[Insolite] Top 25 des pires mots de passe de l'année et... certains font peur

[Insolite] Top 25 des pires mots de passe de l’année et… certains font peur

La Banque de France approuve cette liste

Avatar de l'auteur
Sébastien Gavois

Publié dans

Logiciel

27/10/2012
124

[Insolite] Top 25 des pires mots de passe de l'année et... certains font peur

SplashData, une société spécialisée dans la gestion des mots de passe, vient de publier son rapport annuel sur les pires d'entre eux... avec quelques perles à la clé. Si un des vôtres fait partie de ce top 25, il est plus que temps d'en changer.

amd hack

 

Afin de créer sa liste, SplashData annonce avoir pris en compte les millions de mots de passe mis en ligne par divers pirates informatiques. Il faut dire que l'actualité a été particulièrement chargée avec des fuites provenant de nombreuses sociétés. C'est par exemple le cas des blogs d'AMD, des forums de NVIDIA et de Steam, de certains comptes utilisateurs Dropbox pour ne citer qu'eux.

Password, 123456 et 12345678 arrivent toujours en tête, inquiétant non ?

Si le classement est donné, nous n'avons par contre pas l'occurrence pour chacun d'entre eux, ce qui est bien dommage. Il aurait en effet été intéressant de savoir combien de fois le mot Password avait été utilisé.

 

Quoi qu'il en soit, voici sans plus tarder ce top 25 :

  • password
  • 123456
  • 12345678
  • abc123
  • qwerty
  • monkey
  • letmein
  • dragon
  • 111111
  • baseball
  • iloveyou
  • trustno1
  • 1234567
  • sunshine
  • master
  • 123123
  • welcome
  • shadow
  • ashley
  • football
  • jesus
  • michael
  • ninja
  • mustang
  • password1

Sans surprise, le trio de tête est inchangé par rapport à l'année dernière, ce qui serait presque plus inquiétant qu'insolite. Peu de changement dans le milieu du tableau, mais nous avons cinq nouveaux arrivants en fin de liste : welcom, jesus, ninja, mustang et... password1 une variante du numéro, tout aussi peu sécurisé.

 

Pour le reste, il s'agit souvent de variante anglo-saxonne : letmein pour let me in ou laisse-moi entrer, qwerty pour azerty, trustno1 pour trust no one ou ne faites confiance à personne. Nul doute qu'en France nous devons également avoir nos perles du même acabit.

 

Quoi qu'il en soit, un rappel de base est important : mélanger au maximum les caractères spéciaux, les chiffres et les lettres, ce qui le rendra d'autant plus difficile à trouver. 

En manque d'inspiration ? Des générateurs existent 

Si vous manquez toujours d'inspiration au moment de choisir un mot de passe, vous pouvez toujours vous aider d'un générateur automatique. Il existe également des gestionnaires qui peuvent retenir pour vous vos différents identifiants afin d'éviter d'utiliser le même sur différents sites.

 

Vous pouvez également vous rendre sur notre forum ou vous trouverez un sujet dédié à la gestion des mots de passe.

 

generateurdemotdepasse.Com

Crédit image : Generateurdemotdepasse.com 

 

En effet, dans cette situation, il suffit qu'un de vos comptes soit compromis pour que les autres le soient aussi avec parfois des répercussions importantes (accès aux mails, aux réseaux sociaux, aux messageries instantanées, etc.). Cette méthode est souvent exploitée par les pirates qui lorsqu'ils tombent sur une liste d'identifiants avec mot de passe peuvent rapidement les tester sur des sites de renom comme Facebook, Google, Twitter, etc.

 

La prudence est donc de mise : il en va de la sécurité de vos données et de la confidentialité de votre vie personnelle et professionnelle.

124

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Password, 123456 et 12345678 arrivent toujours en tête, inquiétant non ?

Commentaires (124)


Le 27/10/2012 à 08h 18

Je me demande quand même quel est le pire des trois, entre qwerty, 123456 ou password


Le 27/10/2012 à 08h 20

Les mots de passe avec des majuscules, minuscules, caractères spéciaux, c’est bien, mais c’est surtout pour qu’un humain ne le trouve pas facilement, ou en cas d’attaque par dictionnaire de mots de passe.



Sinon, pour se prémunir du brute force, un récent rapport (plus le lien) montrer qu’il était performant de prendre 3 mots, pour former une sorte de phrase sans sens profond, mais qui permettait de la mémoriser facilement pour un humain et avait la force de réprésenter un grand nombre de caractère, donc forcément très longue à découvrir par cette méthode.



Edit : pas un rapport, une chtite BD (http://xkcd.com/936/)





EDIT modération : correction du lien


Le 27/10/2012 à 08h 24

Faut quand même se demander combien de ces mots de passe sont des mots de passe de compte créé par des bots…

Parce que bon, je peux comprendre pour les suites de lettres et chiffres du genre “123456”, “azerty”, qwerty”, etc… mais “monkey”….<img data-src=" />


Le 27/10/2012 à 08h 24

Master of password <img data-src=" />


Le 27/10/2012 à 08h 32

Pour rappel, un mot de passe complexe n’est pas forcément plus sécurisé qu’un mot de passe potentiellement plus simple à retenir :http://xkcd.com/936/



[EDIT] roasted <img data-src=" />


Le 27/10/2012 à 08h 34







guiguilaplanque a écrit :



Edit : pas un rapport, une chtite BD (http://xkcd.com/936/)





oui je m’en souviens (mais ton lien est mort)

sinon <img data-src=" /> le soustitre… 123456 ou 654321, je sais plus…



Le 27/10/2012 à 08h 37

De toutes les façons moi mon mot de passe c’est “incorrect”.


Le 27/10/2012 à 08h 37

les mots de passe nécessitant un copier/coller ne sont ils pas moins sécurisés?

on m’a dit qu’on pouvait avoir accès au tampon du copier par certains exploits sur un navigateur. est ce vrai?


Le 27/10/2012 à 08h 39







moggbomber a écrit :



les mots de passe nécessitant un copier/coller ne sont ils pas moins sécurisés?

on m’a dit qu’on pouvait avoir accès au tampon du copier par certains exploits sur un navigateur. est ce vrai?







si on se fit a tout les “on m’a dit”, les virus, les trjan , les keylogger, etc on serait en dangé tout les jour ^^



Le 27/10/2012 à 08h 42







tAran a écrit :



Je me demande quand même quel est le pire des trois, entre qwerty, 123456 ou password







password c’est trop mortel à taper quand tu es sur un clavier azerty configuré en qwerty (et que tu ne le sais pas évidemment) <img data-src=" /> <img data-src=" />



Perso je me fait pas ch* : mot de passe vide c’est encore mieux <img data-src=" /> <img data-src=" />



Le 27/10/2012 à 08h 42

Fake ! Y’a pas ‘admin’… <img data-src=" />


Le 27/10/2012 à 08h 49

FreeTaxINside, c’est bon ? <img data-src=" />


Le 27/10/2012 à 08h 50

Je reconnais sans surprise celui de mon taff dans la liste, pour ouvrir la session sur le domaine…

Interdiction absolue de vouloir l’individualiser ce mdp. C’est le même pour tout le monde, et ça doit le rester.


Le 27/10/2012 à 08h 51

En 26ème place il y a celui de Tolor <img data-src=" /> qui est microsoft <img data-src=" />


Jarodd Abonné
Le 27/10/2012 à 08h 52

Mon c’est 8 petites étoiles :



<img data-src=" />



Et dire qu’il y a des sites pour imposer une taille maximale aux mots de passe <img data-src=" /> (Free notamment)


Le 27/10/2012 à 08h 55

comment un truc comme “letmein” peut être PLUS COURANT que 1234567 ?!


Le 27/10/2012 à 08h 57

je trouve bizzare de pas voir changeme dans la liste


Le 27/10/2012 à 08h 58

le mien c’est “jesus ninja” <img data-src=" />


Le 27/10/2012 à 08h 58

IAmReady ou JeSuisPrêt <img data-src=" />


Le 27/10/2012 à 08h 58

Quand je vois ça je me dis qu’il y a des gens pas malin…





Par contre, ce qui me gène c’est par exemple que Google interdise les accents et caractère spéciaux…


Le 27/10/2012 à 08h 59

finalement le mdp “admin” utilisé pour securiser le serveur du logiciel de securisation d’orange etait super secure <img data-src=" /> <img data-src=" />


Le 27/10/2012 à 09h 01

Un de mes mdp est un endroit sur Terre que j’ai visité et beaucoup aimé, couplé à la date précise où un certain immeuble parisien a été démoli. Même mes meilleurs amis ne trouveraient pas celui là.



(N’essayez pas… <img data-src=" />)


Le 27/10/2012 à 09h 02







Jarodd a écrit :



Mon c’est 8 petites étoiles :



<img data-src=" />



Et dire qu’il y a des sites pour imposer une taille maximale aux mots de passe <img data-src=" /> (Free notamment)







Les banques, la BNP pour ne pas la citer : 6 chiffres exclusivement, ça c’est secure <img data-src=" />



Le 27/10/2012 à 09h 04

Tomedessap est-ce déjà mieux ? <img data-src=" />


Le 27/10/2012 à 09h 05

J’ai mieux, la Caisse d’Epargne, avec 4 chiffres seulement.


Le 27/10/2012 à 09h 05







dumbledore a écrit :



Les banques, la BNP pour ne pas la citer : 6 chiffres exclusivement, ça c’est secure <img data-src=" />







Parmi mes banques, 2 sont dans le même cas, et je ne suis pas à la BNP. Sans m’inquiéter vraiment, ça m’ennuie un peu quand même.



Le 27/10/2012 à 09h 09

toutes les cartes bleues, c’est 4 chiffres aussi :p


Le 27/10/2012 à 09h 20

cic, pareil, c-est 6 chiffres. Supppeeerrr }} <img data-src=" />





Pour les CB, c-est 4 chiffres …. en france ;) Mes CB suisses sont a 6 chiffres, c’est déja mieux


Le 27/10/2012 à 09h 22







TBirdTheYuri a écrit :



Je reconnais sans surprise celui de mon taff dans la liste, pour ouvrir la session sur le domaine…

Interdiction absolue de vouloir l’individualiser ce mdp. C’est le même pour tout le monde, et ça doit le rester.







Des champions dans ta boite <img data-src=" />



Moi je me fais pourrir tous les 6 mois, à chaque changement de mot de passe obligatoire quoi <img data-src=" />



Le 27/10/2012 à 09h 25

labanquepostale 6 chiffres, a l”epoque cela m’avait choqué, je leur ai ecrit pour avoir en plus des lettres, la réponse c’etait genre, mais non c’est parfaitement securisé la page est chiffré avec une clé 256 bits lors de l’envoie, c’est suffisant les 6 chiffres.





Le 27/10/2012 à 09h 29

Que ce soit “password” ou n’importe quel mot du dictionnaire, c’est quasiment la même chose. Dans les 2 cas, cela prends quelques secondes à trouver (tout dépend qui on met entre la chaise et l’ordinateur) <img data-src=" />


Le 27/10/2012 à 09h 29







guiguilaplanque a écrit :



pas un rapport, une chtite BD (http://xkcd.com/936/)





Zut, mon mot de passe, c’est H@d0p1$uCk5



C’est pas assez “secure”?

Je l’aime bien, ça me ferait de la peine de le remplacer par 4 mots pris au hasard dans le dico<img data-src=" />



Le 27/10/2012 à 09h 32

moi je veux bien mettre 4 noms simples mais je connais pas non plus beaucoup de sites où tu peux mettre un mot de passe de 25 caractères <img data-src=" />


Le 27/10/2012 à 09h 32

Il faut peut être se méfier des générateurs en ligne.

Le truc c’est que quand un site stocke le mot de passe, au pire il le stocke en clair, ensuite un peu mieux il stocke un hash et encore mieux il sale le mot de passe avant de le hasher.

Le problème vient du fait que beaucoup de sites se contentent de hasher le mot de passe. Or si un petit malin fournit un site pour générer des mots de passe, il peut en profiter pour rajouter différentes variantes du hash de ce dernier dans une petite base de données perso. Du coup quand il attaquera un site internet et qu’il tombera sur une base de données de mots de passe hashés, il pourra gentiment vérifier si par hasard il a pas déjà vu ces empreintes passer sur son site de génération de mot de passe.



Cette technique est potentiellement faillible. Pour plus de sécurité il vaut déjà mieux un générateur offline qui est coupé d’internet par un pare feu.


Le 27/10/2012 à 09h 35

M4r13-Fr4nc3-M <img data-src=" />


Le 27/10/2012 à 09h 39







2show7 a écrit :



M4r13-Fr4nc3-M <img data-src=" />





<img data-src=" />



Le 27/10/2012 à 09h 41

Cette liste est significative de ce qui reste de place dans le cerveau des franchouiés. Et puis, hormis pour les banques, je suis presque certain que beaucoup s’en foutent des MDP, un speudo leur suffirait amplement.



Génération “je partage tout !” exhibitionniste facebookée. <img data-src=" />


Le 27/10/2012 à 09h 42







PatBe a écrit :



<img data-src=" />







Top 25 des pires mots de passe de l’année et… certains font peur





<img data-src=" />



<img data-src=" />



Le 27/10/2012 à 09h 43







Eglantyne a écrit :



Un de mes mdp est un endroit sur Terre que j’ai visité et beaucoup aimé, couplé à la date précise où un certain immeuble parisien a été démoli. Même mes meilleurs amis ne trouveraient pas celui là.



(N’essayez pas… <img data-src=" />)







Fait attention, y’a des fous furieux sur internet <img data-src=" />



Le 27/10/2012 à 09h 43







RisingForce a écrit :



Zut, mon mot de passe, c’est H@d0p1$uCk5



C’est pas assez “secure”?

Je l’aime bien, ça me ferait de la peine de le remplacer par 4 mots pris au hasard dans le dico<img data-src=" />







Maintenant qu’on a ton speudo et ton mot de passe, on va se faire un plaisir de mieux te connaitre…. <img data-src=" />



Le 27/10/2012 à 09h 44

Le problème n’est pas le mot de passe. Tous le monde veut un mot compliqué, mais le problème c’est de pouvoir s’en souvenir. ET il y a un autre problème de taille, il en faut plusieurs avec la généralisations des sites et autre forums. Certain n’accepte en plus qu’un nombre minimum de caractères ou (et) de chiffres.



Cela devient vite un problème surtout pour les sites ou l’on va pas régulièrement . Ou j’ai mis ce putain de mot passe .. Et le casse tête empire si on a plusieurs boites mail pour l’envoie du mot passe perdu, boite mail qui demande elle même un mot de passe pour y avoir accès ….



Et moi j’aime pas laisser mes mots passes en mémoire dans le navigateur, pas trop confiance . Surtout que c’est le meilleur moyen de l’oublier.



Je pense avoir trouvé une solution en utilisant toujours le même mot passe que l’on connait par cœur, qu’on duplique en deux ou trois mots de passes en ne changeant qu’une lettre ou un chiffre. Comme ça on plusieurs mots de passe , mais jamais le même .


Le 27/10/2012 à 09h 52







lomic2 a écrit :



moi je veux bien mettre 4 noms simples mais je connais pas non plus beaucoup de sites où tu peux mettre un mot de passe de 25 caractères <img data-src=" />





ouais! <img data-src=" />



Le 27/10/2012 à 09h 57







Fantassin a écrit :



Maintenant qu’on a ton speudo et ton mot de passe, on va se faire un plaisir de mieux te connaitre…. <img data-src=" />





<img data-src=" /> ce n’est ni mon mot de passe PCI, ni le mot de passe root de ma machine.



Je dois changer tous les mois de mdp au boulot.

Ma thechinque: à partir d’une etite phrase simple à retenir, et de quelques règles de base:




  • Minuscules/majuscules/chiffres/carac spéciaux

  • Jamais 2 caractères de la même cartégorie qui se suivent

  • Aucun caractère en double dans le mdp



    Cela donne des mdp plutôt solides



Le 27/10/2012 à 10h 01







zmed a écrit :



Le problème n’est pas le mot de passe. Tous le monde veut un mot compliqué, mais le problème c’est de pouvoir s’en souvenir. ET il y a un autre problème de taille, il en faut plusieurs avec la généralisations des sites et autre forums. Certain n’accepte en plus qu’un nombre minimum de caractères ou (et) de chiffres.







Un autre problème ce sont les interfaces tactiles avec ces claviers de merde ou quand tu dois taper un MDP de 16 caractères avec des caractères spéciaux, casse sensible et des chiffres … c’est super relou.



Et tout ça multiplié par le nombre de comptes avec mots de passe à gérer …



Le 27/10/2012 à 10h 02







RisingForce a écrit :





  • Jamais 2 caractères de la même cartégorie qui se suivent



    • Aucun caractère en double dans le mdp



      Ca doit être commode à taper comme mot de passe <img data-src=" />




Jarodd Abonné
Le 27/10/2012 à 10h 04







TBirdTheYuri a écrit :



J’ai mieux, la Caisse d’Epargne, avec 4 chiffres seulement.







Et la Société Géniale permet de choisir son mot de passe, histoire de metrte sa date de naissance, ou 1234 <img data-src=" />



Je me demande d’ailleurs si leurs assurances jouent en cas de pépin si on a changé son numéro…



Le 27/10/2012 à 10h 06

Mouais, après faudrait voir les mots de passes des sites “sensibles”, c’est à dire compte primaire d’email, ou avec des données bancaires ou personnelles…

Parce que quand on s’inscrit sur un forum sur lequel on sait qu’on ne reviendra jamais, un mot de passe hyper compliqué ça ne sert à rien!

Et les password-lockers c’est bien, mais ça implique d’être sur sa machine quand on veut accéder au site, si on est chez quelqu’un, sur son smartphone ou autre bah niqué!

Donc l’histoire des 1 mot de passe par site c’est gentil, mais à part certains geeks qui aiment retenir 50 mots de passe complètement différents, personne n’aime ça!



Vivement l’identification universelle <img data-src=" />


Le 27/10/2012 à 10h 11







RisingForce a écrit :



<img data-src=" /> ce n’est ni mon mot de passe PCI, ni le mot de passe root de ma machine.



Je dois changer tous les mois de mdp au boulot.

Ma thechinque: à partir d’une etite phrase simple à retenir, et de quelques règles de base:




  • Minuscules/majuscules/chiffres/carac spéciaux

  • Jamais 2 caractères de la même cartégorie qui se suivent

  • Aucun caractère en double dans le mdp



    Cela donne des mdp plutôt solides





    Des mots de passes solides que tu es obligé de noter quelque part pour t’en souvenir…

    Donc au final c’est pire qu’un mot de passe bidon! <img data-src=" />



Le 27/10/2012 à 10h 14

quitte à avoir 1 mpd par site (pour les sites où l’éventuel piratage du compte est indésirable), perso je suis plus branché sur une règle que j’invente dans mon coin, que je mémorise facilement et que j’applique à chaque site



exemple bidon :



1ère + dernière lettre du pseudo + thême du site (PCI = informatique par ex) + jour/mois de naissance



= LCINFORMATIQUE0511



on peut en inventer à la pelle, le tout c’est de mémoriser 1 règle et de s’y tenir (et que le site en question en soit pas limité à 4 ou 6 caractères genre les banques…)


Mihashi Abonné
Le 27/10/2012 à 10h 28







RisingForce a écrit :



<img data-src=" /> ce n’est ni mon mot de passe PCI, ni le mot de passe root de ma machine.



Je dois changer tous les mois de mdp au boulot.

Ma thechinque: à partir d’une etite phrase simple à retenir, et de quelques règles de base:




  • Minuscules/majuscules/chiffres/carac spéciaux

  • Jamais 2 caractères de la même cartégorie qui se suivent

  • Aucun caractère en double dans le mdp



    Cela donne des mdp plutôt solides





    Les deux contraintes en gras ne diminuent-elles pas l’entropie de ton mot passe, le rendant plus fragile ?







    lomic2 a écrit :



    quitte à avoir 1 mpd par site (pour les sites où l’éventuel piratage du compte est indésirable), perso je suis plus branché sur une règle que j’invente dans mon coin, que je mémorise facilement et que j’applique à chaque site



    exemple bidon :



    1ère + dernière lettre du pseudo + thême du site (PCI = informatique par ex) + jour/mois de naissance



    = LCINFORMATIQUE0511



    on peut en inventer à la pelle, le tout c’est de mémoriser 1 règle et de s’y tenir (et que le site en question en soit pas limité à 4 ou 6 caractères genre les banques…)





    Souci : si j’ai accès à ton mot de passe d’un site, je peux deviner ta règle et trouver comme ça l’ensemble de tes mots de passe sur les autres sites.



Le 27/10/2012 à 10h 39

Generer un mot de passe, c’est bien, le retenir c’est mieux! <img data-src=" />


Le 27/10/2012 à 10h 45







AxelDG a écrit :



Fake ! Y’a pas ‘admin’… <img data-src=" />





Très étrange en effet, “admin” c’est LE mot passe par excellence sur les serveurs… <img data-src=" />



Le 27/10/2012 à 10h 59







Mihashi a écrit :



Les deux contraintes en gras ne diminuent-elles pas l’entropie de ton mot passe, le rendant plus fragile ?





Souci : si j’ai accès à ton mot de passe d’un site, je peux deviner ta règle et trouver comme ça l’ensemble de tes mots de passe sur les autres sites.







Je m’étais fait cette remarque et c’est pour ça que j’applique une règle équivalente pour les pseudos ;)



Le 27/10/2012 à 11h 00







Nolifegeek a écrit :



Fait attention, y’a des fous furieux sur internet <img data-src=" />







Sans blague…! <img data-src=" />




Le 27/10/2012 à 11h 00

pour ceux qui n’ont pas de mémoire il reste l’identification via USB : Empreintes digitales, reconnaissance crachatale ou la très discrète reconnaissance testiculaire <img data-src=" />


Le 27/10/2012 à 11h 02







lomic2 a écrit :



exemple bidon :



1ère + dernière lettre du pseudo + thême du site (PCI = informatique par ex) + jour/mois de naissance



= LCINFORMATIQUE0511







Tu veux qu’on te souhaite bon anniversaire bientôt, c’est ça? <img data-src=" />




Le 27/10/2012 à 11h 05

c’est pas faux <img data-src=" /> mais il faut avoir accès au mot de passe, tu ne pourras pas le deviner, ça limite la casse déjà


Le 27/10/2012 à 11h 06







Eglantyne a écrit :



Tu veux qu’on te souhaite bon anniversaire bientôt, c’est ça? <img data-src=" />



merde grillé <img data-src=" />



Le 27/10/2012 à 11h 06







Eglantyne a écrit :



Tu veux qu’on te souhaite bon anniversaire bientôt, c’est ça? <img data-src=" />





<img data-src=" />





Il est né en mai 2011 <img data-src=" />



Le 27/10/2012 à 11h 11







brazomyna a écrit :



<img data-src=" />





Il est né en mai 2011 <img data-src=" />





<img data-src=" />

plutôt en avance pour son âge alors



Le 27/10/2012 à 11h 11







brazomyna a écrit :



<img data-src=" />





Il est né en mai 2011 <img data-src=" />







Oui, mais inscrit un 24 octobre <img data-src=" /> (on ne lui a pas souhaité) <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



John Shaft Abonné
Le 27/10/2012 à 11h 15

Tiens, il n’y a pas admin, root et myroot. Je ne crains rien <img data-src=" />


Le 27/10/2012 à 11h 37







SuperNiko a écrit :



Quand je vois ça je me dis qu’il y a des gens pas malin…





Par contre, ce qui me gène c’est par exemple que Google interdise les accents et caractère spéciaux…







Les accents, je ne sais pas, mais les caractères spéciaux, j’en ai 6 ou plus dans des mots de passe de 25 caractères.



Le 27/10/2012 à 11h 40







ErGo_404 a écrit :



Il faut peut être se méfier des générateurs en ligne.

Le truc c’est que quand un site stocke le mot de passe, au pire il le stocke en clair, ensuite un peu mieux il stocke un hash et encore mieux il sale le mot de passe avant de le hasher.

Le problème vient du fait que beaucoup de sites se contentent de hasher le mot de passe. Or si un petit malin fournit un site pour générer des mots de passe, il peut en profiter pour rajouter différentes variantes du hash de ce dernier dans une petite base de données perso. Du coup quand il attaquera un site internet et qu’il tombera sur une base de données de mots de passe hashés, il pourra gentiment vérifier si par hasard il a pas déjà vu ces empreintes passer sur son site de génération de mot de passe.



Cette technique est potentiellement faillible. Pour plus de sécurité il vaut déjà mieux un générateur offline qui est coupé d’internet par un pare feu.



Ou mieux, utiliser deux générateurs distincts, prendre la moitié de l’un et la moitié de l’autre, et y ajouter un caractère de son choix au milieu de chacune des deux demi-séquences <img data-src=" />



Le 27/10/2012 à 12h 01

Pour les CB, ça n’a quand même rien à voir : Environ une chance sur 3333 de trouver le mot de passe en 3 essais, ça reste un rapport correct entre sécurité et facilité à retenir.


Le 27/10/2012 à 13h 01

Un truc chiant si on veut utiliser une règle comme celle de xkcd ou lomic2 pour avoir un mot de passe résistant mais facile à retenir, c’est quand on t’oblige à le changer fréquemment.



C’est par exemple le cas pour le réseau informatique à mon boulot. Il y a quelques années, il suffisait que le nouveau mot de passe soit différent du précédent, donc on s’en sortait avec deux mots de passe. Plus tard il devait être différent des deux derniers, puis ça a augmenté, en même temps que diminuait la période entre deux changements imposés.



Aujourd’hui il faut changer tous les mois, et le mot de passe doit être différent des 6 derniers. Résultat : tout le monde utilise un truc du genre toto1, toto2, toto3 etc.








Kiran a écrit :



le mien c’est “jesus ninja” <img data-src=" />







Tu fais ce que tu veux avec les ninja









Eglantyne a écrit :



Sans blague…! <img data-src=" />





et des obédés. <img data-src=" />

l’application QUi me de demande un authentification toutes les 15 mn, je lui balance un mot de passe rapide à saisir : ex=zamlsq45”.

Qui veut le plus aura le moins.



Le 27/10/2012 à 13h 56







Jonathan Livingston a écrit :



Un truc chiant si on veut utiliser une règle comme celle de xkcd ou lomic2 pour avoir un mot de passe résistant mais facile à retenir, c’est quand on t’oblige à le changer fréquemment.



C’est par exemple le cas pour le réseau informatique à mon boulot. Il y a quelques années, il suffisait que le nouveau mot de passe soit différent du précédent, donc on s’en sortait avec deux mots de passe. Plus tard il devait être différent des deux derniers, puis ça a augmenté, en même temps que diminuait la période entre deux changements imposés.



Aujourd’hui il faut changer tous les mois, et le mot de passe doit être différent des 6 derniers. Résultat : tout le monde utilise un truc du genre toto1, toto2, toto3 etc.



oui ça s’applique pas partout, hélas, j’ai eu aussi une période dans une société à chgt de mot de passe mensuel… ça c’est vite fini en “motdepasse+mois+annéesurdeuxchiffres” genre “lomic0511” <img data-src=" />



Le 27/10/2012 à 14h 47

L’abus de sécurité entraîne inévitablement ce genre de problème… A force les gens finissent effectivement par foutre toujours le même mot de passe, avec un suffixe correspondant au mois ou un numéro d’ordre… Ou pire, ils finissent par le marquer sur un post-it collé à l’écran.


Le 27/10/2012 à 14h 59







fwak a écrit :



Parmi mes banques, 2 sont dans le même cas, et je ne suis pas à la BNP. Sans m’inquiéter vraiment, ça m’ennuie un peu quand même.





6 chiffres aussi, mais je ne m’inquiète pas, vu qu’il n’y a aucune saisie clavier, uniquement du clic sur un pavé virtuel dont la disposition change à chaque fois (et à part si un keylogger enregistre mes déplacements, vu le nombre de fois où je me connecte à mon compte, je serai déjà 6 pieds sous terre avant que le pirate ne le trouve ^^; Et lui aussi, d’ailleurs ^^;)



Le 27/10/2012 à 15h 54







crocodudule a écrit :



Très étrange en effet, “admin” c’est LE mot passe par excellence sur les serveurs… <img data-src=" />





Y a un peu plus de comptes utilisateurs que de comptes admins sur les serveurs <img data-src=" />



John Shaft Abonné
Le 27/10/2012 à 16h 17

Pour ceux qui ont plein de mots de passe très long : KeePass, c’est très bien (et gratos) <img data-src=" />


Le 27/10/2012 à 17h 06







John Shaft a écrit :



Pour ceux qui ont plein de mots de passe très long : KeePass, c’est très bien (et gratos) <img data-src=" />







+1



Cest excellentissime, portable, ça peut créer des mdp, exécuter la saisie auto, détermine la solidité du mdp etc…



Le seul hic, c’est qu’avec ça, on oublie totalement ses mots de passe <img data-src=" />



John Shaft Abonné
Le 27/10/2012 à 17h 21







Nerdebeu a écrit :



Le seul hic, c’est qu’avec ça, on oublie totalement ses mots de passe <img data-src=" />







C’est pour ça qu’il peut être utile de les avoir dans un fichier texte (ou autre), que tu fout dans une archive encryptée en AES-256 (avec 7z), du coup t’as qu’un seul MdP à réellement retenir. Bien sûr faut laisser trainer l’archive non plus <img data-src=" />



Le 27/10/2012 à 17h 36







John Shaft a écrit :



C’est pour ça qu’il peut être utile de les avoir dans un fichier texte (ou autre), que tu fout dans une archive encryptée en AES-256 (avec 7z), du coup t’as qu’un seul MdP à réellement retenir. Bien sûr faut laisser trainer l’archive non plus <img data-src=" />









Copieur, va ! <img data-src=" />



John Shaft Abonné
Le 27/10/2012 à 17h 38







Nerdebeu a écrit :



Copieur, va ! <img data-src=" />







Oh, ça va là mossieur Apple ! <img data-src=" />



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Le 27/10/2012 à 17h 48

Information à destination des abonnés SFR ADSL / Fibre:



Le mot de passe de votre réseau sans fil est lisible en clair par la boite. Évitez donc d’utiliser un mdp servant également à d’autres usages.



<img data-src=" />


Le 27/10/2012 à 17h 58







John Shaft a écrit :



Oh, ça va là mossieur Apple ! <img data-src=" />



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />









M’sieur Apple ? Tu m’prends pour une poire ou quoi ? <img data-src=" />



John Shaft Abonné
Le 27/10/2012 à 18h 18







Nerdebeu a écrit :



M’sieur Apple ? Tu m’prends pour une poire ou quoi ? <img data-src=" />







<img data-src=" /> La poire, c’est à la fin du repas



<img data-src=" /><img data-src=" />



Le 27/10/2012 à 18h 33







SuperNiko a écrit :



Quand je vois ça je me dis qu’il y a des gens pas malin…





Par contre, ce qui me gène c’est par exemple que Google interdise les accents et caractère spéciaux…







C’est pas forcément une mauvaise chose. Quand tu es à l’étranger sur un clavier qwerty mieux vaut que tu n’es pas d’accent à rentrer pour voir tes mails.



Le 27/10/2012 à 18h 59







Eglantyne a écrit :



Un de mes mdp est un endroit sur Terre que j’ai visité et beaucoup aimé, couplé à la date précise où un certain immeuble parisien a été démoli. Même mes meilleurs amis ne trouveraient pas celui là.



(N’essayez pas… <img data-src=" />)







Va falloir que je change le mien, parce que la date, c’est la date précise où deux immeubles new-yorkais ont été démolis…



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Note aux hackers : faites pas les villes polonaises une par une, vous perdez votre temps.



Le 27/10/2012 à 18h 59







lain a écrit :



si on se fit a tout les “on m’a dit”, les virus, les trjan , les keylogger, etc on serait en dangé tout les jour ^^









lain a écrit :



si on se fit a tout les “on m’a dit”, les virus, les trjan , les keylogger, etc on serait en dangé tout les jour ^^







notes que c’est pour ca que je pose la question ici donc <img data-src=" />



Le 27/10/2012 à 19h 55

Vous voulez faire quoi avec un mot de passe de banque en ligne ? Vous pouvez juste consulter et faire des opérations déjà autorisées ou sans danger. Un virement ? L’ajout de bénéficiaire nécessite un numéro envoyé par SMS, donc les seuls virements possibles sont vers des personnes déjà ajoutées. Recevoir un chéquier ? Il est envoyé à l’adresse du client.

Après, oui, malheureusement, la personne malveillante peut foutre le bordel, mais ça reste assez peu intéressant pour elle.



J’aime bien le système de mot de passe d’ING sinon : 6 chiffres, mais seuls 3 sont à rentrer (choisis par le système évidemment). Même si une personne arrive à capturer la saisie, il ne pourra pas le réutiliser (en tout cas rapidement).

A l’opposé, La Poste a une fausse bonne idée : le clavier virtuel sans clic. Il faut pointer sur les nombres pour les sélectionner. Très bien, sauf que ça prend un temps fou au final…



Sinon KeePass : que du bonheur. L’utiliser pour générer les mots de passe et les sauvegarder de manière sécurisée (AES avec un mot de passe maitre ou un fichier clé). Des logiciels compatibles existent pour presque tous les OS (bureau et mobile).

De toute façon, a-t-on vraiment besoin de retenir les mots de passe de la plupart des sites ? Si le pirate arrive à accéder à notre compte mail, il peut réinitialiser les mots de passe de la plupart des sites. Donc il faut que les mots de passe soient suffisamment complexes (force brute), suffisamment différents, et que ceux pour les comptes mails soient en plus retenus. Vu qu’il est difficile de retenir beaucoup de mots de passe, autant ne pas retenir ceux de sites non critiques.


Le 27/10/2012 à 20h 14

@moggbomber : tout est possible. Une faille sur ton navigateur pourrait permettre de récupérer le presse-papier (c’est pour ça que KeePass l’efface au bout d’un collage ou de 10 secondes). Une autre de récupérer tous les cookies (donc de réutiliser la majorité des comptes où tu es connecté). Une troisième de récupérer ton fichier de mot de passe sur le disque et le fichier des auto complétions de ton navigateur. Ou tout simplement d’installer un malware. Bref, de toute façon tu te feras avoir un jour ou l’autre.



D’ailleurs, en parlant d’auto complétion, ça m’énerve cette mode de mettre autocomplete=false sur les balises input ! Ça empêche le navigateur de sauvegarder le login/MDP (à moins de modifier la source, ce dont je ne me gêne pas de faire). Si je choisis de sauvegarder le mot de passe dans mon navigateur, c’est mon droit ! Au contraire, ça motive plus à mettre un mot de passe solide (pas besoin de le retenir et au pire il suffit de le régénérer avec mot de passe oublié). Croire qu’on va forcer les gens à utiliser des mots de passe parfaits de cette manière…


Le 27/10/2012 à 20h 23







Commentaire_supprime a écrit :



Va falloir que je change le mien, parce que la date, c’est la date précise où deux immeubles new-yorkais ont été démolis…



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />







Tandis que l’immeuble dont je parle, personne vivant en ce moment l’a connu…



J’aime l’Histoire. <img data-src=" />




Le 27/10/2012 à 20h 56

Y’a pas “incorrect” (Your password is incorrect.) <img data-src=" />


Le 27/10/2012 à 21h 28

Toutes ces histoires de mots de passe, ça ne manque pas de sel. <img data-src=" />


Le 28/10/2012 à 06h 20

Bizarre, il y a ninja, mais pas niaque. <img data-src=" />


SebGF Abonné
Le 28/10/2012 à 06h 56

Moi quand on me demande un mot de passe admin, je réponds que “je sais pas”, ou alors “y’en a pas”, ou bien “tu l’auras pas”.



C’est dingue, ça marche à chaque fois <img data-src=" />


Le 28/10/2012 à 09h 20



Quoi qu’il en soit, un rappel de base est important : mélanger au maximum les caractères spéciaux, les chiffres et les lettres, ce qui le rendra d’autant plus difficile à trouver.



Ce n’est pas le meilleur des rappels de base.

a) Il est bien plus important d’avoir un mot de passe long que d’avoir un mot de passe court avec caractères spéciaux.

b) Il est bien plus important d’avoir un mot de passe mémorisable et jamais enregistré/écrit nulle part que d’avoir un mot de passe complexe enregistré/écrit quelque part

c) Enfin on arrive en troisième place au conseil sur les caractères spéciaux : mais on n’est pas obligé d’en avoir tout un tas ; il en suffit d’un seul qui sort du set Ascii ou Latin, par exemple un caractère hébreu ou un kanji ou un hiéroglyphe.



Ce qu’il faudrait réaliser un jour, c’est une étude de ces sites qui t’empêchent d’avoir un mot de passe efficace :




  • les sites qui imposent une longueur courte (genre max 8 caractères au lieu de 128)

  • les sites qui imposent un set de caractères faible (genre ascii seulement au lieu de l’unicode)


Le 28/10/2012 à 12h 07







TBirdTheYuri a écrit :



Je reconnais sans surprise celui de mon taff dans la liste, pour ouvrir la session sur le domaine…

Interdiction absolue de vouloir l’individualiser ce mdp. C’est le même pour tout le monde, et ça doit le rester.







Dommage, une petite recherche de 2 mn m’a permis de trouver ton nom, ton prénom, ton CV et donc ta boite, mais vous ne semblez pas avoir de site web ou quoi que ce soit qui me permette de trouver une quelconque entrée ;-)



Le 28/10/2012 à 12h 17







crocodudule a écrit :



Très étrange en effet, “admin” c’est LE login /mot passe par excellence sur les serveurs… <img data-src=" />







<img data-src=" />



Le 28/10/2012 à 12h 45



12345



C’est surprenant ça: c’est la même combinaison que sur mes bagages ! <img data-src=" />


Le 28/10/2012 à 13h 16







Kenpachi a écrit :



C’est surprenant ça: c’est la même combinaison que sur mes bagages ! <img data-src=" />





estime toi heureux d’avoir 5 chiffres pour ta valise, moi c’est juste 3 <img data-src=" />



Le 28/10/2012 à 14h 46







TBirdTheYuri a écrit :



Je reconnais sans surprise celui de mon taff dans la liste, pour ouvrir la session sur le domaine…

Interdiction absolue de vouloir l’individualiser ce mdp. C’est le même pour tout le monde, et ça doit le rester.





Euh … C’est une blague la, rassure moi …



Le 28/10/2012 à 14h 59







Eglantyne a écrit :



Tandis que l’immeuble dont je parle, personne vivant en ce moment l’a connu…



J’aime l’Histoire. <img data-src=" />





Mon idée d’immeuble se précise <img data-src=" />. Par contre pour l’endroit sur la terre, faudrai déjà que je te connaisse ;) ….



Le 28/10/2012 à 15h 49







SuperNiko a écrit :



Quand je vois ça je me dis qu’il y a des gens pas malin…





Plutot pas au fait, et qui n’en ont rien à carrer. Réaction qu’on a tous quand il ne s’agit pas de notre domaine de compétences et qu’on veut juste que ça marche.







SuperNiko a écrit :



Par contre, ce qui me gène c’est par exemple que Google interdise les accents et caractère spéciaux…





L’ASCII est l’alpha et l’oméga des anglophones… Si eux n’ont pas besoin de plus, pourquoi toi tu en aurais besoin? <img data-src=" />



Le 28/10/2012 à 16h 00







Jonathan Livingston a écrit :



Aujourd’hui il faut changer tous les mois, et le mot de passe doit être différent des 6 derniers. Résultat : tout le monde utilise un truc du genre toto1, toto2, toto3 etc.







Au taf je me log pas sur le domaine. Comme ça je ne suis pas emmerdé <img data-src=" />



Le 28/10/2012 à 17h 45







Gilbert_Gosseyn a écrit :



Mon idée d’immeuble se précise <img data-src=" />. Par contre pour l’endroit sur la terre, faudrai déjà que je te connaisse ;) ….





suffit de soustraire tous ceux où elle n’est pas (j’ai jamais dit que ma contribution serait constructive <img data-src=" /> )



Le 28/10/2012 à 17h 53

Le mot de passe que j’utilise tout le temps : Pc1mp@cT <img data-src=" />


Le 28/10/2012 à 18h 09







taralafifi a écrit :



Le mot de passe que j’utilise tout le temps : Pc1mp@cT <img data-src=" />





mouais avec la faute d’orthographe, personne peut trouver <img data-src=" />

<img data-src=" />



Le 28/10/2012 à 18h 12







WereWindle a écrit :



suffit de soustraire tous ceux où elle n’est pas (j’ai jamais dit que ma contribution serait constructive <img data-src=" /> )







<img data-src=" /><img data-src=" /><img data-src=" />




Le 28/10/2012 à 18h 26







WereWindle a écrit :



mouais avec la faute d’orthographe, personne peut trouver <img data-src=" />

<img data-src=" />







Là, <img data-src=" /> tu accuses un INpactien <img data-src=" />de tenter de le faire <img data-src=" />



Le 28/10/2012 à 18h 44







Zergy a écrit :



Y’a pas “incorrect” (Your password is incorrect.) <img data-src=" />





ou “interdit”! (cf… non je vous laisse chercher! :P )



Le 28/10/2012 à 22h 58







Math73 a écrit :



Vous voulez faire quoi avec un mot de passe de banque en ligne ? Vous pouvez juste consulter et faire des opérations déjà autorisées ou sans danger.







Vider la cb c’est sans danger ?



Le 29/10/2012 à 07h 23

echo monpassword | md5sum



je ne connais pas mon “vrai mot de passe”, mais je sais le retrouver


Le 29/10/2012 à 08h 17

mod me la pete engaged



mot de passe gmail qui fait 22 characteres, ce n’est pas une phrase, a des chiffres, des lettres, des signes, des majs,

connu parcoeurs, un peu pres pareil pour FCBK

sans generateur de mdp



mod me la pete removed


Le 29/10/2012 à 09h 33

* Contrairement à PCI, je déconseille les générateurs. Je préfère la méthode des chaussettes de l’archiduchesse. Comme un générateur sort quelque chose d’aléatoire, c’est difficile à retenir. Ca peut contraindre à noter le mot de passe en clair quelque part.



Se choisir une phrase mémorable, et ne prendre que les premières lettres des mots :

les chaussettes de l’archiduchesse sont elles sèches



* Ajoutez des noms propres dans votre phrase mémorable, et gérer les majuscules avec ça.



les 47 chaussettes de Mickey sont elles sèches



* A cette méthode, on peut ajouter des chiffres et des caractères spéciaux. A vous de mixer ces chiffres mémorables et ces caractères à votre convenance.



les 47 chaussettes de Mickey sont elles sèches



A ce moment, vous avez un mot de passe robuste et facile à retenir. Il reste encore le risque qu’un mot de passe en clair soit en fuite. Si vous mettez le même partout, avec la même association d’adresse mail/mot de passe, vous êtes mal.



Comme la plupart des sites ont des réactivations de mots de passe basé sur un envoi de mail, il faut surprotéger ses boîtes mail. Utilisez un mot de passe spécifique par boîte mail.



* On peut aussi ajouter une ou plusieurs lettres en fonction du site visité, on peut ainsi garder son pattern mémorable, et éviter que les autres comptes soient compromis en même temps.



PC Inpact : P#motdepasse

Google : G#motdepasse



Placer cette lettre où bon vous semble.



* Noter un reminder qui permet de retrouver ses mots de passes. Même si on vous vole votre ordinateur avec ce fichier, on ne doit pas pouvoir retrouver vos mots de passes.




  • nom du site

    identifiant/mail utilisé

    password : mickey, 47


Le 29/10/2012 à 13h 20

Sauf si le fichier est dans un conteneur genre TrueCrypt utilisant la combinaison de KeyFiles (ou mot de passe, voire les 2 combinés) pour ouvrir le conteneur.



Perso c’est ce que j’utilise chez moi et au boulot depuis 5 ans maintenant et sans problème.


Le 29/10/2012 à 13h 36







guiguilaplanque a écrit :



Sinon, pour se prémunir du brute force, un récent rapport (plus le lien) montrer qu’il était performant de prendre 3 mots, pour former une sorte de phrase sans sens profond, mais qui permettait de la mémoriser facilement pour un humain et avait la force de réprésenter un grand nombre de caractère, donc forcément très longue à découvrir par cette méthode.





Pas vraiment convaincu. Au lieu de bruteforcer le mdp lettre par lettre, tu le bruteforcera mot par mot.



Le 29/10/2012 à 14h 00







fitfat a écrit :



Pas vraiment convaincu. Au lieu de bruteforcer le mdp lettre par lettre, tu le bruteforcera mot par mot.







Sauf que tu as plus de mots dans une langue que de caractères sur un clavier. Ajoute à ça les combinaisons de casse possibles, de variante orthographique ou de 1337 et tu augmentes énormément les combinaisons.



Le 29/10/2012 à 14h 03

Faut écrire en SMS !



pcicélEmeyeurcitEDumOnd2 !



<img data-src=" />


Le 29/10/2012 à 17h 26







dumbledore a écrit :



Les banques, la BNP pour ne pas la citer : 6 chiffres exclusivement, ça c’est secure <img data-src=" />





Sauf que les banques, c’est 3 essais et puis blocage…



Donc pour la bruteforce, voila…



Le 29/10/2012 à 17h 36

Tiens au fait, pour complexifier la bruteforce, je me suis souvent posé une petite question :

existe-t-il des sites (connus) qui, passé un certain nombre d’essai d’entrage de mot de passe, répondent systématiquement “c’est faux”, le compteur se réinitialisant une fois le bon mdp entré ?



par exemple ton mot de passe est “password” :

premier essai “passwrd” -&gt; incorrect

2e essai “psswrd” -&gt; incorrect

3e essai “passsword” -&gt; incorrect et activation de la protection

4e essai “ppassword”-&gt; incorrect

5e essai “password” -&gt; incorrect et désactivation de la protection

6e essai “password”-&gt; correct.

Dans les fait, c’est un moyen de contrôle tout con et ça double mathématiquement la durée d’une brute force (puiqu’il devra bégayer toutes ses tentatives) pour l’ajout de quelques lignes de code



N’étant pas un génie révolutionnaire, je me doute que cette solution a été envisagée et écartée. La question étant : pourquoi ?


Le 30/10/2012 à 08h 30







Oraz a écrit :



Tiens au fait, pour complexifier la bruteforce, je me suis souvent posé une petite question :

existe-t-il des sites (connus) qui, passé un certain nombre d’essai d’entrage de mot de passe, répondent systématiquement “c’est faux”, le compteur se réinitialisant une fois le bon mdp entré ?



par exemple ton mot de passe est “password” :

premier essai “passwrd” -&gt; incorrect

2e essai “psswrd” -&gt; incorrect

3e essai “passsword” -&gt; incorrect et activation de la protection

4e essai “ppassword”-&gt; incorrect

5e essai “password” -&gt; incorrect et désactivation de la protection

6e essai “password”-&gt; correct.

Dans les fait, c’est un moyen de contrôle tout con et ça double mathématiquement la durée d’une brute force (puiqu’il devra bégayer toutes ses tentatives) pour l’ajout de quelques lignes de code



N’étant pas un génie révolutionnaire, je me doute que cette solution a été envisagée et écartée. La question étant : pourquoi ?







Y a plus simple :




  • Compter sur la latence d’une connexion : s’il faut 100 ms entre l’envoi du mot de passe et la réponse du serveur, une attaque par force brute perd toute son efficacité. Une attaque par force brute n’est efficace que si on peut accéder au hash cryptographique du mdp à craquer et le tester sans délai.

  • bloquer pour un certains temps (pas forcément énorme) après la n-ième tentative de connexion erronée. Cela-dit, ça peut ouvrir la brèche à des dénis de service.



Le 30/10/2012 à 08h 46

Moi je choisi une base qui satisfait les critères (min-MAJ-chiffres-spéciaux) et j’ajoute le nom du service pour lequel je créée un mdp.



=&gt; Facile de créer et retenir plein de longs mots de passe secure ;)


Le 30/10/2012 à 12h 58







le podoclaste a écrit :



Y a plus simple :




  • Compter sur la latence d’une connexion : s’il faut 100 ms entre l’envoi du mot de passe et la réponse du serveur, une attaque par force brute perd toute son efficacité. Une attaque par force brute n’est efficace que si on peut accéder au hash cryptographique du mdp à craquer et le tester sans délai.

  • bloquer pour un certains temps (pas forcément énorme) après la n-ième tentative de connexion erronée. Cela-dit, ça peut ouvrir la brèche à des dénis de service.







    De mémoire, certaines techniques consistaient à mesurer le temps de réponse différents entre deux réponses à des requêtes de login. Si le serveur passait dans une certaine portion de code, parce que la chaîne entrée s’approchait du bon mot de passe, le serveur mettait un temps différent.

    De proche en proche, il était possible de faire un pseudo bruteforce et de trouver le mot de passe.



    (J’avais dû lire ça dans un numéro de MISC. )



Le 30/10/2012 à 13h 11







le podoclaste a écrit :



Sauf que tu as plus de mots dans une langue que de caractères sur un clavier. Ajoute à ça les combinaisons de casse possibles, de variante orthographique ou de 1337 et tu augmentes énormément les combinaisons.





Yep, mais le mdp passe contient moins de mot que de lettre.

Et s’amuser à mixer la casse, les variantes et du leetspeak revient quasiment à créer des mdps immémorable.



Le 30/10/2012 à 13h 15







Groumfy a écrit :



De mémoire, certaines techniques consistaient à mesurer le temps de réponse différents entre deux réponses à des requêtes de login. Si le serveur passait dans une certaine portion de code, parce que la chaîne entrée s’approchait du bon mot de passe, le serveur mettait un temps différent.

De proche en proche, il était possible de faire un pseudo bruteforce et de trouver le mot de passe.



(J’avais dû lire ça dans un numéro de MISC. )







Je vois pas trop comment on peut juger qu’on s’approche du bon mot de passe, car un algo de hash cryptographique donne des sorties très différentes pour des entrées très proches. Même un changement d’un bit génère des hashs complètement différents.



Par contre, mesurer le temps de réponse peut déjà permettre de cerner si on se fait jeter pour mauvais login ou pour mauvais mot de passe (je crois avoir lu ça dans la même revue).



Reste que du force brute ou même du dictionnaire par connexion internet, ça divise le nombre d’essais possibles à la seconde par plusieurs millions par rapport à un accès direct.



Le 30/10/2012 à 13h 37







le podoclaste a écrit :



Je vois pas trop comment on peut juger qu’on s’approche du bon mot de passe, car un algo de hash cryptographique donne des sorties très différentes pour des entrées très proches. Même un changement d’un bit génère des hashs complètement différents.







Je ne me rappelle plus du contexte technique (OS, protocole, logiciel côté serveur). Mon exemple est probablement daté, mais je trouvais la démarche astucieuse.



Le 31/10/2012 à 22h 43

C’est bizarre, il manque SDFGHJKL qui fonctionne en AZERTY comme en QWERTY, et même en QWERTZ…


Le 01/11/2012 à 15h 05

Ouf, il n’y a pas le mien : azerty


Le 03/11/2012 à 10h 02

ILS ONT OUBLIER admin en user et admin en password