Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Selon une étude, sur internet 91 % des mots de passe seraient vulnérables

Non, « password » ce n'est pas un mot de passe, c'est une passoire

Selon une étude, sur internet 91 % des mots de passe seraient vulnérables

Le 28 février 2013 à 10h30

Selon une étude publiée mardi par la société Deloitte et relayée par l'AFP, 91 % des mots de passe utilisés par les internautes seraient vulnérables. La cause principale étant le manque d'originalité puisque près de 10 % d'entre eux seraient simplement « password », « 123456 » ou « 12345678 »... un rapport qui fait froid dans le dos.

Mot de passe sécurisé

Capture d'écran : Password Checker de Microsoft

 

Souvent pris à la légère par certains utilisateurs, les mots de passe sont les garants de la confidentialité de vos données, les négliger vous expose donc à des ennuis. La branche panaméenne de la société Deloitte s'est penchée sur le sujet et nous dévoile un rapport assez inquiétant, mais pas forcément surprenant.

Les 10 mots de passe les plus courants ouvriraient les portes de 14 % des comptes

En effet, sur près de six millions de mots de passe analysés à travers une quinzaine de pays dans le monde, les 1 000 plus répondus permettraient d'accéder à 91 % des services sur internet tels que les comptes en banque, les boites mails ainsi que les réseaux sociaux. Si on se limite aux 500 les plus courants ce sont 79 % des comptes qui seraient compromis, 40 % avec les 100 plus communs et même 14 % avec seulement les 10 plus utilisés.

 

Sans surprise, le trio de tête est composé des combinaisons de « password »« 123456 » et « 12345678 » qui représentent à eux seuls près de 10 % des mots de passe utilisés, le premier totalisant à lui seul un score impressionnant de 4,7 %. Cette étude n'est pas sans rappeler le rapport de SplashData qui dévoilait les 25 pires mots de passe de 2012, le tiercé gagnant étant identique  et dans le même ordre.

 

À l'instar de Twitter par exemple, certains sites ont décidé de bannir certains mots de passe jugés trop simples, ou trop courts, tandis que d'autres imposent un mélange de chiffres et de lettres (majuscule et minuscule) avec une mise à jour tous les mois. Mais cela n'empêche pas les utilisateurs de trouver des « parades » avec, par exemple Janvier2013, Fevrier2013, etc...

 

Mot de passe trop simple

Les smartphones et les tablettes n'incitent pas à créer des mots de passe complexes

Ce rapport met également en avant la différence entre les mots de passe créés sur un ordinateur et ceux provenant d'un terminal mobile. En effet, dans le premier cas il faudrait entre 4 et 5 secondes pour saisir un mot de passe proposant un niveau de sécurité satisfaisant, tandis que sur mobile cela prendrait entre 7 et 30 secondes, ce qui pourrait en refroidir certains qui céderaient vite à la facilité.

 

Pour rappel et afin de sécuriser au mieux vos données et vos comptes, il est recommandé de mélanger au maximum les caractères spéciaux, les chiffres et les lettres pour créer votre mot de passe. De plus, nous vous conseillons de ne pas utiliser le même mot de passe sur différents sites afin de limiter la casse en cas de problème. Sachez enfin qu'un sujet dédié à cette épineuse question est disponible sur notre forum.

Commentaires (95)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Selon password checker de windows, 28 fois la lettre “a” c’est le best <img data-src=" />

votre avatar

perso je mets partout comme mdp “incorrect”

car quand je l’oublie, le soft me le rappele:




  • You’re password is incorrect

votre avatar







bombo a écrit :



Mouais, faut relativiser quand même, personnellement j’ai plein de mots de passe simples (ou pourris suivant le choix de vocabulaire) et d’autres plus compliqués. J’utilise les premiers sur les sites dont je me moque que quelqu’un veuille accéder à mon compte et les autres sur le sites important comme mon mail principal ou encore ma banque.



Du coup, je me dis que ce genre de statistique ne sont pas vraiment représentative de la sécurité individuelle sur internet.





+1 c’est aussi mon avis.

la plupart de mes mots de passe sont très simples, pour la bonne raison que je me contrefous des “conséquences” si jamais quelqu’un accède à mon compte.

les seuls relativement complexes que j’ai sont ceux de mon mail et, bien évidemment, celui d’accès à ma banque en ligne (qui est d’ailleurs très lourde à m’en demander un nouveau tous les X mois).

Pour le reste c’est souvent le même, relativement simple mais quand même pas password ou 1234. ^^

ceux-là je les garde pour le boulot. <img data-src=" />


votre avatar







fubiga a écrit :



perso je mets partout comme mdp “incorrect”

car quand je l’oublie, le soft me le rappele:




  • You’re password is incorrect







    <img data-src=" />


votre avatar



avec une mise à jour tous les mois. Mais cela n’empêche pas les utilisateurs de trouver des « parades » avec, par exemple Janvier2013, Fevrier2013, etc…





Parce que c’est méga chiant ! Sur un domaine Windows, quand tu tapes l’ancien, le nouveau deux fois, et qu’il te dit qu’il ne respecte pas les consignes, avec un message peu lisible…



TOUT LE MONDE se trouve un pattern qui correspond aux règles, et incrémente son mot de passe d’une façon ou d’une autre.





En fonction des services et des boites, les mots de passe mettent du temps à être répliqués. Certains systèmes sont à J+1…






votre avatar







MikeNeko a écrit :



il ne faut jamais mettre de mot d’aucun dictionnaire .







Attention à la double négation <img data-src=" />


votre avatar







MikeNeko a écrit :



il ne faut jamais mettre de mot d’aucun dictionnaire xD







Entre ces deux mots de passe lequel est le plus efficace :

« Zagh3eim »

« Mon gros machin tout dur est vraiment génial! »



C’est une vraie question. D’un côté le deuxième est composé de mot… d’un autre côté il est plus long, avec un accent et ponctuation.



Perso maintenant je conseille la deuxième forme aux gens. À condition bien sûr de prendre quelque chose de long.


votre avatar

Je génère mes mots de passe avec un logiciel de génération de clef WPA2, j’en prend un bout et c’est parfait <img data-src=" />

votre avatar

Le plus simple c’est d’avoir une sorte de règle “tordue ” et de s’y tenir.



Par exemple : un mot courant ou une miniphrase simples à retenir, en intercalant les nombres impairs de 31 à 21 à rebours, toutes les X lettres…



Exemple avec “Geekerie”, intercalé tous les 2 lettres ca donne Ge31ek29er27ie25.

Strong, selon password checker.

Et on peut faire beaucoup plus tordu

votre avatar

Correct horse battery staple <img data-src=" /><img data-src=" />

votre avatar







AirTé a écrit :



Les questions pour retrouver un mot de passe perdu sont une aberration.

Mais comme il faut faire avec, mes réponses sont… des mots de passe ! Osef des réponses qui annihilent complètement l’utilité des mdp sinon.



PS : toujours le soucis d’artefacts sur les captures apparemment ou bien j’ai raté un épisode.







Oui, apparemment ma carte graphique fait des siennes, je vais changer ça au plus vite <img data-src=" />


votre avatar







cyrano2 a écrit :



Ne pas oublier non plus :

https://xkcd.com/936/



L’idée est que 4 mots de vocabulaires courant peuvent faire un meilleur mot de passe que l’équivalent avec des signes bizarres mais trop facilement oubliable.







Moi j’ai bien les initiales des mots d’une phrase :)


votre avatar







adrieng a écrit :



Entre ces deux mots de passe lequel est le plus efficace :

« Zagh3eim »

« Mon gros machin tout dur est vraiment génial! »



C’est une vraie question. D’un côté le deuxième est composé de mot… d’un autre côté il est plus long, avec un accent et ponctuation.



Perso maintenant je conseille la deuxième forme aux gens. À condition bien sûr de prendre quelque chose de long.







J’avais lu un article qui disait que dans quasiment tout les cas, c’est le deuxième qui est largement plus intéressant, même sans ponctuation, accent ou majuscule. L’article conseil de juxtaposer uniquement 3 mots banals pour obtenir un mot de passe bien plus sécurisé qu’une suite de 8 caractères sans signification.


votre avatar







gathor a écrit :



Oui, apparemment ma carte graphique fait des siennes, je vais changer ça au plus vite <img data-src=" />







Vous n’avez pas reçu une Titan en “trop” ? <img data-src=" />


votre avatar

Une méthode simple c’est de se dire une phrase de l’écrire un peut n’importe comment :

Exemple

“ si tu sais pas demande si tu sais partage ”

si = 6

tu

sais pas = !C

demande = @sk

sinon = !6

partage = shR



6tu!C@ask!6shR



bon la j’ai pris un truc un peu long et c’est chiant a tapper mais en le tappant une petite dizaine de fois on peut jeter le post-it ensuite et voila on a un mot de passe nickel, bon courage pour le trouver a l’aide de dico celui la…


votre avatar







MikeNeko a écrit :



Le problème de ceux trop complexes, c’est qu’il faut les noter quelque part… et ce quelque part peut se faire découvrir. Bon ça m’apprendra à ne pas avoir une mémoire d’éléphante.





C’est pour ça qu’il existe un certain nombre de petits soft ou services qui servent de coffres-forts à mots de passe (pas tous équivalant d’ailleurs), mais je retiendrais Keepas qui est opensource, gratuit, bien maintenu, multiplateforme, dispo en français (pour les anglophobes :) ) et semble un des plus sécurisés (je ne mettrais jamais certains de mes mdp sur un service en ligne). Avec ça, on n’a juste à se souvenir d’un master-pass à la con (et à rallonge), il gère également la saisie automatique avec deux canaux d’obscurcissement.


votre avatar

Mouais, faut relativiser quand même, personnellement j’ai plein de mots de passe simples (ou pourris suivant le choix de vocabulaire) et d’autres plus compliqués. J’utilise les premiers sur les sites dont je me moque que quelqu’un veuille accéder à mon compte et les autres sur le sites important comme mon mail principal ou encore ma banque.



Du coup, je me dis que ce genre de statistique ne sont pas vraiment représentative de la sécurité individuelle sur internet.

votre avatar

Il y a 10 ans les mots de passe étaient déjà ultra vulnérables…



A l’INRIA, il y avait un robot qui s’amusait à cracker les mots de passe des sessions windows. Le mien s’est fait briser comme bien d’autres (et c’était de la combinaison mots étrangers avec minuscules/majuscules, des chiffres, des caractères spéciaux), c’était rigolo… il ne faut jamais mettre de mot d’aucun dictionnaire xD



Le problème de ceux trop complexes, c’est qu’il faut les noter quelque part… et ce quelque part peut se faire découvrir. Bon ça m’apprendra à ne pas avoir une mémoire d’éléphante.

votre avatar

Le pire ce sont les questions pour retrouver un mot de passe. Genre t’as le choix entre 5 questions bidons pour lesquelles tu peux trouver des réponses super facilement. Sans compter évidemment les mots de passe moisi <img data-src=" />

votre avatar

” Non, « password » ce n’est pas un mot de passe, c’est une passoire”



Et « passoire » alors?

votre avatar

Le miens est assez complexe, il s’agit de *

Pas encore eut de problème. <img data-src=" />

votre avatar

Les questions pour retrouver un mot de passe perdu sont une aberration.

Mais comme il faut faire avec, mes réponses sont… des mots de passe ! Osef des réponses qui annihilent complètement l’utilité des mdp sinon.



PS : toujours le soucis d’artefacts sur les captures apparemment ou bien j’ai raté un épisode.

votre avatar

Déjà, si les boites empêchaient qu’un robot puisse brute tester 10 000 mots de passe à la suite sans se poser de questions, ce serait déjà pas mal !

votre avatar

Ne pas oublier non plus :

https://xkcd.com/936/



L’idée est que 4 mots de vocabulaires courant peuvent faire un meilleur mot de passe que l’équivalent avec des signes bizarres mais trop facilement oubliable.

votre avatar







korrigan2 a écrit :



Déjà, si les boites empêchaient qu’un robot puisse brute tester 10 000 mots de passe à la suite sans se poser de questions, ce serait déjà pas mal !







Certains site au bout de 3-5 tentatives, tu dois attendre un certain avant de recommencer (genre 5 minute à une demi-heure), ça limite à mort ce genre de technique.


votre avatar

Je suis d’accord avec votre dernier paragraphe, mais certains sites n’acceptent pas les caractères spéciaux. J’utilisais sur certains sites le @, eh bien sur d’autres sites c’est impossible, il ne le comprend pas.

Perso je trouve ça très embêtant, ne souhaitant pas utiliser un mot de passe différent pour chacun de mes comptes.

votre avatar

outre le fait qu’il est souvent mal choisi par l’utilisateur, j’aimerais aussi une etude sur le pourcentage de sites commerciaux et/ou gratuits/non marchands qui protegent mal le dit mot de passe



(genre on vire 13 de ses tech secu reseau quand ces derniers remontent une faille dangereuse, on installe son serveur web d’ecommerce ou de base client avec les mdp par defauts, ou avec des versions non patchées vulnérables avec les exploits/failles deja connues, on stock le mdp en clair et on le reexpedie par email en clair au lieu de le faire reset, etc)



parce que à quoi ca sert que j’utilise un/plusieurs mdp fiables/corrects, si c’est ensuite géré par des branques qui les affichent limite en page de garde de leur site ou dans l’url ou le cookie ?

votre avatar



Pour rappel et afin de sécuriser au mieux vos données et vos comptes, il est recommandé de mélanger au maximum les caractères spéciaux, les chiffres et les lettres pour créer votre mot de passe.



NON









cyrano2 a écrit :



Ne pas oublier non plus :

https://xkcd.com/936/



L’idée est que 4 mots de vocabulaires courant peuvent faire un meilleur mot de passe que l’équivalent avec des signes bizarres mais trop facilement oubliable.





votre avatar

Selon le Password Checker,

Saint Yorre, ça va fort ! <img data-src=" />

votre avatar







cyrano2 a écrit :



72^8 (8 caractères avec 72 possibilité) 7.2220414e+14

5000^3 (3 mots pris dans un dictionnaire de 5000 mots) 125000000000



Il faut rajouter un 4ième mot !





Je pense que Fuinril parlait d’une attaque par dictionnaire / mots courants.


votre avatar







woodcutter a écrit :



Je suis d’accord avec votre dernier paragraphe, mais certains sites n’acceptent pas les caractères spéciaux. J’utilisais sur certains sites le @, eh bien sur d’autres sites c’est impossible, il ne le comprend pas.

Perso je trouve ça très embêtant, ne souhaitant pas utiliser un mot de passe différent pour chacun de mes comptes.





Sécurité moisie, je me méfie de ce genre de site.


votre avatar







jackjack2 a écrit :



NON





Sauf que le comic de xkcd assume que tu vas piocher parmi les 2000 premiers mots (11 bits d’entropie) alors que l’humain moyen va surtout piocher parmi les 500 premiers mots, ce qui rend le mdp beaucoup plus fragile. Si tu souhaites répandre la méthode mieux vaut donc insister sur l’utilisation d’un bot pour sélectionner les mots.







psn00ps a écrit :



Sécurité moisie, je me méfie de ce genre de site.





C’est un jugement hâtif et peu fiable.


votre avatar







cyrano2 a écrit :



Ne pas oublier non plus :

https://xkcd.com/936/



L’idée est que 4 mots de vocabulaires courant peuvent faire un meilleur mot de passe que l’équivalent avec des signes bizarres mais trop facilement oubliable.





<img data-src=" /> combine ca a du leet speak et tu es tranquille.







adrieng a écrit :



Entre ces deux mots de passe lequel est le plus efficace :

« Zagh3eim »

« Mon gros machin tout dur est vraiment génial! »



C’est une vraie question. D’un côté le deuxième est composé de mot… d’un autre côté il est plus long, avec un accent et ponctuation.



Perso maintenant je conseille la deuxième forme aux gens. À condition bien sûr de prendre quelque chose de long.





Une excuse pour que les gens prennent ton machin tout dur ?


votre avatar







megadub a écrit :



Moi j’ai bien les initiales des mots d’une phrase :)





Faut juste pas que ça forme un mot <img data-src=" />



Mon

amie

doit

aller

manger

equilibre


votre avatar

Générateur de mdp tout simplement !

votre avatar







bord a écrit :



Une méthode simple c’est de se dire une phrase de l’écrire un peut n’importe comment :

Exemple

“ si tu sais pas demande si tu sais partage ”

si = 6

tu

sais pas = !C

demande = @sk

sinon = !6

partage = shR



6tu!C@ask!6shR



bon la j’ai pris un truc un peu long et c’est chiant a tapper mais en le tappant une petite dizaine de fois on peut jeter le post-it ensuite et voila on a un mot de passe nickel, bon courage pour le trouver a l’aide de dico celui la…





mmh selon le truc de MS ça donne “strong”, mais je trouve qu’il y a trop de façons de se planter, je préfère encore une suite de caractères sans signification.



Après l’autre problème est que la taille des champs mdp n’est pas souvent très grande, donc la technique de 4 mots courants ne peut pas passer partout.



Enfin pour les banques souvent on n’a pas le choix, c’est juste un nombre, avec un clavier dont les touches apparaissent aléatoirement <img data-src=" />


votre avatar







adrieng a écrit :



Entre ces deux mots de passe lequel est le plus efficace :

« Zagh3eim »

« Mon gros machin tout dur est vraiment génial! »



C’est une vraie question. D’un côté le deuxième est composé de mot… d’un autre côté il est plus long, avec un accent et ponctuation.



Perso maintenant je conseille la deuxième forme aux gens. À condition bien sûr de prendre quelque chose de long.







Supposons qu’on attaque le premier caractère par caractère. On en a 8 parmi un jeu de caractère de, disons, 62 (26 lettres en majuscule et majuscule plus dix chiffres). Combinaisons possibles : 8^62.



On attaque le deuxième mot par mot (ignorons les majuscules et la ponctuation). On a 8 mots dans un dictionnaire de, disons, 30 000 mots. Combinaisons possibles : 8^30 000.



En force brute, y a pas photo, sans compter qu’il faut connaître à l’avance ta méthode. Cela-dit, pour ton 2e cas, ta phrase est sémantiquement correcte (sujet + verbe + complément), ça peut faciliter la recherche.


votre avatar







cyrano2 a écrit :



Ne pas oublier non plus :

https://xkcd.com/936/



L’idée est que 4 mots de vocabulaires courant peuvent faire un meilleur mot de passe que l’équivalent avec des signes bizarres mais trop facilement oubliable.





Au boulot je m’en suis servi pour générer un mot de passe … ca marche du tonnerre !! <img data-src=" />



Le mot de passe a 24 caractères …


votre avatar

On peut aussi prendre le pb dans l’autre sens en limitant le nombre de saisie de mot de passe.

Certains sites comme celui de ma banque font ça: 3 saisies mots de passes erronés = compte bloqué.



Reste le pb de déblocage du compte qui peut être lourd, mais aucune solution n’est parfaite. Celle-ci a l’avantage de mieux protéger l’utilisateur qui peut du coup utiliser des mots de passe plus simples.

votre avatar

Perso, j’apprécie que les sites informent des bonnes pratiques de choix de mot de passe. À l’inverse celles qui m’imposent un format spécifique m’horripilent (le pire étant quand elles limitent le nombre de caractères MAXIMUM, genre 10 caractères, si c’est pas du bon foutage de gueule ça… <img data-src=" />).



J’ai une matrice de password dans ma tête, ça me va bien, si un jour quelqu’un trouve mon mdp et pénètre mon compte, bah c’est pour ma pomme et tant pis pour moi. S’il comprend comment je “fabrique” mes mdp et en profite pour tester tous les sites du monde, libre à lui.



En revanche, m’imposer des restrictions sur le mdp juste parce que l’éditeur du site pense ainsi améliorer la sécurité de sa structure, ça me gave au plus haut point. Si un pirate arrive, en utilisant un simple compte utilisateur, à foutre la merde sur le site entier, c’est que le site est mal conçu, point barre. À eux de gérer, au lieu de me forcer à retenir un truc complètement spécifique.<img data-src=" />



EDIT : D’ailleurs maintenant, les sites qui me font ça je m’y inscris plus, sauf nécessité absolue… Comme ça c’est plus simple pour tout le monde.

votre avatar







adrieng a écrit :



« Mon gros machin tout dur est vraiment génial! »



Perso maintenant je conseille la deuxième forme aux gens. À condition bien sûr de prendre quelque chose de long.





Et pour ceux qui ont un petit machin pas long et pas dur, ils font comment ?



Ils sont condamnés à avoir en plus un mot de passe faible ?



Je suis déjà sorti –&gt; []


votre avatar







stunt a écrit :



On peut aussi prendre le pb dans l’autre sens en limitant le nombre de saisie de mot de passe.

Certains sites comme celui de ma banque font ça: 3 saisies mots de passes erronés = compte bloqué.



Reste le pb de déblocage du compte qui peut être lourd, mais aucune solution n’est parfaite. Celle-ci a l’avantage de mieux protéger l’utilisateur qui peut du coup utiliser des mots de passe plus simples.







Une attaque en force brute par internet est de toute façon limitée par le temps de réponse du site, donc il n’est pas possible d’effectuer 12 millions d’essai à la seconde. Bloquer un compte rend sensible le site aux attaques par déni de service.



L’utilité des mots de passe fort se justifie dans le cas où l’attaquant a un accès direct au fichier des mots de passe. Là, il peut mettre toute sa puissance de calcul sans limite de temps de réponse, et une config de quelques milliers d’euros (cher pour toi et moi, mais pas pour quelqu’un qui veut en exploiter les résultats) peut générer tous hachages md5 des mots de passe de 8 caractères en quelques heures.


votre avatar

Au passage, il y a également un effort à faire de la part des sites. Le hachages md5 est le plus couramment utilisé, par tradition, mais il n’a jamais vraiment été conçu pour hacher des mots de passe. Il a été conçu pour être rapide à calculer à une époque où les machines n’étaient pas aussi puissante qu’aujourd’hui.



Aujourd’hui, une grosse bécane qui parallélise le calcul sur des GPU peut en calculer des dizaines de milliards à la seconde, donc certains préconisent l’abandon du md5 au profit du blowfish, qui est conçu pour être long à calculer. Cela-dit, pour un site qui doit gérer des milliers de connexions à la seconde, ce n’est peut-être pas évident.

votre avatar



Ce rapport met également en avant la différence entre les mots de passe créés sur un ordinateur et ceux provenant d’un terminal mobile. En effet, dans le premier cas il faudrait entre 4 et 5 secondes pour saisir un mot de passe proposant un niveau de sécurité satisfaisant, tandis que sur mobile cela prendrait entre 7 et 30 secondes, ce qui pourrait en refroidir certains qui céderaient vite à la facilité.





Je confirme à 100% !



J’ai un mdp d’environs 25 caractères (minuscules, majuscules, chiffres, caractère spéciaux) et c’est tout simplement HORRIBLE à saisir sur un clavier de téléphone Je peux y passer pas loin de 30 secondes alors que sur mon PC je le fais en quelques secondes!



Je sais pas comment se problème pourrait être résolue, peut être en implémentant le système de “model” d’Android par exemple pour les mdp sur les sites et que les sites autorisent les deux modes de connexions ?

votre avatar







Virtual_Spirit a écrit :



Je confirme à 100% !



J’ai un mdp d’environs 25 caractères (minuscules, majuscules, chiffres, caractère spéciaux) et c’est tout simplement HORRIBLE à saisir sur un clavier de téléphone Je peux y passer pas loin de 30 secondes alors que sur mon PC je le fais en quelques secondes!



Je sais pas comment se problème pourrait être résolue, peut être en implémentant le système de “model” d’Android par exemple pour les mdp sur les sites et que les sites autorisent les deux modes de connexions ?







keepass + keepassdroid + base sur le cloud + copier coller



http://sourceforge.net/projects/keepass/?source=dlp

play.google.com Google



(flemme de faire les lien <img data-src=" /> )


votre avatar

Et un mot de passe à la Magritte, “Ceci n’est pas un mot de Passe”. <img data-src=" /><img data-src=" />

votre avatar







fubiga a écrit :



perso je mets partout comme mdp “incorrect”

car quand je l’oublie, le soft me le rappele:




  • You’re password is incorrect





    <img data-src=" />


votre avatar







Koxinga22 a écrit :



Rien de tel qu’une racine facile à mémoriser à laquelle on concatène un mot en rapport avec le service qui demande un mot de passe.



Exemple de racine de mot de passe utilisant min,MAJ,spé : R2Mdp_

après ca roule tout seul :

R2Mdp_diablo3

R2Mdp_pcinpact





Mais sinon, utiliser plusieurs mots d’affilée est pas mal. Vous vous rappelez le mot de passe de Ash, dans Avalon ?









si le type est un poil intelligent via un mdp trouvé, il trouvera tous les autres


votre avatar







le podoclaste a écrit :



Supposons qu’on attaque le premier caractère par caractère. On en a 8 parmi un jeu de caractère de, disons, 62 (26 lettres en majuscule et majuscule plus dix chiffres). Combinaisons possibles : 8^62.



On attaque le deuxième mot par mot (ignorons les majuscules et la ponctuation). On a 8 mots dans un dictionnaire de, disons, 30 000 mots. Combinaisons possibles : 8^30 000.



En force brute, y a pas photo, sans compter qu’il faut connaître à l’avance ta méthode. Cela-dit, pour ton 2e cas, ta phrase est sémantiquement correcte (sujet + verbe + complément), ça peut faciliter la recherche.







C’est complètement biaisé comme raisonnement. Tu connais beaucoup de sites qui te disent : “si vous mettez des chiffres votre mdp ne peut faire plus de 8 caractères ?” <img data-src=" />



A nombre de caractères égal un mot de passe contenant des chiffres et des caractères spéciaux sera bien plus sécurisé que si il n’en contient pas. Y a pas à tortiller. Si après du a du mal à le retenir c’est un autre problème mais mathématiquement tu ne peux pas justifier le contraire…



D’autant que la deuxième possibilité augmente sensiblement les risques du brute force (qui est rarement réellement sans finesse… les dicos ça sert à ça)


votre avatar







lekillerderpg a écrit :



si le type est un poil intelligent via un mdp trouvé, il trouvera tous les autres







Sauf qu”en théorie il ne peut pas récupérer le mot de passe mais son hash. Trouver ce genre de mot de passe et être capable de le décliner à base d’un hash bon courage <img data-src=" />


votre avatar

Perso pour les truc important c’est tout simplement des clé windaube(2 à 5 morceaux en fonction du nombre max de caractères), avec des maj certain endroit.

2 avantages, le recyclage et ça entraine la mémoire <img data-src=" />

votre avatar







Fuinril a écrit :



C’est complètement biaisé comme raisonnement. Tu connais beaucoup de sites qui te disent : “si vous mettez des chiffres votre mdp ne peut faire plus de 8 caractères ?” <img data-src=" />







Y dit qu’y voit pas le rapport.







Fuinril a écrit :



A nombre de caractères égal un mot de passe contenant des chiffres et des caractères spéciaux sera bien plus sécurisé que si il n’en contient pas. Y a pas à tortiller. Si après du a du mal à le retenir c’est un autre problème mais mathématiquement tu ne peux pas justifier le contraire…







J’ai pas dis le contraire.







Fuinril a écrit :



D’autant que la deuxième possibilité augmente sensiblement les risques du brute force (qui est rarement réellement sans finesse… les dicos ça sert à ça)







Sauf qu’il y a plus de mot dans mon dico que de caractère sur ton clavier. Ca augmente les combinaisons, et, euh, comment dirais-je… Ah, oui : “mathématiquement tu ne peux pas justifier le contraire.”


votre avatar







Zergy a écrit :



Le miens est assez complexe, il s’agit de *

Pas encore eut de problème. <img data-src=" />







Tiens, c’est marrant, j’ai le même !


votre avatar







lekillerderpg a écrit :



si le type est un poil intelligent via un mdp trouvé, il trouvera tous les autres







Tu peux feinter et intégrer une à plusieurs lettres du service, dans l’ordre de ton choix. (première et deuxième, deuxième et dernière)



De cette façon, tu gardes un pattern mémorisable, et une méthode de création.



Personnellement, je garde cette technique pour les boites mail. Les mots de passe de forums, je laisse un truc assez simple.


votre avatar







le podoclaste a écrit :



Y dit qu’y voit pas le rapport.







De ce que j’ai compris de ton commentaire tu justifies le choix du mot de passe

alphabétique sous prétextes qu’il y a plus de possibilités à tester avant de le trouver… sauf que le mec qui va essayer ne connais pas la longueur du mot de passe que tu as choisi.



Tu as peut être voulu exprimer autre chose (le célèbre plus c’est long, plus c’est bon certainement), mais c’est ce qui ressort de ta comparaison.









le podoclaste a écrit :



Sauf qu’il y a plus de mot dans mon dico que de caractère sur ton clavier. Ca augmente les combinaisons, et, euh, comment dirais-je… Ah, oui : “mathématiquement tu ne peux pas justifier le contraire.”







Et il y a plus de combinaisons de caractères possibles avec mon clavier que de mots dans un dictionnaire, donc choisir des mots du dico c’est affaiblir son mot de passe. CQFD.


votre avatar







guytarr a écrit :



c’est nul les mots de passe (entre je sais plus, lequel, j’ai pas le pavé numérique activé), greffons nous des puces au cul et ça ira mieux <img data-src=" />







ah non ! le port est déjà pris et hors de question d’y mettre un hub ! <img data-src=" />



sinon je suis bien d’accord, les mots de passe c’est un procédé vieux de quarante ans, visiblement totalement dépassé à moins d’être un mutant ou un androïde de Star Trek :youtube.com YouTube


votre avatar







Fuinril a écrit :



De ce que j’ai compris de ton commentaire tu justifies le choix du mot de passe

alphabétique sous prétextes qu’il y a plus de possibilités à tester avant de le trouver… sauf que le mec qui va essayer ne connais pas la longueur du mot de passe que tu as choisi.



Tu as peut être voulu exprimer autre chose (le célèbre plus c’est long, plus c’est bon certainement), mais c’est ce qui ressort de ta comparaison.



Et il y a plus de combinaisons de caractères possibles avec mon clavier que de mots dans un dictionnaire, donc choisir des mots du dico c’est affaiblir son mot de passe. CQFD.







J’ai plus de combinaisons possibles avec 8 mots qu’avec 8 caractères. Ca répond à tes deux remarques.


votre avatar







le podoclaste a écrit :



J’ai plus de combinaisons possibles avec 8 mots qu’avec 8 caractères. Ca répond à tes deux remarques.







mais étrangement je pense que “password123azerty” est nettement plus vulnérable que “Ujn9u_6y!” <img data-src=" />


votre avatar







Fuinril a écrit :



mais étrangement je pense que “password123azerty” est nettement plus vulnérable que “Ujn9u_6y!” <img data-src=" />







72^8 (8 caractères avec 72 possibilité) 7.2220414e+14

5000^3 (3 mots pris dans un dictionnaire de 5000 mots) 125000000000



Il faut rajouter un 4ième mot !


votre avatar







Fuinril a écrit :



mais étrangement je pense que “password123azerty” est nettement plus vulnérable que “Ujn9u_6y!” <img data-src=" />







Qui est sans doute à son tour plus faible que “ileus humide diktat sbire peotte.”


votre avatar

Il n’y a pas pour moi de méthode idéale pour créer un mot de passe, et dans l’idéal il ne faut pas divulguer ça méthode, parce que un petit malin qui vous lirais, pourrait alors choisir sa méthode en conséquence.

C’est pour cela que je ne vais pas divulguer ma méthode.



Souvent la façon d’attaquer un mot de passe est l’attaque par dictionnaire (sélection de mot par ex 30.000) couplé à une méthode (choix du nombre de mot …), le social ingennering (question orienté pour par exemple deviner le mot de passe, menace,…), des logiciels (keylogger, analyseur de trame,…) et enfin la bruteforce (essaie de tout les combinaison possible), par comparaison de HASH.



En ce qui concerne la gestion de mot de passe Keypass est un bon choix (libre de surcroit) mais un fichier Excel peut aussi bien faire l’affaire à la condition qu’il soit chiffré (Conteneur TrueCrypt). Alors bien sur cela ne protégèrera pas des chinois du FBI (jeu de mot un poil oser mais c’est de l’humour) et puis entre nous, si on est interrogé par le FBI, nos mots de passe seront le cadet de nos soucis.



Reste que maintenant, à chaque qu’un ça méthode, pour vous donner une idée de ce que j’utilise même si plus haut j’ai dit que je dirais rien. ( ce n’est qu’une partie de l’iceberg, la partie cacher et reste secrete)



On peut par exemple utilisé un mot du dictionnaire avec un ajout de chiffre, caractère spéciaux, faire un découpage du mot pour complexifié le mot de passe, inverser des syllabe par exemple, utilisé des mot de plusieurs langue voir même fictif (qui à dit le KLINGON :p).



Bref voyez l’idée.

votre avatar

Votre mot de passe est-il fort ?



Plus maintenant que vous nous l’avez donné. Merci.

votre avatar







127.0.0.1 a écrit :



Ajoute un caractère et les chances d’oublier le password sont multipliés par 1000 (loi de Michu).





<img data-src=" /><img data-src=" />


votre avatar

mais le Code, c’est pas “le code”?

votre avatar







fred42 a écrit :



Et pour ceux qui ont un petit machin pas long et pas dur, ils font comment ?



Ils sont condamnés à avoir en plus un mot de passe faible ?



Je suis déjà sorti –&gt; []



Rien ne t’oblige à dire la vérité…<img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







Fueg a écrit :



mais le Code, c’est pas “le code”?





C’est pas faux.


votre avatar

Ca c’est de l’étude ! Fallait pas être devin pour le savoir… <img data-src=" />

votre avatar

y’a le probleme des mots de passe trop simple mais il y a aussi le probleme des systeme qui t’autorise a faire 100000 tentatives

ca devrait etre bloqué au bout de qques essais infructueux..

votre avatar

Le problème n’est pas le mot de passe, mais la politique de sécurité du site web. Si un hacker peut tester online tous les mdp qu’il veut ou récupérer la bdd par injection SQL, alors les mdp ne servent quasiment à rien.



On lit souvent le conseil “C’est aux utilisateurs de choisir des mots de passe plus compliqués, variés, rares, …”. Patate chaude… bottage en touche… et hop… cépasdmafaute.



Sauf que la vitesse des CPU des hackers augmentent beaucoup plus vite que la capacité de mémorisation de l’être humain. Tous les ans on a droit à la news “Cette année, il faut vraiment augmenter la longueur des mdp pour être en sécurité”. Bref, c’est peine perdue. On ne va certainement pas retenir des dizaines des mdp différents remplis de caractères unicode.



Il va bientôt être temps pour les sites web de trouver une méthode d’identification moins passoire que le formulaire HTML user/password et sa base SQL de comptes utilisateurs.

votre avatar







127.0.0.1 a écrit :



….

Il va bientôt être temps pour les sites web de trouver une méthode d’identification moins passoire que le formulaire HTML user/password et sa base SQL de comptes utilisateurs.





Une puce RFID implantée dans le gras du Q de tout le monde à la naissance, et un lecteur RFID en standard sur tous les PC !

T’ajoutes une puce GPS pour que le site te localise, et tout est bien dans le meilleur des mondes….

<img data-src=" />







floop a écrit :



y’a le probleme des mots de passe trop simple mais il y a aussi le probleme des systeme qui t’autorise a faire 100000 tentatives

ca devrait etre bloqué au bout de qques essais infructueux..





…. bloqué pour toujours pas forcement, mais bloqué temporairement genre 10 mlinutes, oui. Ca evite le brute force à distance.


votre avatar

Dans ma boite les mot de passe des serveurs sont des mélanges de mots avec éventuellement inclusion de chiffre et de ponctuation.



Malgré le nombre élevés de serveurs c’est vraiment facile à retenir, quoiqu’un peu long à taper… après on peut faire des phrase bizarre du genre “j’m le sau6son sec”




votre avatar







Drepanocytose a écrit :



C’est pas faux.







Ahaha, merci pour le fou rire les enfants, j’en avais besoin <img data-src=" />


votre avatar

generer un mdp facilement:



openssl rand -base64 PASSWD_SIZE

votre avatar

Surtout qu’il existe des logiciels, tel que keepass, gratuit, qui permet de stocker/générer/ranger des mots de passe. Il ne reste plus qu’à trouver un bon mot de passe maitre et le tour est joué

votre avatar







le podoclaste a écrit :



L’utilité des mots de passe fort se justifie dans le cas où l’attaquant a un accès direct au fichier des mots de passe. Là, il peut mettre toute sa puissance de calcul sans limite de temps de réponse, et une config de quelques milliers d’euros (cher pour toi et moi, mais pas pour quelqu’un qui veut en exploiter les résultats) peut générer tous hachages md5 des mots de passe de 8 caractères en quelques heures.







T’es sur ? Ma bécane est certes loin d’être une bête de course, mais de mémoire 8 caractères avec min, maj, chiffre et caractères spéciaux, j’en avais pour un paquet d’années.

D’un autre coté il ne faut générer les hashs qu’une seule fois.



D’après ce que j’ai comprit, un des défauts du md5 est que deux chaines de caractères peuvent avoir le même hash, du coup une de 30 bien complexe a une probabilité (toute relative) de correspondre à une de 6 simple comme bonjou


votre avatar

Rien de tel qu’une racine facile à mémoriser à laquelle on concatène un mot en rapport avec le service qui demande un mot de passe.



Exemple de racine de mot de passe utilisant min,MAJ,spé : R2Mdp_

après ca roule tout seul :

R2Mdp_diablo3

R2Mdp_pcinpact





Mais sinon, utiliser plusieurs mots d’affilée est pas mal. Vous vous rappelez le mot de passe de Ash, dans Avalon ?

votre avatar







127.0.0.1 a écrit :



Le problème n’est pas le mot de passe, mais la politique de sécurité du site web. Si un hacker peut tester online tous les mdp qu’il veut ou récupérer la bdd par injection SQL, alors les mdp ne servent quasiment à rien.





Ça c’est du vent : non seulement très peu de sites, et aucun de ceux qui comptent, autorisent à enchaîner les essais mais en plus aucun site ne répond assez vite pour tester de très nombreux mots de passe.



Qui plus est on parle là de mots de passe obtensibles en moins de dix essais. Mais à côté de ça il y a aussi les batteries de mots de passe utilisés sur plusieurs sites alors que l’un d’eux a été piraté, la liste de hashes dérobée et les mdp décodés en hors-ligne par une ferme de GPU.





Sauf que la vitesse des CPU des hackers augmentent beaucoup plus vite que la capacité de mémorisation de l’être humain.



Ajoute un caractère et tu multiples la force du mot de passe par 50 à 100 (5000 si tu es Chinois). Ca représente 9 années de la loi de Moore (x64).





Il va bientôt être temps pour les sites web de trouver une méthode d’identification moins passoire que le formulaire HTML user/password et sa base SQL de comptes utilisateurs.



Laisse tomber.



Biométrie ? Un mot de passe identique sur tous les sites et que je peux connaître rien qu’en pointant une caméra sur toi ? Miam !



Identification comportementale ? Les utilisateurs n’aiment pas tout ce qui a pu être imaginé jusqu’à aujourd’hui.



Les mots de passe ont de très longs jours devant eux.









adrieng a écrit :



Entre ces deux mots de passe lequel est le plus efficace :

« Zagh3eim »

« Mon gros machin tout dur est vraiment génial! »



C’est une vraie question. D’un côté le deuxième est composé de mot… d’un autre côté il est plus long, avec un accent et ponctuation.





* Construction de la phrase : sujet verbe complément, le plus banal qui soit. Seule difficulté le sujet est enrichi. Disons que ce sera la cinquième forme testée.

* Gros : un des cent mots les plus fréquents.

* Mon : un des dix mots les plus fréquents avant gros.

* Machin : un des dix mots les plus fréquents après gros.

* Tout : un des dix mots les plus fréquents après machin.

* Dur : un des dix mots les plus fréquents après tout.

* Est : une des cinq formes les plus populaires du plus populaire des verbes (techniquement un auxiliaire, osef)

* Vraiment : un des cents mots les plus fréquents après “être”

* Génial : un des dix mots les plus fréquents après “vraiment”.





Entropie : 5 100 10 10 10 10 5 100 10 = 2.5E10. Disons l’équivalent d’un mdp standard sans symboles de 5 à 6 caractères.



Les chaînes de Markov, c’est beau.



Bon, clairement j’ai simplifié le problème mais tu saisis l’approche. Cela dit ce genre d’algo est moins répandu que d’autres.


votre avatar

Attention aux mots de passes longs. Plus il est long, plus on a tendance à utiliser le même partout. Grave erreur ; il suffit de l’utiliser sur un forum louche, et la sécurité de tous ses comptes est mise à mal. Pour moi le plus important, c’est d’avoir un algo en fonction du nom du site.



Quant au password checker de Microsoft, il me fait bien rire :

aaaaaaaaaaaa : Acceptable

password123 : Acceptable

%ù¤Fµ§°£ : Trop faible

votre avatar







tschaggatta a écrit :



C’est pour ça qu’il existe un certain nombre de petits soft ou services qui servent de coffres-forts à mots de passe (pas tous équivalant d’ailleurs), mais je retiendrais Keepas qui est opensource, gratuit, bien maintenu, multiplateforme, dispo en français (pour les anglophobes :) ) et semble un des plus sécurisés (je ne mettrais jamais certains de mes mdp sur un service en ligne). Avec ça, on n’a juste à se souvenir d’un master-pass à la con (et à rallonge), il gère également la saisie automatique avec deux canaux d’obscurcissement.







Je vais être chiant, mais un disque, ça peut claquer. Que ce soit un fichier de d’indices de mdp ou un fichier de logiciel, il faut avoir une ou plusieurs sauvegardes.



A titre perso, je préfère les indices de mot de passe dans un fichier texte. Si on me vole de le fichier texte, les chances sont minimes pour retrouver les mots de passe. Question de goùt, au final.



J’ai besoin de me connecter sur un navigateur mobile, sans ce genre de logiciel à disposition. J’ai parfois besoin de me connecter sur une machine tierce, sur laquelle je ne veux/peux pas installer de softs.



votre avatar







le podoclaste a écrit :



Supposons qu’on attaque le premier caractère par caractère. On en a 8 parmi un jeu de caractère de, disons, 62 (26 lettres en majuscule et majuscule plus dix chiffres). Combinaisons possibles : 8^62.







Va réviser tes maths avant d’écrire de pareilles inepties !



C’est 62^8 et pas 8^62 !





On attaque le deuxième mot par mot (ignorons les majuscules et la ponctuation). On a 8 mots dans un dictionnaire de, disons, 30 000 mots. Combinaisons possibles : 8^30 000.





Encore une fois, ton calcul est complètement faux ! Il s’agit de 8 mots ordonnés parmi 30000 sans répétitions, soit : 30000! / (8! * (30000 - 8)!).



Par pure coïncidence, les résultats vont dans le même sens :



Premier cas : 218340105584896 combinaisons.

Deuxième cas : 16257139749265314547010113121250 combinaisons.



Mais fais attention à tes calculs ! La prochaine fois, c’est <img data-src=" />


votre avatar

J’en met un en binaire d’ASCII “ 01001110010000110100001100110001001101110011000000110001” et le site de Microsoft me dit “ Best “. <img data-src=" />

votre avatar

Pour les phrase en mot de passe je pense que c’est moins sécurisé. 10 caractères vraiment aléatoire ne se cassera pas par brute force de toute façon. Et en présence d’autre personne on peut trouver la phrase tapper sur le clavier alors qu’avec des lettres vraiments sans suite c’est bien plus dur.

votre avatar

Boudiou je me suis planté également, il ne s’agit pas d’une combinaison de 8 parmi 30000 mais d’une permutation de 8 parmi 30000 soit 655487874690377482535447761048800000 combinaisons possibles.



Mes excuses.

votre avatar







HarmattanBlow a écrit :



Ajoute un caractère et tu multiples la force du mot de passe par 50 à 100 (5000 si tu es Chinois). Ca représente 9 années de la loi de Moore (x64).







Ajoute un caractère et les chances d’oublier le password sont multipliés par 1000 (loi de Michu).



votre avatar

RAS

votre avatar







Wiistiti a écrit :



T’es sur ? Ma bécane est certes loin d’être une bête de course, mais de mémoire 8 caractères avec min, maj, chiffre et caractères spéciaux, j’en avais pour un paquet d’années.

D’un autre coté il ne faut générer les hashs qu’une seule fois.



D’après ce que j’ai comprit, un des défauts du md5 est que deux chaines de caractères peuvent avoir le même hash, du coup une de 30 bien complexe a une probabilité (toute relative) de correspondre à une de 6 simple comme bonjou







Les GPU peuvent paralléliser massivement ce genre de calcul. D’après ce billet de blog publié en juin 2011, une machine avec 3 GPU, 3 jours et demi suffisent à calculer tous les hachages SHA256 de 8 caractères.



(j’avais cet article en tête quand j’ai écrit mon message, mais j’avais oublié que son test concernait le SHA256 et non le md5. Ca doit changer un peu la donne, mais l’ordre de grandeur est sans doute similaire).



Concernant les valeurs partageant le même hachage, c’est commun à tous les algos : tu as une infinité d’entrée pour un nombre fini de sortie (très grand quand-même), donc fatalement le risque de doublon existe. Après, il semble que le md5 ait quelques faiblesse facilitant la recherche de ses doublons, mais je ne suis pas sûr que ce soit un problème pour le stockage de mot de passe.


votre avatar

Pour mon Wifi, j’utilise MarieFrançoiseMarais comme mot de passe, apparement, il est fort <img data-src=" />

votre avatar







Freud a écrit :



Va réviser tes maths avant d’écrire de pareilles inepties !



C’est 62^8 et pas 8^62 !



Encore une fois, ton calcul est complètement faux ! Il s’agit de 8 mots ordonnés parmi 30000 sans répétitions, soit : 30000! / (8! * (30000 - 8)!).



Par pure coïncidence, les résultats vont dans le même sens :



Premier cas : 218340105584896 combinaisons.

Deuxième cas : 16257139749265314547010113121250 combinaisons.



Mais fais attention à tes calculs ! La prochaine fois, c’est <img data-src=" />







Bon, j’ai inversé les nombres dans mes puissances, honte à moi. Cela dit, pour le deuxième cas, je vois pas pourquoi on se priverait des répétitions.



On aurait donc 62^8 contre 30000^8, ce qui va dans le même sens sans coïncidence.



Edit: tu t’en es rendu compte toi-même


votre avatar







Groumfy a écrit :



Je vais être chiant, mais un disque, ça peut claquer. Que ce soit un fichier de d’indices de mdp ou un fichier de logiciel, il faut avoir une ou plusieurs sauvegardes.



A titre perso, je préfère les indices de mot de passe dans un fichier texte. Si on me vole de le fichier texte, les chances sont minimes pour retrouver les mots de passe. Question de goùt, au final.



J’ai besoin de me connecter sur un navigateur mobile, sans ce genre de logiciel à disposition. J’ai parfois besoin de me connecter sur une machine tierce, sur laquelle je ne veux/peux pas installer de softs.





La bd de keepass est parfaitement synchronisable sur un support cloud (et aucun risque elle est chiffrée), de plus il existe une version portable qu’on peut collé au besoin sur un support cloud ou amovible, donc aucune install. Tous comme ton fichier texte (a moins que tu ne te trimbale avec un post-it dans ton poste-feuille)



Ensuite il existe une extension firefox (et certainement chrome/safari aussi), un portage sur ios/android/WP (je n’ai rien testé de tout ça, je l’utilise juste en basique avec une synchro dropbox). On peut même l’intégrer le master-pass avec celui d’un user dans une add.



Pour ce que ça vaut keepass est d’ailleurs certifié par l’Anssi (lien)



votre avatar

Alors, 1 faut faire du brute force sur un login online…. si le serveur a les bin timings….. courage. 2 les kludges des frameworks langages web sont des passoires, y a meme pas besoin des mots de passes.

votre avatar







Freud a écrit :



Boudiou je me suis planté également, il ne s’agit pas d’une combinaison de 8 parmi 30000 mais d’une permutation de 8 parmi 30000 soit 655487874690377482535447761048800000 combinaisons possibles.

Mes excuses.





Étant donnée la façon dont tu as grossièrement incendié le podoclaste pour sa propre erreur de calcul, je vais prendre quelques secondes pour me gausser bruyamment de toi.



se gausse bruyamment <img data-src=" />



Puis je reprends mon sérieux pour t’expliquer calmement et amicalement que de toute façon la logique même de ce calcul est fausse car il part du principe que “abeausir”, “scabellon”, “panégyrique”, “flabelliforme” et “hamiltonien” sont équiprobables avec “chaton”, “gros” et “lol”. Comme je l’ai montré il y a quelques posts, la complexité réelle d’une phrase typique est beaucoup plus faible car les êtres humains privilégient les cent mots les plus courants plutôt que de piocher dans un répertoire de 30k, et qu’une analyse par chaînes de Markov permet de réduire l’entropie de chaque mot à 10 au lieu de 500 ou même 30000.







127.0.0.1 a écrit :



Ajoute un caractère et les chances d’oublier le password sont multipliés par 1000 (loi de Michu).





Non car les êtres humains ne cherchent plus à retenir le mdp lui-même mais l’algorithme à partir duquel ils le retrouvent. Relis les commentaires de cette actu et tu trouveras une flopée de réponses du type “moi j’utilise tel algorithme”.


votre avatar







HarmattanBlow a écrit :



Non car les êtres humains ne cherchent plus à retenir le mdp lui-même mais l’algorithme à partir duquel ils le retrouvent. Relis les commentaires de cette actu et tu trouveras une flopée de réponses du type “moi j’utilise tel algorithme”.







Je vois surtout du “Moi j’utilise tel algorithme sur le side bidule, et tel autre sur le site machin, et puis encore un autre sur le site truc… “. Bref, c’est encore pire que de se souvenir directement du mdp. <img data-src=" />


votre avatar







adrieng a écrit :



Entre ces deux mots de passe lequel est le plus efficace :

« Zagh3eim »

« Mon gros machin tout dur est vraiment génial! »



C’est une vraie question. D’un côté le deuxième est composé de mot… d’un autre côté il est plus long, avec un accent et ponctuation.



Perso maintenant je conseille la deuxième forme aux gens. À condition bien sûr de prendre quelque chose de long.





Cela ne marche bien que si c’est une attaque brute force. Si c’est une attaque par dico, c’est juste équivalent à un mot de passe de 8 caractères. Si il y a renfort de chaine de markov basé sur le probabilités de la langue, alors ça vaut peanuts.

Les pass-phrase, pour être aussi efficace, il faut qu’elle n’aient pas de sens et qu’elles utilisent des mots de plusieurs langues et qu’elles soient différentes entre les sites webs. Honnêtement, c’est comme si t’écrivais les moyens mnémotechniques à la place des mots de passe, seulement c’est plus long à écrire <img data-src=" />


votre avatar

c’est nul les mots de passe (entre je sais plus, lequel, j’ai pas le pavé numérique activé), greffons nous des puces au cul et ça ira mieux <img data-src=" />

votre avatar







le podoclaste a écrit :



Les GPU peuvent paralléliser massivement ce genre de calcul. D’après ce billet de blog publié en juin 2011, une machine avec 3 GPU, 3 jours et demi suffisent à calculer tous les hachages SHA256 de 8 caractères.



(j’avais cet article en tête quand j’ai écrit mon message, mais j’avais oublié que son test concernait le SHA256 et non le md5. Ca doit changer un peu la donne, mais l’ordre de grandeur est sans doute similaire).



Concernant les valeurs partageant le même hachage, c’est commun à tous les algos : tu as une infinité d’entrée pour un nombre fini de sortie (très grand quand-même), donc fatalement le risque de doublon existe. Après, il semble que le md5 ait quelques faiblesse facilitant la recherche de ses doublons, mais je ne suis pas sûr que ce soit un problème pour le stockage de mot de passe.





Merci pour les précisions <img data-src=" />


Selon une étude, sur internet 91 % des mots de passe seraient vulnérables

  • Les 10 mots de passe les plus courants ouvriraient les portes de 14 % des comptes

Fermer