Reprise du message précédent :

 
je m'étais renseigné sur le sujet à un moment, je suis passé sur fax "RTC" illimité au final (la majorité des offres citées et pas chères sont ultra limitées, genre ça douille au delà de 50 pages (voir impossible de faire plus de 50 pages). pour faire du volume il y a les offres pro qui doivent être pas mal, mais vraiment trop cher. (bref je suis entre les 2)

Ce matin, mon collègue qui appelle le SI parce que son mdp ne fonctionne pas.
Au bout de quelques minutes il s'est rendu compte qu'il essayait de faire bouffer son mdp facebook à la machine    
 
Dans le même genre il m'est arrivé d'appeler pour une erreur imprimante, pour finalement remarquer que le rouleau encreur était terminé    
Note: l'imprimante en question est à portée de main, dans mon bureau, et dispose même d'une grande vitre latérale pour qu'on puisse regarder l'état des consommables à l'intérieur
 
Les gars du SI, faudrait leur payer des séances de yoga pour nous supporter

ca m'est arrivé : essayé 10 fois de me loguer au bureau avec le mot de passe de ma machine at home ...  
"mais , saloperie de bordel de merde , qui a touché a ma machine !!!! "  
et puis... oooops...  
 

j'ai de la chance, à chaque fois que ça m'arrive, je m'en rends compte avant d'appuyer sur entrée
(en meme temps, vu que c moi qui déverrouille les comptes dans ce genre de cas, j'aurais l'air malin, tiens )

 
Ceci dit faut le voir autrement. Il est étourdi mais c'est pas un blaireau de l'informatique.
Tu serais curieux de voir combien de lusers utilisent le même mot de passe partout ... et la dangerosité de la pratique est pas moindre  

Quelle marque/modèle ?

 
 
Chez nous c'est plus simple, les mdp c'est les initiales des users.
 
(Oui, deux lettres. Oui, sur des outils qui sont parfois accessibles en ligne. )
 
Bon moi j'ai tout changé à la bourrin.  

Bon ben on n'a plus qu'à trouver l'IP, on sait qu'il y a 676 mots de passe possibles pour trouer le cul de ton infra sur le port 3389 avec Administrateur comme login

Bonne idée, genre je poste du boulot.
 
S'pas le bon port mais ça ça se trouve vite. Et non le login c'est les noms des users, QUAND MEME.

admin1234 ?

linkedin devrait aider alors

Mot de passe qu'il faut changer régulièrement pour la session windows et deux trois applis cogip ou le mot de passe est indépendant, ça fait une belle prise de tête aussi.
 
Enfin je me contente d'incrémenter un caractère du mot de passe windows à chaque changement comme ça c'est facile de le retrouver

Quand on voit le bordel que c'est dans la prod info de certaines boites, on ne s'étonne pas ensuite de trouver des fichiers de mot passe se ballader en clair dans des répertoires partagés

 
Le dernier truc en date qui m'est arrivé personnellement, j'étais à 2 doigts d'appeler le SI :
 
Un bête caps lock. Classique et le premier truc auquel on pense. Oui, sauf que là j'avais capsé lors de la création du mot de passe...sans le savoir.

Ce qui aurait été drôle, c'est que tu crées ton mdp en capslock sur linux et que tu essayes ensuite d'ouvrir ta session sur windows

Tout le monde fait pareil, tu sais ... et toujours le meme caractere ...  
 
Bref une mesure qu'un admin ne peut pas ne pas obliger les user à faire mais dont l'efficacité est tres tres faible.  
 
a moins d'obliger les gens a changer toutes les lettres du password . Je n'ai jamais vu personne oser ...

 
Trop de sécurité tue la sécurité. Je préfère mettre l'accent sur l'aspect "mnémonique" du mot de passe, exiger un mot de passe fort, sans forcément le changer tous les mois. Exemple avec le fameux mot de passe qu'on retrouve dans tous les bouquins de cursus Microsoft : "Pa$$w0rd"
 
8 caractères, majuscules / minuscules, caractères spéciaux, mélange alpha et numérique. Bon, celui-ci il est over cramé évidemment, mais ça marche aussi avec "Sauc|$$0N" ou "L@g4\/uLL|N"
 
Le leet speak est l'ami du mot de passe

Le coup du Sauc|$$0N j'y penserais pour mon prochain mot de passe

J'ai faim

Est-ce que c'est tellement performant ?
Il vaut mieux une association de deux ou trois mots, donnant un mot de passe bien plus long, non ? (tu tapes un ou deux accents dedans, pour les caractères spéciaux)
Même avec dictionnaire ça fait un paquet de combinaisons à tester, et la plupart du temps c'est pour un truc qui ne se ferait pas attaquer via un système de ce genre de toute façon.

 
+1
 
Je suis passé d'une boîte qui avait fini par opté pour un système simple : mot de passe de session qui ne nécessite pas d'être changé, mais fixé arbitrairement, mais facile à retenir (succession de syllabes prononçables aléatoires, du genre papijugiku) à une boîte où le mdp doit être changé tous les 3 mois avec min maj chiffre, résultat tout le monde incrémente.
 
A titre perso, je me suis fait un système de codage logique qui me sort des mdp du style TjtG78tR45'(D54- et que je peux retrouver en 1 minute avec un papier et un crayon (ou bloc note ) mais je suis en phase expérimentation, et j'ai fait des erreurs lors de la mise en place du coup je crois que j'ai perdu mon mdp paypal

 
Oh ben oui, c'est performant, quand il y a une dizaine de caractères avec des maj/min, caractères spéciaux, alpha/num, ça fait un paquet de combinaisons ascii possibles. Mais évidemment, la phrase longue est valable aussi, genre "cesiecleavaitdeuxansromeremplacaitsparte" ou "cequelleestbonasselasecretairedupremier". Par contre c'est plus long à taper que "L@ga\/ull|N"

Quant à moi :
- 4 premières lettres majuscules de l'outil/site en question (Windows = WIND, Youporn = YOUP )
- 1 symbole
- 5 chiffres dont les 3 premiers sont fixes et les 2 derniers correspondent à la 1ère lettre de l'outil (HFR=08, Youporn=25, etc.)
- alphabet radio en minuscule correspondant à la 1ère lettre de l'outil (eg: Facebook = francois, Wordpress = william)
- 1 chiffre que j'incrémente tous les X mois.
 
XVID$98324xavier7
 
 
 

Dans la réalité de l'entreprise et des lusers, taper le symbole | peut prendre au bas mot une demie-journée et mobiliser l'ensemble des quinquagénaires du service compta plus les stagiaires.

Sais pas, un truc qui sort des étiquettes autocollantes.
Flemme d'aller regarder, faudrait faire rouler ma chaise sur 2m pour ça
 
 
Pour les questions sécurité/incrémentation/mdp de ouf, en effet trop de sécurité améne invariablement à retrouver sous le clavier (ou directement scotché à l'écran) les divers mdp des utilisateurs.
 
M'enfin faut comprendre que retenir des mdp différents pour:  
- o/s
- VM, Citrix ou autres joyeusetés
- ERP
- Intranet
- Site du CE
- Autres connexions (sites clients/fournisseurs...)
Tout ça en plus des mdp persos, du code de CB et de la porte d'entrée, et ben pour un utilisateur lambda qui a juste envie de travailler ce n'est pas évident.

 
J'ai encore plus mieux:
Une association de 5 ou 6 mots écrits en leetspeak    
 
Non, je ne donnerai pas d'exemple  

 
Voilà quoi. Pour un utilisateur de base un mot de passe genre "J'aime la pizza au jambon" sera plus simple à taper et retenir que "p|zz4j4mb0n" et du coup plus efficace

 
Oui voilà, j'ai un système du genre

 
De toute façon, l'utilisateur de base n'arrivera jamais à se souvenir d'autre chose que "MartineR", "minou123" ou "19111986". Dans tous les autres cas, le mot de passe finira scotché sous le clavier, parce que "J'aime la pizza au jambon", c'est pas la même chose que "j'aime la pizza au jambon", et surtout que c'est long à taper. Parce que ton utilisateur de base, il tape avec deux doigts
 
La première utilisatrice un peu influente ira trouver le DSI qui, après un long entretien dans son bureau, demandera aux admin de baisser la politique de sécurité des mots de passe pour que Martine la jolie rouquine, celle qui rit quand on la... enfin Martine quoi, puisse utiliser "MartineR" comme mot de passe

Évidemment. Mais ça a déjà plus de chances de passer que la version l33t-sp34k

J'ai un client qui s'est fait trouer le cul 4 fois de suite sur son serveur (il n'était pas encore mon client, c'est à cette occasion qu'il est venu me voir), je t'assure que quand je lui ai parlé de la nécessité de configurer correctement son firewall en modifiant au passage les ports par défaut, et d'adopter une politique de mots de passe forts, il a totalement adhéré à l'idée, et que les utilisateurs ont tous un mot de passe à la l33t

Bon, ils sont 7

rsa ftw

Voila, un bout de hash d'un string composé de sel et d'une nonce et hop tu l'as ton mot de passe

 
Mais vous mettez combien de temps à saisir ce genre de mot de passe ??
 
 

Quelques secondes, je ne vois pas ce qu'il y a de compliqué...

 
le temps de taper 10 à 12 caractères    
 
Pour les trucs que tu tapes tous les jours ou presque ça n'a aucune incidence. Le seul truc un peu chiant, c'est les mots de passe que tu tapes une fois par mois, là c'est parfois un peu chaud de retrouver
 
Pour tous les accès à la con du genre forum ou autre, j'ai un mdp générique simple.

en mode un peu bourré je n'y arriverai pas !

1234 ?  

 
Excellent  

 
quand même pas mais un truc assez simple, oui. D'ailleurs je pourrait le remplacer par un truc complexe et générique, mais je sens que c'esr un coup à perdre des accès

Exemples de qualité