Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Les pires mots de passe de 2016 : une liste toujours aussi inquiétante, mais pas surprenante

Un clavier AZERTY en vaut deux

Les pires mots de passe de 2016 : une liste toujours aussi inquiétante, mais pas surprenante

Le 17 janvier 2017 à 09h20

Dans la sécurité informatique, les années se suivent et... se ressemblent. Selon les fuites de données de 2016, les pires mots de passe de 2016 ne sont pas sans rappeler ceux des années précédentes. Si les vôtres sont du même acabit, on ne peut que vous conseiller de les changer au plus vite.

C'est désormais une tradition à chaque début d'année : des sociétés spécialisées dans la sécurité informatique se lancent dans une compilation des différentes fuites de données de l'année passée afin d'établir un classement des pires mots de passe. En 2016, et comme l'année dernière, la liste fait peur.

Un top 10 qui fait froid dans le dos

C'est Keeper, un éditeur de gestionnaire de mots de passe, qui ouvre le bal. La société explique en effet avoir récupéré pas moins de 10 millions de mots de passe rendus publics d'une manière ou d'une autre. Les 25 qui reviennent le plus souvent représentent plus de 50 % de l'ensemble des mots de passe récupérés affirme la société.

Le premier point mis en avant concerne la longueur : dans le top 10, quatre mots de passe font six caractères ou moins (ils sont sept sur le top 15). « La présence de mots de passe comme «1q2w3e4r» et «123qwe» indique que certains utilisateurs tentent d'utiliser des modèles imprévisibles pour sécuriser les mots de passe, mais leurs efforts sont, dans le meilleur des cas, légers » explique Keeper dans son billet de blog.

Voici sans plus tarder la liste du top 10 :

  1. 123456
  2. 123456789
  3. qwerty
  4. 12345678
  5. 111111
  6. 1234567890
  7. 1234567
  8. password
  9. 123123
  10. 987654321

Le problème de ce genre de mot de passe est qu'ils font partie des premières possibilités testées par d'éventuels pirates afin d'accéder à vos comptes, et ce, avant de tenter une attaque par force brute. Pour rappel, le site « I have been pwned » se propose de vous indiquer si votre adresse email a été identifiée lors d'une fuite de données. Le cas échéant, le ou les services concernés sont précisés.

Petite surprise tout de même dans ce classement : la présence de 18atcskd2w en 15e position. Mais d'après Keeper, il s'agirait de comptes crées par un bot dans le but d'envoyer du spam.

Comment choisir et retenir de bons mots de passe ?

Même s'il est probable qu'une partie non négligeable soit des mots de passe anciens sans doute changés depuis, cette liste montre encore une fois le travail qu'il reste à accomplir. Cela peut venir des sites qui pourraient demander une certaine robustesse minimum lors de la création d'un compte (ou du changement d'un mot de passe), mais également des utilisateurs qui doivent être plus actifs sur leur sécurité.

Pour rappel, nous avons publié un dossier complet sur le sujet, aussi bien sur les règles à connaitre pour créer un bon mot de passe, que sur les gestionnaires qui permettent d’éviter d'avoir à en retenir des dizaines différents. Et si cette piqure de rappel était justement l'occasion d'avoir une bonne hygiène de vie numérique ?

Commentaires (124)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Hé mais c’est pas gentils de mettre mes mots de passes en ligne <img data-src=" /> .

votre avatar

En effet, Lastpass (5-6 ans d’utilisation) m’indique 116 sites…

votre avatar







picatrix a écrit :



On voit bien que ce sont des anglo-saxons qui prennent des mots de passe faciles à craquer.

Par exemple ils utilisent “qwerty” : c’est trop facile à trouver.

Moi j’utilise “azerty” : ils ne le trouveront jamais …







moi j’utilise “sarkozy” tellement insignifiant que personne ne pensera à ça


votre avatar

Le mot de passe de John Podesta était “password1”. Bizarrement, il s’est fait hacker.

votre avatar







spidermoon a écrit :



J’utilise aussi KeePass, sur Android



et quand tu perds/casses ton tel, il se passe quoi ? vu que c’est pas dans le cloud non plus ?


votre avatar

Perso j’utilise KeePass avec 1 mot de passe et une clé de validation. Laclé et copiée manuellement sur tous mes devices à la configuration et la”db” et synchronisée automatiquement avec OneDrive.J’utilise l’application OneDrive etKeepass2Android sur le mobile pour pouvoir y avoir accéder n’importe où.

votre avatar

Mais en fait les gens ne comprennent pas à quoisert un mot depasse.



Chez eux, ils ne doivent pas fermer les portes, ça sert çà rien et en plus ça empêche de passer !

votre avatar

Cette liste n’est pas représentative de la réalité des sites les plus fréquentés …

La plupart des sites “sérieux” empêchent désormais l’utilisation de mdp faibles …

votre avatar

Probablement pas, c’est un mot de passe que gmail n’accepte pas. Par contre il utilisait des mots de passe en carton, c’est documenté. Mais peu importe, puisqu’il s’est fait avoir par du phishing et a donc donné directement son mot de passe aux attaquants.

votre avatar







dvr-x a écrit :



Globalement si tu sorts de Impôts / Messageries / Banques / Services (Edf, sfr, ect..) / site de commerce ou ta CB est enregistrée &nbsp;





Je t’arrête tout de suite. Ma CB n’est enregistrée sur aucun site et en plus j’utilise une e-carte bleue. Et tu oublies les différents logins et mdp professionnels. Moi aussi j’utilise le même login et même mdp sur NXI et d’autres sites du même genre. Et il n’empêche que j’en suis à plusieurs dizaines de login/mdp.


votre avatar







Jarodd a écrit :



Mais en fait les gens ne comprennent pas à quoisert un mot depasse.





Et pourquoi il doit être un minimum complexe…


votre avatar







Pheem5Oo a écrit :



Probablement pas, c’est un mot de passe que gmail n’accepte pas. Par contre il utilisait des mots de passe en carton, c’est documenté. Mais peu importe, puisqu’il s’est fait avoir par du phishing et a donc donné directement son mot de passe aux attaquants.





Mais non … tout est la faute des russes ;)


votre avatar

J’utilise une “base” de mot de passe plutôt solide (voire vachement), mais chiante à taper, et en suffixe j’utilise une méthode pour que le MdP soit différent d’un site à l’autre mais inspiré du nom de domaine, afin que je puisse le connaître même si je n’ai pas mon gestionnaire de mot de passe. J’utilise Dashlane, y’a une app mobile.

votre avatar







Jarodd a écrit :



Mais en fait les gens ne comprennent pas à quoisert un mot depasse.



Chez eux, ils ne doivent pas fermer les portes, ça sert çà rien et en plus ça empêche de passer !





La tu parles pas d’humains mais de chats


votre avatar

Même banque, et pourtant j’ai 8 chiffres ^^

“L’avantage”, c’est que l’accès au compte est bloqué au bout de 3 tentatives erronées … Ce qui, mine de rien, laisse quand même quelques chances aux pirates, ou pire, la possibilité à n’importe qui de bloquer l’accès à ton compte. <img data-src=" />

votre avatar

Moi j’ai débuté par Saucisse, puis 2Saucisses, puis Aligot2Saucisses et là j’en suis a Aligot2SaucissesMarcillac. Je suis blindé <img data-src=" />

votre avatar







Mihashi a écrit :



La limitation a un seul essai possible n’est que logicielle, si tu réécrit le logiciel pour ne pas avoir cette limitation, c’est open-bar. (Comme avec l’histoire avec le FBI qui voulait qu’Apple fasse sauter le nombre d’essais sur un iphone)





Si le logiciel arrive à connaître (un bout de) ta clé sans que tu le tapes, alors n’importe qui peut y arriver aussi.





Si tu réécris le logiciel de sorte à intercepter le mot de passe, il n’est absolument pas nécessaire que cette fonctionnalité pré-existe, ni de faire semblant de l’implémenter. Tu récupères le mot de passe complet quand il est tapé et basta.



Pour ce que j’en sais, les logiciels de gestion de mots de passe chiffrent leurs données avec le mot de passe maître. J’imagine que l’implémentation de cette fonctionnalité consiste à chiffrer à son tour le mot de passe maître avec ses 3 derniers caractères, plus un salage quelconque dépendant du matériel (du genre des UID “enclosed” - le terme exact ne me revient pas - de l’iPhone).


votre avatar







Mihashi a écrit :



La limitation a un seul essai possible n’est que logicielle, si tu réécrit le logiciel pour ne pas avoir cette limitation, c’est open-bar. (Comme avec l’histoire avec le FBI qui voulait qu’Apple fasse sauter le nombre d’essais sur un iphone)





3e fois: il faut s’authentifier avec succès AVANT de pouvoir faire le quick auth.

je parle chinois ou bien?

bon courage pour un bruteforce sur un pass de 25car. ^^


votre avatar

non mais de toute manière keepass a une grosse faille de sécu, il n’est pas incrackable par un ordi quantique.

du coup moi je laisse tomber, je vais stocker tous mes pass de 25car imbitables dans mon cerveau.

votre avatar







Mihashi a écrit :



Si le logiciel arrive à connaître (un bout de) ta clé sans que tu le tapes, alors n’importe qui peut y arriver aussi.





ben voyons. faut juste que le n’importe qui ait accès root mémoire sur le terminal.

c’est vrai que c’est à la portée du premier script kiddie venu, ça.<img data-src=" />


votre avatar







le podoclaste a écrit :



Si tu réécris le logiciel de sorte à intercepter le mot de passe, il n’est absolument pas nécessaire que cette fonctionnalité pré-existe, ni de faire semblant de l’implémenter. Tu récupères le mot de passe complet quand il est tapé et basta.



Pour ce que j’en sais, les logiciels de gestion de mots de passe chiffrent leurs données avec le mot de passe maître. J’imagine que l’implémentation de cette fonctionnalité consiste à chiffrer à son tour le mot de passe maître avec ses 3 derniers caractères, plus un salage quelconque dépendant du matériel (du genre des UID “enclosed” - le terme exact ne me revient pas - de l’iPhone).





Si tu réécrit le logiciel avec le quick-login, mais sans la limitation d’essais, il serait possible de déverrouiller la base à partir des 3 caractères et un nombre illimité d’essais, donc facile à cracker.



C’est juste que j’avais pas compris qu’il fallait déjà rentrer son mot de passe complet une première fois.

Du coup, pas de souci.







hellmut a écrit :



3e fois: il faut s’authentifier avec succès AVANT de pouvoir faire le quick auth.

je parle chinois ou bien?

bon courage pour un bruteforce sur un pass de 25car. ^^





Tu ne l’as dit qu’une seule fois au milieu d’un commentaire. Désolé, je ne l’avais pas vu…







hellmut a écrit :



ben voyons. faut juste que le n’importe qui ait accès root mémoire sur le terminal.

c’est vrai que c’est à la portée du premier script kiddie venu, ça.<img data-src=" />





Je ne parlais pas de dump de mémoire, juste d’un logiciel qui fait exactement la même chose mais sans les limitations…


votre avatar

Le numéro n’est pas liée a la carte SIM, donc si tu le perd t’as seulement a demander a ton opérateur de t’envoyer une nouvelle sim et de bloqué l’ancienne

votre avatar







Naneday a écrit :



Le numéro n’est pas liée a la carte SIM, donc si tu le perd t’as seulement a demander a ton opérateur de t’envoyer une nouvelle sim et de bloqué l’ancienne





Pour le 2FA par SMS tu as raison cela fonctionne.

Mais pour celui avec (Google/Steam/BNet) authenticator ?


votre avatar

Moi j’ai résolu le problème: je n’ai qu’un mot de passe pour tout mais il est impossible à trouver. Même en étant méga intelligent aucun hacker ne pensera à taper Edxffeee125888fdfeffdXfdfDde



Ha ha ha je suis super malin

votre avatar







jackjack2 a écrit :



Moi je mets des mots de passe impossibles à retenir de 50 caractères et je demande une réinitialisation de mot de passe à chaque connexion <img data-src=" />





<img data-src=" />


votre avatar







revker a écrit :



Je ferais aussi remarquer que sur certains sites comme Orange par exemple, les mots de passe sont limités à 12 voir 16 caractères et les espaces ou les caractères spéciaux purement et simplement interdits. Ca ne me donne pas vraiment confiance dans la sécurité du site.&nbsp;



J’espère qu’ils ne stockent plus rien en clair :/





DGSI powered.


votre avatar







Aither99 a écrit :



Tiens je me pose une question pour les gens qui utilise un gestionnaire de mot de passe, vous faites comment dans les cas suivant :




  • sur votre mobile (Y’a une extension ?)





    la base keepass sur Google Drive, et keepass2android sur le téléphone



  • “Pas cher vous, pas sur votre PC” ? (Je pense principalement à spotify, je m’y connecte chez des potes pour pas qu’on ce tape des pubs, mais ça pourrai être pour consulté la couleur de la voiture de mon covoit’ aussi par exemple ^^).



    1- avec l’appli mobile, mais faut se farcir le pass à taper à la main <img data-src=" />

    2- keepass sur une clé usb.



    sinon pour une connerie comme spotify, je me fais pas ch!3r à utiliser un gros mot de passe. ^^


votre avatar

&nbsp;1) un MdP pour un “Forum, etc…” = du “8” suffit (si on le “craque”…c’est pas SI grave)




  1. par contre pour celui de sa banque, il faut du “16” voir “32” ….et “blindé”*



    faut panacher : Majuscules, minuscules, chiffres, caract. spéciaux (&%¨^?)&nbsp; etc…

votre avatar

Moi aussi&nbsp; !

votre avatar







vizir67 a écrit :



&nbsp;1) un MdP pour un “Forum, etc…” = du “8” suffit (si on le “craque”…c’est pas SI grave)




  1. par contre pour celui de sa banque, il faut du “16” voir “32” ….et “blindé”*



    faut panacher : Majuscules, minuscules, chiffres, caract. spéciaux (&%¨^?)&nbsp; etc…





    Quand les banques acceptent, à la BNP pour consulter ses comptes en ligne, le mot de passe doit être de … 6 chiffres …


votre avatar

Exact et il a son pendant sous Androïd (prendre la version offline par contre).

votre avatar

Depuis que Free (petit acteur du Net Français) m’a renvoyé mon mot de passe par mail au lieu de me proposer de le réinitialiser…



Je ne doute plus de rien sur ce sujet…

votre avatar







vizir67 a écrit :





  1. par contre pour celui de sa banque, il faut du “16” voir “32” ….et “blindé”*







    Pas plus tard que samedi, je vais à la banque populaire pour créer des comptes, le mot de passe doit faire entre 8 et 12 caractères et ne doit pas contenir de caractères spéciaux (d’ailleurs dans ces cas là le site te dit que ton mot de passe est le plus faiblement protégé)


votre avatar

Caisse d’Épargne : 4 chiffres <img data-src=" />

votre avatar

Franchement, même avec un soft dont le code source serait open source, envoyer mes mdp même chiffrés dans le cloud, ça sera sans moi.



Je suis déjà relativement peu confiant avec Keepass qui reste en local alors….



Après si ce cloud est auto-hébergé chez moi, ça pourrait me convenir.

votre avatar

C’était pour les anciens, maintenant ils sont passé à 6 … ooooooooo révolution !

votre avatar

Lastpass, un vrai bonheur, synchronisation mobile et pc, 12€ par an à peine, supporte la double authentification via une dizaine de moyens (Yubikey, Authentificator, Grille multifactorielle, etc). A celà s’ajoute le blocage de la connexion en fonction du pays, le blocage du réseau Tor.



Bref, 5 ans d’utilisations, un vrai bonheur.

votre avatar

Ah ah ah, ça ne me surprend même pas.&nbsp;

votre avatar

&nbsp;5 chiffres caisse d’épargne

votre avatar







Mihashi a écrit :



Caisse d’Épargne : 4 chiffres <img data-src=" />





Ah toi aussi… <img data-src=" />

Là dessus, ça déconne cette banque…

Mais depuis peu, on est a 6 chiffres.



Sinon, mes mots de passes j’avoue que je n’ai pas d’imagination.

Pendant un temps, j’utilisais mon mot de passe de connexion de… Club-Internet (Oui, oui, 1996) <img data-src=" />


votre avatar

Perso le plus critique des MDP est unique et il dépasse les 10 caractères et avec double authentification.

Pareil pour tout ce qui est site d’achat.

Pour les forum ça dépends vu que y’a pas de financier

votre avatar

“Tiens ? le même code que sur mes valises !”

votre avatar







dvr-x a écrit :



Pas que… Personnellement, le meilleur gestionnaire de mot de passe que j’ai, c’est ma tête… Je ne confierai pas mes mots de passe a un gestionnaire (aussi bons et sécurisés soient-ils). Une dizaine de mot de passe aléatoire à retenir, ce n’est pas insurmontable.



Mais je suis bien d’accord qu’il faut mieux utiliser un KeePass que d’utiliser des Passwords comme ceux de l’article&nbsp;<img data-src=" />





Ah ! Tu n’as qu’une dizaine de logins et donc de mots de passe.&nbsp; Il ne m’étonnerait pas que la majorité des contributeurs de ce forum ait largement dépassé ce nombre. Je dois en avoir 3 ou 4 dizaines dans KeePass, et ce n’est pas fini.


votre avatar







Nozalys a écrit :



Franchement, même avec un soft dont le code source serait open source, envoyer mes mdp même chiffrés dans le cloud, ça sera sans moi. 




Je suis déjà relativement peu confiant avec Keepass qui reste en local alors....      







Après si ce cloud est auto-hébergé chez moi, ça pourrait me convenir.









Un petit owncloud chez toi sur un Raspberry Pi et hop, avec 40€ et en plus ou moins une demi-journée ça roule

votre avatar







Maicka a écrit :



Je fait des phrases de passe des fois.





je mets même des contrepéteries, c’est plus facile à retenir&nbsp;<img data-src=" />


votre avatar







k43l a écrit :



&nbsp;5 chiffres caisse d’épargne





Ah ah, 6 chiffres à la poste, on rigole pas question sécurité avec eux !


votre avatar

Après il faut voir les sites d`où les mots de passe utilisés proviennent.



Pour ma part je choisis mes mots de passe en fonction du niveau de risque d’avoir un compte compromis et de ce que cela entraînerait.



Pour les sites avec un risque important comme Paypal j’ai un mot de passe avec 3x le combo chiffres, minuscules, majuscules, et caractères spéciaux.



Pour les autres comme NXI j’en choisis un de sécurité moyenne avec simplement des chiffres et des lettres minuscules.



Et pour les sites où je n’irai limite qu’une fois, 6 ou 8 chiffres au mieux font l’affaire.

votre avatar

pour e-carte bleue, c’est 8 symboles maxi, ils ne rigolent pas non plus avec la sûreté.

votre avatar

franchement, pour accéder à mes pass l’assaillant devrait: casser mon pass google, réussir à passer le 2FA, et casser le chiffrement de la BD keepass.

bon courage.



je précise que la NSA et le FSB ne sont pas dans mon threat model. ^^

votre avatar

J’ai envie de citer un spécialiste des mots de passes et du chiffrement :





  • Mais le code c’est pas “le code” ?

    – Provencal le Gaulois

votre avatar

Au pire tu chiffres le conteneur keepass avant de le mettre sur le cloud <img data-src=" />

votre avatar

De toute façon le conteneur est chiffré hein … sinon ça sert à rien

votre avatar

<img data-src=" />

votre avatar

Globalement si tu sorts de Impôts / Messageries / Banques / Services (Edf, sfr, ect..) / site de commerce ou ta CB est enregistrée, pour lesquels j’ai un mot de passe différent pour chaque, pas tellement de risque. Et pour certains, comme Steam ou Bnet, il y a la double authentification.



Donc j’utilise le même mot de passe pour certain types de site. Par exemple, si j’ai le même mot de passe sur Clubic et NextInpact, quelle est la gravité ? Au pire, qqn écrit des âneries avec mon compte ? Dans tous les cas je pourrai le récup via mon mail le mot de passe… Idem si j’ai le même pour, par exemple, Matériel.net et LDLC ! Si qqn veut commander avec mon compte, ca ne me dérange pas, il faudra bien qu’il paie avec sa carte :) tout ce qu’il pourra faire c’est consulter l’historique et regarder mon adresse.



Keepass par exemple, il suffit d’en avoir un pour les avoir tous, un petit keylogger au bon endroit peut faire mal en gros…











Leslinieres a écrit :



Après il faut voir les sites d`où les mots de passe utilisés proviennent.&nbsp;



Pour ma part je choisis mes mots de passe en fonction du niveau de risque d’avoir un compte compromis et de ce que cela entraînerait.&nbsp;



Pour les sites avec un risque important comme Paypal j’ai un mot de passe avec 3x le combo chiffres, minuscules, majuscules, et caractères spéciaux.&nbsp;



Pour les autres comme NXI j’en choisis un de sécurité moyenne avec simplement des chiffres et des lettres minuscules.&nbsp;



Et pour les sites où je n’irai limite qu’une fois, 6 ou 8 chiffres au mieux font l’affaire.





&nbsp;<img data-src=" />

&nbsp;


votre avatar







picatrix a écrit :



On voit bien que ce sont des anglo-saxons qui prennent des mots de passe faciles à craquer.

Par exemple ils utilisent “qwerty” : c’est trop facile à trouver.

Moi j’utilise “azerty” : ils ne le trouveront jamais …





Et le jour où c’est trouvé, tu passes sur clavier allemand &nbsp;<img data-src=" />


votre avatar

Un mot de passe facile à retenir, c’est pas si compliqué “gé2lloq!” <img data-src=" />

J’utilise aussi KeePass, sur Android, il ne demande aucun accès internet, j’ai plus d’une centaine de mot de passe mémorisé, Depuis Pixmania jusqu’à “Merci qui”, en passant par la Fnac, Yahoo, Outlook, Gmail, Icloud, les impots, la mutuelle, j’en passe et des meilleurs <img data-src=" /> Sans compter les sites boulot, avec leur mot de passe imbuvable qui changent tous les 6mois et parfois sans prévenir <img data-src=" />

votre avatar







heret a écrit :



Je t’arrête tout de suite. Ma CB n’est enregistrée sur aucun site et en plus j’utilise une e-carte bleue. Et tu oublies les différents logins et mdp professionnels. Moi aussi j’utilise le même login et même mdp sur NXI et d’autres sites du même genre. Et il n’empêche que j’en suis à plusieurs dizaines de login/mdp.





C’est clair que lorsque tu a un minimum d’activités sur le ouèbe la croissance des id est exponentielle,&nbsp; et là, une bd est incontournable, ou alors faut post-iter <img data-src=" />


votre avatar

Le jour où on pourra avoir les mot de passe en Kanji , on sera tranquille.

votre avatar

Les mots de passe complexes, c’est bien mais c’est aussi parfois du boulot pour la DSI.



Récemment un service de ma boite a du déménager en urgence suite à un incendie dans leur locaux: sur les 136 utilisateurs de ce service, nous avons du réinitialiser 127 mots de passe qui n’étaient connus que sous forme de post-it posés quelque part sur le bureau. Ca prête à rire quand même…



Finalement, la DSI a décidé d’ajouter une fonction “mot de passe oublié” à cette application, on ne sait jamais&nbsp;<img data-src=" />

votre avatar







Ulfr Sarr a écrit :



Les mots de passe complexes, c’est bien mais c’est aussi parfois du boulot pour la DSI.



Récemment un service de ma boite a du déménager en urgence suite à un incendie dans leur locaux: sur les 136 utilisateurs de ce service, nous avons du réinitialiser 127 mots de passe qui n’étaient connus que sous forme de post-it posés quelque part sur le bureau. Ca prête à rire quand même…



Finalement, la DSI a décidé d’ajouter une fonction “mot de passe oublié” à cette application, on ne sait jamais&nbsp;<img data-src=" />







parfois on connait le mdp au début (et on ne le post-it pas) mais après y avoir accedé pendant 6 mois sans le saisir (dans la mémoire de l’ordi qu’on emploie), suffit de changer d’ordi pour ne plus s’en rappeler …


votre avatar

@G1MdpCkuRiSéSurNextInpact@



😅

votre avatar







dvr-x a écrit :



Keepass par exemple, il suffit d’en avoir un pour les avoir tous, un petit keylogger au bon endroit peut faire mal en gros…





keepass inclut justement une protection contre les keyloggers.



ce qui me permet de retourner ton argument contre toi (<img data-src=" />): un bon petit keylogger va te siffler toutes tes frappes de clavier sur le site des Impôts / Messageries / Banques / Services, alors qu’avec keepass…



enfin de toute manière, un petit keylogger ça veut dire que l’assaillant a accès à ton terminal. du coup t’es déjà un peu baisé. ^^


votre avatar

Un mot de passe c’est du flanc, du virtuel, pour moi c’est 2 step login partout !! mon tel y’a que moi qui le touche

votre avatar







Adhrone a écrit :



Lastpass, un vrai bonheur, synchronisation mobile et pc, 12€ par an à peine, supporte la double authentification via une dizaine de moyens (Yubikey, Authentificator, Grille multifactorielle, etc). A celà s’ajoute le blocage de la connexion en fonction du pays, le blocage du réseau Tor.



Bref, 5 ans d’utilisations, un vrai bonheur.





Un vrau bonheur ?

Pas convaincu, sont souvent victimes de choses pas super super .. (euphémisme):

La sécurité de LastPass compromise, changez votre mot de passe maître

nextinpact.com Next INpact” target=”_blank” rel=“nofollow”>LastPass a corrigé deux importantes failles de sécurité

Quand il y en a 2 ou 3 officielles, c’est qu’il y en a d’autres ….


votre avatar







CryoGen a écrit :



J’ai envie de citer un spécialiste des mots de passes et du chiffrement :





  • Mais le code c’est pas “le code” ?

    – Provencal le Gaulois





    Je revois la situation dans ma tête <img data-src=" />


votre avatar







Vanilys a écrit :



Un vrau bonheur ?

Pas convaincu, sont souvent victimes de choses pas super super .. (euphémisme):

La sécurité de LastPass compromise, changez votre mot de passe maître

nextinpact.com Next INpact” target=”_blank” rel=“nofollow”>LastPass a corrigé deux importantes failles de sécurité

Quand il y en a 2 ou 3 officielles, c’est qu’il y en a d’autres ….









Vanilys a écrit :



Un vrau bonheur ?

Pas convaincu, sont souvent victimes de choses pas super super .. (euphémisme):

La sécurité de LastPass compromise, changez votre mot de passe maître

nextinpact.com Next INpact” target=”_blank” rel=“nofollow”>LastPass a corrigé deux importantes failles de sécurité

Quand il y en a 2 ou 3 officielles, c’est qu’il y en a d’autres ….









Vanilys a écrit :



Un vrau bonheur ?

Pas convaincu, sont souvent victimes de choses pas super super .. (euphémisme):

La sécurité de LastPass compromise, changez votre mot de passe maître

nextinpact.com Next INpact” target=”_blank” rel=“nofollow”>LastPass a corrigé deux importantes failles de sécurité

Quand il y en a 2 ou 3 officielles, c’est qu’il y en a d’autres ….







Ce qui me gène dans lastpass c’est que la BD est chez eux et non locale


votre avatar

Je reprends mon message précédent, petit problème de formatage:

Un vrai bonheur ?

Pas convaincu, sont souvent victimes de choses pas super super .. (euphémisme):

La sécurité de LastPass compromise, changez votre mot de passe maître

LastPass a corrigé deux importantes failles de sécurité

Quand il y en a 2 ou 3 officielles, c’est qu’il y en a d’autres ….

votre avatar







keralan a écrit :



Ce qui me gène dans lastpass c’est que la BD est chez eux et non locale





Exactement …


votre avatar

c’est pour ça que je reste sur une vieille version de Password Manager de Kaspersky qui a sa bdd en local au lieu de passer sur la plus récente qui est chez eux ^^

votre avatar







fr1g0 a écrit :



moi j’utilise “sarkozy” tellement insignifiant que personne ne pensera à ça





Tu ne te prends pas des “mot de passe trop court” en retour?











Ulfr Sarr a écrit :



Les mots de passe complexes, c’est bien mais c’est aussi parfois du boulot pour la DSI.



Les simples aussi.

Ici on travaille sur certaines applis avec une carte à puce qui sert d’authentifiant, avec un bête code PIN à 4 chiffres. Régulièrement des cartes sont bloquées car le PIN a été oublié…


votre avatar



Choisir un bon mot de passe : les règles à connaître, les pièges à éviter



ça a peut être déjà été dit dans les commentaires précédents, mais l’hygiène informatique n’est pas uniquement côté utilisateur. Côté éditeurs, ya aussi de gros efforts à faire : les site qui imposent que des chiffres ou limitent en nombre de caractères (alors que si c’est bien fait, qu’il fasse 1 a 2^10, il est chiffré en une chaîne dont la longueur n’est pas du ressort de l’utilisateur) mettent à mal les algos perso et autres technique pour sécuriser tout en mémorisant correctement son mot de passe.

Par exemple améli… 8 chiffres <img data-src=" /> surtout qu’ils ont pris le temps d’interdire la date de naissance… <img data-src=" />



Ah et sans doute déjà dit aussi : à site/compte jetable, mot de passe jetable… <img data-src=" />

votre avatar







Vanilys a écrit :



Exactement …





A vous deux, le chiffrage et le déchiffrage chez Lastpass est local, seul le fichier crypté est stocké chez eux.



Ce que les pirates ont récupérés, ce n’est qu’un fichier crypté en AES 256 bits.



Ce n’est pas pour rien que chez Lastpass, aucune redéfinition de mot de passe n’est disponible en cas de perte.


votre avatar







Adhrone a écrit :



A vous deux, le chiffrage et le déchiffrage chez Lastpass est local, seul le fichier crypté est stocké chez eux.



Ce que les pirates ont récupérés, ce n’est qu’un fichier crypté en AES 256 bits.



Ce n’est pas pour rien que chez Lastpass, aucune redéfinition de mot de passe n’est disponible en cas de perte.



Chiffré. Sauf s’ils ont été chiffrés sans connaître la clé…


votre avatar

Je m’attendais à la remarque, je me trompe en permanence entre chiffrage et cryptage&nbsp;<img data-src=" />

votre avatar







revker a écrit :



Je ferais aussi remarquer que sur certains sites comme Orange par exemple, les mots de passe sont limités à 12 voir 16 caractères et les espaces ou les caractères spéciaux purement et simplement interdits. Ca ne me donne pas vraiment confiance dans la sécurité du site.&nbsp;



J’espère qu’ils ne stockent plus rien en clair :/





Les champions du monde&nbsp;: Infogreffe (le site des greffes de tribunaux de commerce) : 8 caractères maximum, chiffres et lettres uniquement.



C’est bien, c’est pas comme si on y balançait des trucs sensibles sur ce site …………<img data-src=" />


votre avatar







Naneday a écrit :



Un mot de passe c’est du flanc, du virtuel, pour moi c’est 2 step login partout !! mon tel y’a que moi qui le touche





Le jour où tu perd ton tel t’as intérêt à être réactif dans le vérouillage à distance ;)


votre avatar

Les mots de passe, c’est comme les brosses à dents…




  • ca ne se donne à personne

  • ca se change régulièrement



    (dicton populaire)

votre avatar







jackjack2 a écrit :



Moi je mets des mots de passe impossibles à retenir de 50 caractères et je demande une réinitialisation de mot de passe à chaque connexion <img data-src=" />





QUOI ? Tu utilises pas en plus une double authentification ? Ah bah bravo la sécurité <img data-src=" />


votre avatar

Sauf que ton mot de passe KeePass, tu l’entre pour tout. Ce qui n’est pas le cas d’une gestion mot de passe par mot de passe.

Les extensions navigateurs détectent les keylogger ?&nbsp;



Bref, chacun son truc. Perso, je préfère ne pas coller des mots de passe dans un Cloud :)

votre avatar







127.0.0.1 a écrit :



Les mots de passe, c’est comme les brosses à dents…




  • ca ne se donne à personne

  • ca se change régulièrement



    (dicton populaire)





    Et un seul par personne suffit <img data-src=" />


votre avatar

Perso j’ai une brosse à dent à la maison, une au boulot et une dans la trousse de voyage.



Et j’ai a peu près la même politique pour mes mots de passe (perso, boulot, et temporaire)

votre avatar

Keepass est en local.

Pour l’extension je ne vois pas le rapport ?

votre avatar







Adhrone a écrit :



Je m’attendais à la remarque, je me trompe en permanence entre chiffrage et cryptage&nbsp;<img data-src=" />





Essaye chiffrement, tu te tromperas moins ;)


votre avatar

je l’entre une fois, il me le redemande au bout de 5min.

j’utilise pas d’extension navigateur.

sans compter que je l’utilise pas pour les sites non sensibles comme nextinpact.

du coup j’utilise keepass assez peu.



quant au Cloud, le mec qui arrivera à me péter mon compte google avec le mot de passe de barjot (keepass) + 2FA, et ensuite à péter la base keepass en AES256 (et encore maintenant on peut passer en chacha20) avec une grosse phrase de pass de taré, il bosse à la NSA, au GCHQ ou au FSB. et encore.

du coup il entre clairement pas dans mon threat model. ^^



mais toi, continue à utiliser des pass de 12 car que tu gardes dans ta tête.

moi à côté j’ai du 50 car + entropie sur tout le spectre ascii (quand y’a droit évidemment). <img data-src=" />

votre avatar

Je pense que @dvr-x voulais savoir comment tu transposais ton mot de passe depuis Keepass vers le champs de login.





  • Si tu fais un copier-coller : un simple logiciels de surveillance de presse papier l’interceptera.

  • Si tu le recopie visuellement : un screenlogger peut récupérer ton mot de passe.

  • Si tu le tape : un keylogger peut prendre ton mot de passe.



    Edit : d’ailleurs, si je comprend bien, pour récupérer ton mot de passe tu dois :

    1- Déverrouiller ton compte Google avec un mot de passe (qui est sauvegardé où du coup ?) + ta clé U2F

    2- Déverrouiller ton compte Keepass

    3- Chercher le site

    4- Copier/recopier/lire/mémorisé (suivant ta méthode)



    Et du coup ton keepass est sauvegardé dans le cloud non ?



    J’ai vu plus user friendly comme méthode, je parle même pas de l’usage de cette solution depuis un mobile.&nbsp;

votre avatar

Sinon, la première strophe de l’hymne national belge, version intégrale en flamand, écrite à l’envers, en cyrillique et en leetspeak, c’est sécurisé comme mot de passe ?



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

votre avatar







Commentaire_supprime a écrit :



Sinon, la première strophe de l’hymne national belge, version intégrale en flamand, écrite à l’envers, en cyrillique et en leetspeak, c’est sécurisé comme mot de passe ?



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Pas de bol, pour une fois que je connais un truc en flamand :

o dierbaar België, o heilig land der vad’ren, onze ziel en ons hart zijn u gewijd <img data-src=" />

tu l’arrêtes où la première strophe d’ailleurs ?


votre avatar







Adhrone a écrit :



Je m’attendais à la remarque, je me trompe en permanence entre chiffrage et cryptage <img data-src=" />



Quand on veut coder, on utilise des chiffres, pas des cryptes <img data-src=" />


votre avatar







tpeg5stan a écrit :



Pas de bol, pour une fois que je connais un truc en flamand :

o dierbaar België, o heilig land der vad’ren, onze ziel en ons hart zijn u gewijd <img data-src=" />

tu l’arrêtes où la première strophe d’ailleurs ?







Je la met en entier, les bis compris :



O dierbaar België, O heilig land der Vaad’ren,

Onze ziel en ons hart zijn u gewijd.

Aanvaard ons kracht en bloed van ons ad’ren,

Wees ons doel in arbeid en in strijd.

Bloei, o land, in eendracht niet te breken;

Wees immer uzelf en ongeknecht,

Het woord getrouw, dat g’ onbevreesd moogt spreken,

Voor Vorst, voor Vrijheid en voor Recht!

Het woord getrouw, dat g’ onbevreesd moogt spreken,

Voor Vorst, voor Vrijheid en voor Recht!

Voor Vorst, voor Vrijheid en voor Recht!

Voor Vorst, voor Vrijheid en voor Recht!



Ça fait un joli mot de passe, non ?



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


votre avatar

C’est rigolo cet article, enfin ce marronnier.

Parce qu’en fait, la majorité des mots de passe sont inutiles et n’apportent rien à l’utilisateur. C’est donc normal de mettre un mot de passe simple et WTF.

votre avatar

J’dis ça, j’dis rien mais la version en flamand de vers l’avenir “naar wijd en zijd” est encore moins connue <img data-src=" />

votre avatar

“TAPER CODE” =&gt; plusieurs jours/semaines à chercher le code pour renter dans le labo <img data-src=" />

votre avatar







Adhrone a écrit :



Je pense que @dvr-x voulais savoir comment tu transposais ton mot de passe depuis Keepass vers le champs de login.





  • Si tu fais un copier-coller : un simple logiciels de surveillance de presse papier l’interceptera.

  • Si tu le recopie visuellement : un screenlogger peut récupérer ton mot de passe.

  • Si tu le tape : un keylogger peut prendre ton mot de passe.



    Edit : d’ailleurs, si je comprend bien, pour récupérer ton mot de passe tu dois :

    1- Déverrouiller ton compte Google avec un mot de passe (qui est sauvegardé où du coup ?) + ta clé U2F

    2- Déverrouiller ton compte Keepass

    3- Chercher le site

    4- Copier/recopier/lire/mémorisé (suivant ta méthode)



    Et du coup ton keepass est sauvegardé dans le cloud non ?



    J’ai vu plus user friendly comme méthode, je parle même pas de l’usage de cette solution depuis un mobile.





    keepass propose une option anti-keyloggers en opt-in car apparemment ça ne fonctionne pas avec toutes les fenêtres (en renseignement automatique). j’avoue que j’ai pas testé.



    j’utilise le renseignement automatique de champs.

    Le fichier est sur mon dur, automatiquement synchronisé avec Drive. je n’ai donc que la phrase de pass de keepass à saisir, ce qui est assez user-friendly. <img data-src=" />



    de toute manière, comme je le disais, si le terminal est compromis, tout est compromis, y compris les pass saisis à la mano et stockés dans le cerveau.

    du coup le raisonnement “je n’utilise pas de gestionnaire de pass à cause des keyloggers” est totalement à côté de la plaque.



    depuis un mobile j’utilise keepass2android, qui fonctionne globalement de la même manière: l’appli va toute seule chercher la base .kdbx sur mon Drive, je n’ai que la phrase de pass à saisir.

    Cette appli ajoute aussi une fonction de déblocage rapide: il suffit de saisir les 3 derniers caractères de la phrase de pass (c’est paramétrable) pour débloquer la base, et c’est limité à un essai. si tu te plantes il faut ressaisir la phrase entière. plutôt pratique sur mobile avec un clavier réduit.

    Keepass propose d’ailleurs un plugin qui permet de faire ça.



    enfin bref, je ne vois franchement pas quel désavantage il y aurait à utiliser une telle solution, à moins d’avoir un threat model qui inclue un acteur étatique (et encore, y’a du taf pour cracker tout ça).


votre avatar







hellmut a écrit :



Cette appli ajoute aussi une fonction de déblocage rapide: il suffit de saisir les 3 derniers caractères de la phrase de pass (c’est paramétrable) pour débloquer la base, et c’est limité à un essai. si tu te plantes il faut ressaisir la phrase entière. plutôt pratique sur mobile avec un clavier réduit.

Keepass propose d’ailleurs un plugin qui permet de faire ça.





Hmmm, ça me parait étrange comme fonctionnement. Ça veut dire qu’il y a moyen de déchiffrer la base avec seulement 3 caractères ?


votre avatar

je viens de tester l’option anti-keyloggers: ça fonctionne très bien sur un login google, à priori ça doit marcher partout sur un navigateur.



d’ailleurs c’est ce qu’ils disent à propos de cette option:



When can Two-Channel Auto-Type Obfuscation be used?

TCATO cannot be used with all windows. The target window(s) must support clipboard operations and navigation within edit controls using arrow keys. Additionally, the target user interface must not contain automation features like jumping focus when maximum length of a text box is reached (as seen in registration number dialogs for example).



Rules of thumb:



. Can be used in:

Browsers.

Windows programs with standard text boxes.



.Can not be used in:

Console-based applications (interactive terminals, …).

Games.



Because it doesn’t work with all windows, it’s an opt-in feature for each entry. You have to enable it explicitly on the ‘Auto-Type’ tab page in the ‘Edit Entry’ dialog.

votre avatar

à mon avis il doit stocker une empreinte des 3 derniers caractères pour vérifier.

mais bon tout est open-source, suffit d’aller voir, sorry j’ai pas le temps, là. <img data-src=" />

votre avatar

Mais du coup il existe peu d’empreintes et donc une attaque par brute force / rainbow table dessus doit être assez facile à réussir.

Je ne suis pas expert, mais ça me semble être une grosse faille de sécurité…

votre avatar

Ha ça j’aime bien&nbsp;<img data-src=" />

votre avatar

non le bruteforce peut pas marcher, y’a qu’un essai possible pour l’authentification rapide (avec les 3 derniers car). c’est juste pour éviter de ressaisir toute la phrase de pass (en particulier sur mobile où c’est ultra chiant de saisir une grosse phrase de pass avec les car spéciaux et tout).

càd qu’il faut déjà l’avoir saisie entièrement avec succès pour activer cette fonctionnalité.

fonctionnalité qui est d’ailleurs en opt-in.

t’inquiète, vu les mecs qui utilisent keepass/keepass2android, si c’était foireux on serait au courant. <img data-src=" />



edit: et cette fonctionnalité est aussi paramétrable, ie tu peux dire que tu veux saisir par exemple les 5 ou 10 derniers caractères au lieu des 3 par défaut. mais c’est pas forcément le but, c’est juste une option de confort.

votre avatar

À force, il y a des mots de passe que je connais pour les sites les plus utilisés… Pour les autres, ben… Je ne sais pas m’y connecter&nbsp; tant que je ne suis pas à la maison <img data-src=" />

votre avatar







hellmut a écrit :



à mon avis il doit stocker une empreinte des 3 derniers caractères pour vérifier.





Ca doit stocker en mémoire ta clé complète (ou complète moins les X caractères que tu rentres, s’ils sont pas cons).

Quand tu rentres la fin, ça rajoute le début. Si ça marche, c’est cool, sinon ça supprime de la mémoire.

C’est plutôt pratique et bien trouvé, c’est une de leur fonctionnalité phare.

&nbsp;

Après c’est sûr que si tu arrives à avoir le .kdbx + dumper la mémoire quand la clé y est (partiellement ou complètement), c’est clairement un risque supplémentaire, le brute force passe tranquille ensuite. Mais lorsque tu as un accès suffisant pour dumper la mémoire, tu pourrais tout autant avoir un keylogger sur ton tel, et ça ne changerait rien.



Après si ça t’effraie, il existe d’autres clients qui ne font pas ça ^^


votre avatar







Naneday a écrit :



Un mot de passe c’est du flanc, du virtuel, pour moi c’est 2 step login partout !! mon tel y’a que moi qui le touche





Et quand tu te le fais voler ou que tu le perds, c’est la merde non ?

J’ai du 2FA avec mon téléphone aussi, et ça m’inquiète&nbsp;<img data-src=" />.


votre avatar







jackjack2 a écrit :



Moi je mets des mots de passe impossibles à retenir de 50 caractères et je demande une réinitialisation de mot de passe à chaque connexion&nbsp;<img data-src=" />





La double factor authentication du pauvre !&nbsp;<img data-src=" />


votre avatar







hellmut a écrit :



non le bruteforce peut pas marcher, y’a qu’un essai possible pour l’authentification rapide (avec les 3 derniers car). c’est juste pour éviter de ressaisir toute la phrase de pass (en particulier sur mobile où c’est ultra chiant de saisir une grosse phrase de pass avec les car spéciaux et tout).

càd qu’il faut déjà l’avoir saisie entièrement avec succès pour activer cette fonctionnalité.

fonctionnalité qui est d’ailleurs en opt-in.

t’inquiète, vu les mecs qui utilisent keepass/keepass2android, si c’était foireux on serait au courant. <img data-src=" />



edit: et cette fonctionnalité est aussi paramétrable, ie tu peux dire que tu veux saisir par exemple les 5 ou 10 derniers caractères au lieu des 3 par défaut. mais c’est pas forcément le but, c’est juste une option de confort.





La limitation a un seul essai possible n’est que logicielle, si tu réécrit le logiciel pour ne pas avoir cette limitation, c’est open-bar. (Comme avec l’histoire avec le FBI qui voulait qu’Apple fasse sauter le nombre d’essais sur un iphone)







RomRomRomRom a écrit :



Ca doit stocker en mémoire ta clé complète (ou complète moins les X caractères que tu rentres, s’ils sont pas cons).

Quand tu rentres la fin, ça rajoute le début. Si ça marche, c’est cool, sinon ça supprime de la mémoire.

C’est plutôt pratique et bien trouvé, c’est une de leur fonctionnalité phare.

 

Après c’est sûr que si tu arrives à avoir le .kdbx + dumper la mémoire quand la clé y est (partiellement ou complètement), c’est clairement un risque supplémentaire, le brute force passe tranquille ensuite. Mais lorsque tu as un accès suffisant pour dumper la mémoire, tu pourrais tout autant avoir un keylogger sur ton tel, et ça ne changerait rien.



Après si ça t’effraie, il existe d’autres clients qui ne font pas ça ^^





Si le logiciel arrive à connaître (un bout de) ta clé sans que tu le tapes, alors n’importe qui peut y arriver aussi.


votre avatar

On voit bien que ce sont des anglo-saxons qui prennent des mots de passe faciles à craquer.

Par exemple ils utilisent “qwerty” : c’est trop facile à trouver.

Moi j’utilise “azerty” : ils ne le trouveront jamais …

votre avatar

Moi je mets des mots de passe impossibles à retenir de 50 caractères et je demande une réinitialisation de mot de passe à chaque connexion <img data-src=" />

votre avatar

C’est difficile de convertir des gens peu à l’aise avec l’informatique à l’utilisation de gestionnaires de mots de passe malheureusement.



Personnellement, un bon KeePass :)

votre avatar

Je fait des phrases de passe des fois.

votre avatar

Tiens je me pose une question pour les gens qui utilise un gestionnaire de mot de passe, vous faites comment dans les cas suivant :




  • sur votre mobile (Y’a une extension ?)

  • “Pas cher vous, pas sur votre PC” ? (Je pense principalement à spotify, je m’y connecte chez des potes pour pas qu’on ce tape des pubs, mais ça pourrai être pour consulté la couleur de la voiture de mon covoit’ aussi par exemple ^^).

votre avatar

Pas que… Personnellement, le meilleur gestionnaire de mot de passe que j’ai, c’est ma tête… Je ne confierai pas mes mots de passe a un gestionnaire (aussi bons et sécurisés soient-ils). Une dizaine de mot de passe aléatoire à retenir, ce n’est pas insurmontable.



Mais je suis bien d’accord qu’il faut mieux utiliser un KeePass que d’utiliser des Passwords comme ceux de l’article&nbsp;<img data-src=" />

votre avatar







Aither99 a écrit :



Tiens je me pose une question pour les gens qui utilise un gestionnaire de mot de passe, vous faites comment dans les cas suivant :




  • sur votre mobile (Y’a une extension ?)

  • “Pas cher vous, pas sur votre PC” ? (Je pense principalement à spotify, je m’y connecte chez des potes pour pas qu’on ce tape des pubs, mais ça pourrai être pour consulté la couleur de la voiture de mon covoit’ aussi par exemple ^^).





    Y’a des password managers qui ont un stockage “in the claoude” (sécurisé bien sûr) avec des clients pour différents types d’OS


votre avatar

toujours un succès les mdp!

votre avatar

J’aimerais bien les retenir mais 32 char avec des caractères ANSII, j’ai du mal <img data-src=" />



&nbsp;

votre avatar

Avec KeePass, tu peux importer une base de données depuis le cloud. Sinon, l’avoir sur une clé usb, ça peut dépanner.

votre avatar

Pour certains comptes, j’ai utilisé la “méthode Diceware”, en renforçant moi-même le résultat obtenu (ex : ajout de mots, de caractères spéciaux…).

ça a l’avantage que les mots se retiennent facilement au fur et à mesure du “tirage” des mots.

Sinon, Keepass !

votre avatar







jackjack2 a écrit :



Moi je mets des mots de passe impossibles à retenir de 50 caractères et je demande une réinitialisation de mot de passe à chaque connexion <img data-src=" />





<img data-src=" /> <img data-src=" />


votre avatar

oui….mais faut pas que le Logiciel bugge !

“retenir 50 MdP”–&gt; pff !!! <img data-src=" />

votre avatar

c’est ce que je fais de plus en plus sur les sites où je ne vais pas souvent&nbsp;<img data-src=" />

votre avatar

tu rigoles mais sur des sites sensibles où je vais rarement c’est ce que je fais.

genre impots.gouv.&nbsp;

votre avatar

En effet&nbsp;<img data-src=" />

Perso je suis plus à 12 généralement et 16 pour les deux plus critiques, voir 8 pour ceux qui ne sont pas critique du tout (genre forum). Est-ce bien utile de mettre du 32 pour tous ses mots de passe ! La est la &nbsp;question :)

votre avatar

Pourquoi pas une gestionnaire de mots de passe avec une taille de 50 caractères ?

votre avatar

Mais je suis bien d’accord qu’il faut mieux utiliser un KeePass que d’utiliser des Passwords comme ceux de l’article&nbsp;<img data-src=" />



ils n’en AURAIENT pas mis = kif, kif* !



* pareil

votre avatar

j’ai aussi un gestionnaire de mdp.

mais sur les sites sensibles je préfères ne pas les stocker&nbsp;

votre avatar

Je ferais aussi remarquer que sur certains sites comme Orange par exemple, les mots de passe sont limités à 12 voir 16 caractères et les espaces ou les caractères spéciaux purement et simplement interdits. Ca ne me donne pas vraiment confiance dans la sécurité du site.&nbsp;



J’espère qu’ils ne stockent plus rien en clair :/

Les pires mots de passe de 2016 : une liste toujours aussi inquiétante, mais pas surprenante

  • Un top 10 qui fait froid dans le dos

  • Comment choisir et retenir de bons mots de passe ?

Fermer