Reprise du message précédent :

 
Permanent link to this comic: https://xkcd.com/936/
Image URL (for hotlinking/embedding): https://imgs.xkcd.com/comics/password_strength.png

demande à une IA de le résoudre. en combinatoire c'est effectivement 2 trillions d'années.  
avec un bon algoAI+dico, ça prendra 2ans (je dis ça au pif mais ) alors que "j3ssuiet0npere" restera à 135ans parce que moins prévisible.
ton AI va choisir le bon dico (ici FR) instantanément

Comment cela est-il testé sans les stocker en clair ?

Wow.

À ton avis ?

https://www.md5hashgenerator.com/

Non mais même au delà du détail de la technique elle-même, y'a pas besoin d'être spécialiste en informatique pour comprendre que si on a un moyen de checker les saisies de l'utilisateur contre le mot de passe actuel stocké pas en clair (ce qu'on fait lors de chaque login), il suffit d'utiliser le même moyen pour checker la saisie du nouveau mdp contre les précédents mdp sauvegardés pas en clair.

C'est juste du bon sens, en fait.

 
Si tout le monde avait du bon sens je n’aurais plus de taf depuis bien longtemps

Sauf qu'il semble que le hash, ça produit des résultats franchement différents pour une micro variation, d'ailleurs vérifions :  
patate1 :  1a855da09f46d3355aa927e19cd2e46e  
patate2 :  e1d916d37351f1c1bda3fa9d5e5a2d5d  
Rien à voir, comme prévu.
 
Donc tout dépend de ce que l'on met derrière le "pas semblable aux 5 derniers mots de passe". On est aussi ici pas sensés utiliser des séries genre patate1, patate2. Sauf qu'en pratique j'ai toujours vu que ça marche. Résultats :  
- Sur le logiciel qui demandait irrégulièrement de changer de mot de passe, j'en étais arrivé à patate58 avant qu'on change de logiciel.
- Sur la session windows, tous les mots de passe d'autres personnes que j'ai pu connaitre incluaient d'une manière ou d'une autre le mois et souvent l'année (le plus souvent son numéro, genre patate1122 pour ce mois ci), résultat la politique servait à rien, t'as un mot de passe de janvier, tu connais celui de février.
 
S'il y a une vérification que l'on est pas en train de mettre patate2 après patate1, ça se passe comment ? Tu stockes tous les mdp chiffrés, et pour fair ela vérification t'es obligé de tout déchiffrer, puis faire les comparaisons ? Je suis pas dans l'informatique à la base donc la réponse peut être évidente pour vous mais pas pour moi.

T’es pas obligé de faire un seul hash.
Ton mot de passe peut donc être hashé en plusieurs parties et ces hashs vont permettre de savoir si tu utilises des parties identiques.
Bon après moi je fais du filtrage et pas du chiffrage donc je ne connais pas forcément les méthodes utilisées pour le chiffrage et les politiques de sécurité de mots de passe.

edit : enfin je ne fais pas. Y a des gens beaucoup plus  intelligents que moi qui font ça. Moi je ne fais que réparer leurs conneries
edit2 : sauf qu’on s’en bat les couilles en fait.

J'avais pas pensé à ça mais ça se tient, dans mon exemple du coupes à presque moitié, ça donne "pata" et "ate1"/"ate2", le "pata" se retrouve à l'identique

Si tout le monde avait le même bon sens que toi ce serait beau

Je croyais que les sysadmin tenaient un grand cahier avec la liste de tous les mots de passe utilisateur et qu'ils vérifiaient dedans avant d'approuver ou non pour chaque demande de connexion

ça c’est à la banque postale

C'est bien à ça que je pensais, on peut stocker l'historique des mdp hachés (et donc avec une séquence variable à 2 chiffres, on est tranquille par rapport à un historique des 12 derniers mdp hachés par exemple), mais "proche de" je ne vois pas.

Honnêtement, aucune idée de comment c'est vérifié. C'est simplement très chiant et contre productif!

Lorsque tu changes ton mot de passe on te demande l'actuel, ce qui permet de faire une comparaison non "hashé" entre l'actuel et le nouveau (mais effectivement pas avec les précédents).

Pour ce qui est du hashage en partie, ça pourrait effectivement permettre de détecter ça mais ça ne serait pas très fiable et surtout ça ferait sensiblement baisser la sécurité du hashage.

Reste l'option de ne pas hasher mais chiffrer les mots de passe, mais celui qui met ça en œuvre de nos jours...

Oui, d'ailleurs il me manque tes passwords pour Diablo 2 stp !

C'est simple, c'est une agrafe de batterie de cheval correct.

 
Joli  

 
Il existe des solutions pour gérer les mots de passe de manière centralisée, ça permet par exemple de faire les rotations automatiques périodiquement.

Attention : si tu résous le pb avant qu'il ne se produise, il n'y aura personne pour voir qu'il y avait un problème.
Et tu pourras donc t'assoir sur ta prime...

Exactement : mets en place une solution pérenne tranquillement sans l'activer, attends que ça pète en prod, viens sur ton cheval blanc mode "laissez-moi 24h, je peux rattraper ça", passe la journée sur la Playstation, active le brol au dernier moment, ça marche direct, et paf le héros

"Google veut connaitre ma position, ben j'ai répondu que je suis assis sur ma chaise "  

 

 
[Source]

Troll de compète ou abruti fini, à vous de voir : https://forum.hardware.fr/hfr/Hardw [...] 9907_1.htm
 
 

Je penche pour l'abruti...

Au début je me disais que bon ça va il a branché son écran sur sa CM en pensant qu'il y avait un chipset graphique, j'aurais pu faire la même connerie.
Et puis ensuite  

XP c'est mieux et plus sécurisé  

Encore un bon celui la  

+1 on sent le gars coincé dans les années 90 qui "ne s'est pas fait avoir comme le reste du monde".
 

 
Il a raison, plus personne ne développe de virus/trojan pour XP, même eux ne tournent plus dessus !  

Et comment ? Elle va se baser sur quelles inputs/feedback ton AI ?

Le mec dois sûrement formater tout les quatre matins car "c'est bon pour le système"...

De toute manière si le système en face est bien conçu, au bout de X mauvais mot de passe ton compte est locké

 
Le theme (XP) et la façon de parler (lavage de cerveau etc) me rappellent très fortement berclav/phroby.
 
Ce serait pas la première fois qu'il essaie un nouveau multi, mais il se fait toujours griller car le naturel revient toujours au galop.

l'IA connais le français mais pas le l33t sp34k c'est bien connu.

De toute façon c'est comme ça désormais, problème plus compliqué que 4 boucles = IA.

Et comment l'IA elle sait que tu utilises un password en fronssé ?

L'IA tu l'utilise à partir des infos sur le bonhomme pour déterminer quel dictionnaire utiliser  

Clairement. L'IA tu lui files les posts de XaT elle trouve son pin de CB (1664) , son mot de passe Facebook ("Rammstein est un groupe de bière" ), son mot de passe hfr sur son multi ("Après Cinq heures Shitpost" ) et celui de son boulot aussi ().