veut dire personne.

“oh bah non, on s’fait confiance ! En plus, j’ai rien à cacher”

(entendu plusieurs fois au taff et que j’appelle, à titre perso, le combo de l’apocalypse " />)

jpaul

Le 20/01/2014 à 12h47

Dams20 a écrit :

Intel : 131612043904891 years to crack your password

howsecureismypassword.net : 33 trillion years

{~[#|{[\|^@]^}@]

Il est pas forcement nécessaire de faire un mot de passe de 400 caractères …

Sans le ALT+GR en chiffre ça donne : 142536475869708°9+0° (décalage de deux cases sur le numérique du haut sur toute la ligne, taper se mot de passe prend 3 secondes au bout de la 5éme fois)

Donc ton mot de passe est inutilisable à l’étranger (machine non AZERTY) ou sur un Mac, un smartphone … ?

Commentaire_supprime

Le 20/01/2014 à 12h48

Mon mot de passe pour PCI a une durée de vie de 7 jours avant cassage, faut que j’en change !

Note pour moi-même : apprendre par coeur l’hymne national polonais et l’article R115-6 du Code de la sécurité sociale, et faire un mix des deux.

Jarodd Abonné

Le 20/01/2014 à 12h51

WereWindle a écrit :

“oh bah non, on s’fait confiance ! En plus, j’ai rien à cacher”

(entendu plusieurs fois au taff et que j’appelle, à titre perso, le combo de l’apocalypse " />)

Ca dépend où tu bosses. Tu n’es pas censé y avoir des comptes perso, et tu dois pouvoir partager les dossiers comme pour du papier.

Au boulot de ma femme, c’est interdiction de mettre un mdp. Parce qu’en cas d’absence, tout le monde doit pouvoir accéder à ses dossiers. C’est un risque en cas de vol des machines, mais ça reste moins probable que de faire capoter un dossier parce que personne ne peut prendre le relais. Seul le grand chef et sa secrétaire ont un mdp, probablement pour masquer les 5 à 7 " />

fred42 Abonné

Le 20/01/2014 à 12h53

Commentaire_supprime a écrit :

Mon mot de passe pour PCI a une durée de vie de 7 jours avant cassage, faut que j’en change !

Note pour moi-même : apprendre par coeur l’hymne national polonais et l’article R115-6 du Code de la sécurité sociale, et faire un mix des deux.

Tu as peur que Tim-Timmy te fasse poster des messages pro ayants-droit et Pro HADOPI ?

skypaps

Le 20/01/2014 à 12h54

J’aurai jamais pensé que ma phrase à la con que j’ai en password puisse être si longue à trouvé.

It would take a desktop PC about

116 tredecillion years

to crack your password

Commentaire_supprime

Le 20/01/2014 à 12h55

fred42 a écrit :

Tu as peur que Tim-Timmy te fasse poster des messages pro ayants-droit et Pro HADOPI ?

" />" />" />" />" />

On ne sait jamais.

WereWindle

Le 20/01/2014 à 12h56

Jarodd a écrit :

Ca dépend où tu bosses. Tu n’es pas censé y avoir des comptes perso, et tu dois pouvoir partager les dossiers comme pour du papier.

Au boulot de ma femme, c’est interdiction de mettre un mdp. Parce qu’en cas d’absence, tout le monde doit pouvoir accéder à ses dossiers.

les dossiers/lecteurs partagés c’est tellement XXème siècle aussi (avoir une personne admin itou d’ailleurs) " />

Je comprends parfaitement le pourquoi de la chose mais son comment me laisse perplexe.

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 12h55

DetunizedGravity a écrit :

Je n’ai pas le temps de lire les 6 pages de commentaire, là, donc je vais peut-être répéter le message de quelqu’un d’autre mais…

Je félicite tous ceux qui viennent de comparer la robustesse de leur mot de passe en allant le tester sur howsecureismypassword. Ils viennent de gagner le droit d’en changer, et donc de rendre la comparaison inutile. " />

Première règle d’or, qui découle de la définition même du mot de passe: ne révèle ton mot de passe à personne. P-e-r-s-o-n-n-e. Personne ne veux pas dire “personne sauf une bande de gars dont tu ne sais absolument rien, par l’intermédiaire d’un outil qui n’a pas été audité, qui s’exécute dans un environnement connecté à Internet, et qui est techniquement maqué à Twitter, Facebook et Google Analytics”. Personne veut dire personne.

Même si ca dit que ça vérifie que ton mot de passe est solide? Faut arrêter la paranoïa à un moment donné.

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 13h19

Vanilys a écrit :

J’y pensais, à utiliser TrueCrypt, mais le problème c’est qu’on perd immédiatement la possibilité de l’utiliser immédiatement par une application (KeePass, LastPass, 7Pass…), il faut au préalable le décrypter, donc … :-/

Je sais bien que ce n’est pas totalement secure sur dropbox, mais bon, je me dis que c’est un compromis entre le cryptage de la BD avec un mot de passe fort, et la facilité d’utilisation.

De plus, quand on l’utilise sur PC, y’a différentes techniques qui rendent également plus safe l’utilisation du mot de passe enregistré : Manuellement, un utilisateur tapera les lettres/chiffres les uns après les autres. Avec Keepass, il y a des protections supplémentaires en utilisant le mécanisme de copié/collé de Kepass : le password sur le site ou logiciel où tu veux te logguer sera “copié/collé” en utilisant le Two-Channel AutoType Obfuscation (et il y a en + d’autres petites techniques supplémentaires), ce qui rend difficile voire impossible à un keylogger de récupérer ton mot de passe.

L’algo utilisé par Keepass pour la BDD est Rijndael (AES). Le mot de passe principal est encodé en SHA-256, en ajoutant un salt hash de 128 bits aléatoire en complément du SHA-256.

Donc bon, tout ça fait que c’est quand même bien secure :)

Plus d’infos :

http://keepass.info/help/base/security.html

tant que c’est pour stocker ton mot de passe steam, c’est encore ok. Mais si ça contient le mot de passe pour l’usage de ta carte visa sur une page web (le truc que tu utilises rarement mais qui est vachement important, tant à s’en souvenir qu’à ne pas laisser connaitre, et qui doit donc être fort), je ne pense pas que tu prendrais si facilement ce risque.

Albirew Abonné

Le 20/01/2014 à 13h20

Cara62 a écrit :

Rassurez moi, c’est pour des logins à la con ? Sans trop d’importance ? " />

Yeah j’suis trop fort. Qui dit mieux ? " />

(j’avais oublié de faire le test la dernière fois " /> )

CONGRATULATIONS!

It would take about 8.959617346634368e+29 years to crack your password.

kurasul a écrit :

It would take a desktop PC about 4 thousand years to crack your password

^^ love it

pour ceux qui veulent tester

https://howsecureismypassword.net/

It would take a desktop PC about 197 quindecillion years to crack your password

Y’a pas a dire, les passphrase avec ponctuation, ça poutre :3

GoGator

Le 20/01/2014 à 13h24

Perso j’utilise dashlane. Génération de mot de passe, saisie automatique, multiplateforme avec synchro du compte en mode premium (6 mois offerts par parrainage).

Plu besoin de mon cerveau !

Vanilys

Le 20/01/2014 à 13h24

gokudomatic a écrit :

tant que c’est pour stocker ton mot de passe steam, c’est encore ok. Mais si ça contient le mot de passe pour l’usage de ta carte visa sur une page web (le truc que tu utilises rarement mais qui est vachement important, tant à s’en souvenir qu’à ne pas laisser connaitre, et qui doit donc être fort), je ne pense pas que tu prendrais si facilement ce risque.

Le code de ma CB n’est jamais stockée nulle part, pas même au sein de Keepass. Ni même mon password de compte bancaire. Ni mon code PIN de smartphone.

Par contre oui, les password Steam ou autre, ils y sont. Et les e-mails, par exemple. Ce qui fait qu’en se débrouillant bien, un mec qui arriverait à avoir ces passwords pourrait éventuellement faire une demande de reset de password et vérifier dans ma BAL …

Bref, y’a toujours un risque. Mais c’est pourquoi il faut le limiter au maximum…

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 13h40

Vanilys a écrit :

Le code de ma CB n’est jamais stockée nulle part, pas même au sein de Keepass. Ni même mon password de compte bancaire. Ni mon code PIN de smartphone.

Par contre oui, les password Steam ou autre, ils y sont. Et les e-mails, par exemple. Ce qui fait qu’en se débrouillant bien, un mec qui arriverait à avoir ces passwords pourrait éventuellement faire une demande de reset de password et vérifier dans ma BAL …

Bref, y’a toujours un risque. Mais c’est pourquoi il faut le limiter au maximum…

Il est vrai que l’exemple de la cb est extrême, mais moi, par exemple, j’ai mis toutes les infos de config de mon routeur/wifi et tout sur keepass. Même l’accès à mon compte chez mon FAI. Et j’ai pas du tout envie que d’autres le lisent. Mais j’ai assez confiance en la sécurité de mon disque dur dans mon pc pour y mettre ce genre d’info crypté sous keepass.

Jarodd Abonné

Le 20/01/2014 à 13h38

GoGator a écrit :

Plu besoin de mon cerveau !

" />

WereWindle

Le 20/01/2014 à 13h41

HeLLSoNG a écrit :

Y’a pas a dire, les passphrase avec ponctuation, ça poutre :3

le côté vraiment positif de cette actu, c’est que j’apprends plein de mots nouveaux (genre quindecillion)

Jarodd Abonné

Le 20/01/2014 à 13h42

Vanilys a écrit :

.info :

http://keepass.info

Merci " />

Mais quel est l’intérêt de la version Classic ? Il lui manque plein de trucs par rapport à la Pro, et les deux sont gratuites… Et en plus elle tourne sur Linux sans passer par Wine.

kade

Le 20/01/2014 à 13h48

John Shaft a écrit :

Je viens de tester mon mot de passe super safe (1234567890123456) :

Premier site : 28 jours pour le trouver

Intel : 0,0018 secondes.

Je fais plus confiance à Intel du coup " />

Mon pass serveur OVH testé chez Intel (légèrement modifié mais en gardant maj/min et chiffres) :

CONGRATULATIONS!

It would take about 2143250418 years to crack your password.

Cela dit j’y mettrais pas mes réf. de CB quand même " />

baldodo

Le 20/01/2014 à 13h50

Vanilys a écrit :

Le code de ma CB n’est jamais stockée nulle part, pas même au sein de Keepass. …Bref, y’a toujours un risque. Mais c’est pourquoi il faut le limiter au maximum…

je te rassure, si comme moi ton code de CB n’a pas changé en 10 ans ça fait longtemps qu’il est cramé (c’est pas une raison pour le mettre en poster non plus, mais bon).

De toutes façons à moins de vouloir piquer physiquement ta CB le code est inutile. Ton numéro de CB est archi-cramé, date d’expiration incluse (vu le nombre de commerçants physiques ou online à qui on le communique …) Ne manque plus que le “code de sécurité” mais entre le fait que personne ne l’efface de l’arrière de sa CB, et le fait que là encore on l’a communiqué à plusieurs dizaines de sites online …

tout ça pour dire que si ta CB est globalement cramée il y a peu de chance que ça soit à cause de ton logiciel de gestion de mots de passe.

Vanilys

Le 20/01/2014 à 13h51

Jarodd a écrit :

Merci " />

Mais quel est l’intérêt de la version Classic ? Il lui manque plein de trucs par rapport à la Pro, et les deux sont gratuites… Et en plus elle tourne sur Linux sans passer par Wine.

Je me suis toujours posé la même question (peut-être est-elle moins “complexe” pour l’utilisateur ?) :)

Mais je prends toujours la version pro, pis voilà.

EDIT :

Ou alors poru garder une compatibilité quelconque avec d’anciens plugins utilisables qu’en 1.X ?

DetunizedGravity Abonné

Le 20/01/2014 à 13h53

Jarodd a écrit :

Ca dépend où tu bosses. Tu n’es pas censé y avoir des comptes perso, et tu dois pouvoir partager les dossiers comme pour du papier.

Au boulot de ma femme, c’est interdiction de mettre un mdp. Parce qu’en cas d’absence, tout le monde doit pouvoir accéder à ses dossiers. C’est un risque en cas de vol des machines, mais ça reste moins probable que de faire capoter un dossier parce que personne ne peut prendre le relais. Seul le grand chef et sa secrétaire ont un mdp, probablement pour masquer les 5 à 7 " />

Un mot de passe sert à authentifier son propriétaire, ce qui à son tour permet d’appliquer les bons droits d’accès. L’existence de ce mot de passe ne préjuge pas de ce que seront ces droits d’accès.

Prétendre que mettre un mot de passe empêche le partage de documents c’est mélanger authentification et habilitation, et ça montre juste qu’on ne sait pas de quoi on parle.

Shimaran

Le 20/01/2014 à 13h53

Vivement qu’on remplace les mots de passe par une identification à la voix, à la cornée ou encore mieux à l’activité électrique du coeur ! (mais là je rêve ^^)

Vanilys

Le 20/01/2014 à 13h53

baldodo a écrit :

je te rassure, si comme moi ton code de CB n’a pas changé en 10 ans ça fait longtemps qu’il est cramé (c’est pas une raison pour le mettre en poster non plus, mais bon).

De toutes façons à moins de vouloir piquer physiquement ta CB le code est inutile. Ton numéro de CB est archi-cramé, date d’expiration incluse (vu le nombre de commerçants physiques ou online à qui on le communique …) Ne manque plus que le “code de sécurité” mais entre le fait que personne ne l’efface de l’arrière de sa CB, et le fait que là encore on l’a communiqué à plusieurs dizaines de sites online …

tout ça pour dire que si ta CB est globalement cramée il y a peu de chance que ça soit à cause de ton logiciel de gestion de mots de passe.

" /> " />

John Shaft

Le 20/01/2014 à 13h54

Jarodd a écrit :

Merci " />

Mais quel est l’intérêt de la version Classic ? Il lui manque plein de trucs par rapport à la Pro, et les deux sont gratuites… Et en plus elle tourne sur Linux sans passer par Wine.

Les différences sont trouvables ici.

La principale différence que je vois est que - sous Windows - la branche classique (1.x) nécessite GDI+, là où la Pro (branche 2.x) nécessite le framework .NET.

Bon dans tous les cas, .NET est suffisamment répandu maintenant " /> (Et pis sous Linux, il n’y a que la Pro dans les dépôts - testé sous Debian et Ubuntu)

DetunizedGravity Abonné

Le 20/01/2014 à 14h04

gokudomatic a écrit :

Même si ca dit que ça vérifie que ton mot de passe est solide? Faut arrêter la paranoïa à un moment donné.

C’est pas de la paranoïa. C’est mon métier de “penser comme les méchants” dans ce domaine, et je peux dire que créer un “site de vérification de robustesse de mot de passe” est très haut dans ma liste des “bonnes méthodes pour convaincre les gens de me filer leur mot de passe”.

C’est une méthode de phishing comme les autres.

Une objection presque valable aurait été “oui mais on ne me demande pas à quel compte ce mot de passe s’applique donc je suis tranquille”.

Sauf qu’ils ont aussi votre IP (et peut-être d’autres sources d’informations liées à l’IP) et toutes les infos que votre browser veut bien fournir ce qui n’est pas rien. De là à être capable de reconstituer des “comptes probables à tester”, il n’y a qu’un pas que je franchis allègrement.

Et aussi le but peut aussi être de construire des dictionnaires de mots de passes fréquemment utilisés pour améliorer l’efficacité des casseurs de mdp. De ce point de vue, les fuites comme celle des 3 millions de compte Adobe sont une véritable aubaine.

anonyme_92fcfbdd6cc3f0397af3a985adab6b1b

Le 20/01/2014 à 10h49

et les solutions proposés sont des générateurs de mots de passe qui sont super durs à mémoriser pour les humains mais assez facilement crackable pour les ordinateurs. Et ce juste parce que le mot de passe ne doit pas dépasser une certaine taille. Ah, les temps sont durs, madame. La crise du stockage est forte. Il faut économiser la place sur les mots de passes, car c’est ce qui prend le plus de place, c’est bien connu.

Vieux_Coyote

Le 20/01/2014 à 10h48

j’aime bien le mot de passe “password1”, qui laisse suggérer que l’utilisateur a voulu complexifier un peu le mot de passe, mais pas trop quand même, faut pas déconner " />

Minikea

Le 20/01/2014 à 10h52

kurasul a écrit :

It would take a desktop PC about 4 thousand years to crack your password

^^ love it

pour ceux qui veulent tester

https://howsecureismypassword.net/

la version d’Intel est moins optimiste!

Elwyns

Le 20/01/2014 à 10h52

Vieux_Coyote a écrit :

j’aime bien le mot de passe “password1”, qui laisse suggérer que l’utilisateur a voulu complexifier un peu le mot de passe, mais pas trop quand même, faut pas déconner " />

Si je laissai le domaine avec modification de mot de passe sans restriction , je serais sur le top 5 de la liste surement " />

kurasul

Le 20/01/2014 à 10h53

geekounet85 a écrit :

la version d’Intel est moins optimiste!

oui ta raison

CONGRATULATIONS!

It would take about 1721418052035469 years to crack your password.

" />" />" />" />

Vanilys

Le 20/01/2014 à 10h55

John Shaft a écrit :

Il y a aussi KeePass, qui a l’avantage d’être libre et qui s’utilise en local " />

" />

Que j’utilise tout le temps.

La base de données - cryptée par Keepass - est stockée sur mon Dropbox, avec un mot de passe très fort.

Et je peux y accéder soit à partir de mes PC (avec le logiciel Keepass, et il y’a même pas besoin d’avoir dropbox installé sur sa machine), soit sur mon smartphone (7Pass pour mon WP)

Hyper pratique :)

NonMais

Le 20/01/2014 à 10h56

kurasul a écrit :

It would take a desktop PC about 4 thousand years to crack your password

^^ love it

pour ceux qui veulent tester

https://howsecureismypassword.net/

Faut que tu mettes ton login aussi et le site sur lequel tu utilises la combinaison?

" />

GrosMatou27 Abonné

Le 20/01/2014 à 10h56

kurasul a écrit :

It would take a desktop PC about 4 thousand years to crack your password

^^ love it

pour ceux qui veulent tester

https://howsecureismypassword.net/

“It would take a desktop PC about 4 trillion years to crack your password”

ça devrait le faire pour un petit moment

(pour répondre au commentaire d’au dessus, j’ai d’ailleurs pris soin de remplacer des chiffres par d’autres, et des caractères spéciaux par d’autres (j’ai été fou, j’ai gardé les même lettres ! ))

Fantassin

Le 20/01/2014 à 10h57

On se demande d’ailleurs à quoi servent encore les mots de passe comme pour des services qui incitent les gens à tout partager.

C’est comme les speudos, les mots de passe devraient être interdits !

Signé : un député.

" />

John Shaft

Le 20/01/2014 à 10h58

kurasul a écrit :

It would take a desktop PC about 4 thousand years to crack your password

^^ love it

pour ceux qui veulent tester

https://howsecureismypassword.net/

geekounet85 a écrit :

la version d’Intel est moins optimiste!

Je viens de tester mon mot de passe super safe (1234567890123456) :

Premier site : 28 jours pour le trouver

Intel : 0,0018 secondes.

Je fais plus confiance à Intel du coup " />

Vanilys a écrit :

" />

Que j’utilise tout le temps.

Pareil, sauf que la base est stockée sur un serveur à moi dans mon cas

Dur dur de s’en passer une fois qu’on y a goûté (que l’on utilise le générateur de mots de passe ou pas d’ailleurs) " />

Patch Abonné

Le 20/01/2014 à 10h57

Cara62 a écrit :

Rassurez moi, c’est pour des logins à la con ? Sans trop d’importance ? " />

Yeah j’suis trop fort. Qui dit mieux ? " />

(j’avais oublié de faire le test la dernière fois " /> )

moi : mieux " />

Alderaaan

Le 20/01/2014 à 10h59

Objectif 2014, pousser le pwd PCinpact dans le top.

Plus sérieusement, un compte Lastpass ou autre avec une double authentification peut être sympa pour les comptes non critiques.

cid_Dileezer_geek

Le 20/01/2014 à 11h00

Cara62 a écrit :

Rassurez moi, c’est pour des logins à la con ? Sans trop d’importance ? " />

CONGRATULATIONS!

It would take about 30255643682575413000 years to crack your password.

Yeah j’suis trop fort. Qui dit mieux ? " />

(j’avais oublié de faire le test la dernière fois " /> )

CONGRATULATIONS!

It would take about 83442938948370220000 years to crack your password.

Je te bat " />

Wosgien Abonné

Le 20/01/2014 à 11h02

Le problème des 123456 et consorts, c’est quand on fait une attaque “humaine”, ou avec un hachage connu.

En brute force, ils tiendraient statistiquement autant que 1,ZIp8.

Bien sûr, on attaque par dictionnaire et donc ceux-là tombent en premier.

A la limite, certains sites devraient les utiliser comme pot de miel.[Edit]C’est idiot, le pot à miel c’est de donner un faux accès à la 253ème tentative[/edit]

Ellierys

Le 20/01/2014 à 11h01

It would take about 1.220205455003854e+24 years to crack your password.

Suivant ?

Alderaaan

Le 20/01/2014 à 11h02

Vanilys a écrit :

" />

Que j’utilise tout le temps.

La base de données - cryptée par Keepass - est stockée sur mon Dropbox, avec un mot de passe très fort.

Et je peux y accéder soit à partir de mes PC (avec le logiciel Keepass, et il y’a même pas besoin d’avoir dropbox installé sur sa machine), soit sur mon smartphone (7Pass pour mon WP)

Hyper pratique :)

Comme un Lastpass, la limite étant qu’un logiciel très utilisé a de grande chance de se faire analyser par les hackers. Pour les comptes critiques, la tête est le meilleur endroit.