Reprise du message précédent :

Dommage, il manque le mot de passe écrit en toute lettre sur le post it  

Il est scotché sous le clavier

 
Si ça leur permet d'éviter d'appeler l'IT toutes les deux minutes pour des questions à la con ou des reset password, je leur fait livrer personnelement un camion de POST-IT  

Ca me rappelle une boite où on avait échangé les claviers entre 3 users... Y'en a qu'un sur les 3 qui pouvait se reconnecter à sa session :s

800 je suis là

page 800 IWH

 
Oui je compte l'installer sur ma prochaine machine autant partir sur une base clean.

Les effets pervers de l excès de sécurité : à force de changer de mot de passe et d imposer des contraintes de maj/min/num/car spéciaux, les gens notent parce qu ils sont infoutus de de souvenir d un truc compliqué qui change tous les mois.

Penses tu donc... Leur mot de passe est le même que le numéro noté en dessous du code barre de leur badge... Les mecs avaient même pas fait le rapprochement...

 
Ouais enfin faire de la sécurité c'est bien, mais faire de l'awareness c'est mieux.
Apprendre à ses users comment choisir un mot de passe fort, pas compliqué à se souvenir, et différent pour chaque appli, c'est faisable.
 
Genre phrase perso + numéro + initiale de l'application et rulez.
Tu changes le pattern un peu pour rigoler, mais ça fonctionne toujours.

Yep mais certaines applis vont un poil trop loin.
Typiquement, l'appli pour les "entretiens annuels" :

• Validité du mot de passe : 6 mois .... ( pour un truc utilisé une fois par an ... )
• Minimum 12 caractères  ( dont majuscules, minuscules, chiffres et mini 4 spéciaux )
• Rien de commun avec les 3 derniers mots de passe ( typiquement je garde un numéro dans mes mots de passe normalement ( comme tu le conseilles ), plus possible ici )

Les données personnelles c'est confidentiel  

Farpaitement, donc je vais faire reset le mot de passe à chaque fois .

S'ils arrivent à savoir que tu tente l'entourloupe c'est qu'ils stockent le mot de passe en clair dans les bases, ou au moins suffisamment d'informations pour réduire l'espace de recherche de quelque chose comme 64^12 à quelque chose comme 64^4.
Donc quitte à avoir une sécurité de merde autant ne pas prendre l'user pour un con...

Oh bordel oui ce que ça me soule quand ils forcent à changer le mdp tous les 6 mois sans pouvoir reprendre l'ancien...
 
Dans l'autre sens, y'a aussi les sites pas foutus de prendre des mdp de plus de 8 caractères.
 
 
Faudrait un standard pour les mdp.
 
 

 
 
Il suffit pas de garder le "hash" (je vulgarise hein ) de l'ancien et le comparer au "hash" du nouveau? Auquel cas c'est pas plus gênant niveau sécurité, hormis le fait que s'ils se prennent une faille ben les hackers auront plusieurs de tes mdps potentiellement valides sur d'autres sites.

Le principe du hash c'est que la moindre différence sur les données d'entrée donne un hash complétement différent. Donc non le hash te permet juste de savoir si un mot est égal à celui ou ceux en base (dans le cas ou tu souhaite interdire d'utiliser les x précédents mots de passe tu peut stocker les hash des anciens mot de passe)
 
Exemple en MD5:

Ah non d'accord j'avais mal compris, vous parliez des sites qui non seulement interdisent le même mdp, mais en plus interdisent un nouveau mot de passe trop "proche" de l'ancien c'est ça?
 
Là ouep forcément...

Dans ma COGIP c'est au moins 8 chars, avec minuscules, majuscules et chiffres obligatoires... et on doit changer tous les 3 ou 4 mois je dirais...
Même moi qui me considère plutôt au fait sur les questions de sécurité, j'ai fini par suffixer un mot de passe générique par un digit que j'incrémente % 10 à chaque fois...
Comme quoi c'est contre-productif...
 

Bonne idée, réduisons les temps de brute force en réduisant les ensembles de mdp possibles    
 

D'où le redface.
 
(Dans ma cogip les mdp c'est 2 lettres et c'est les initiales. Tu peux même pas les changer à cause du domaine de travail, je ne sais plus exactement pourquoi mais t'as pas les droits sur l'os, et personne est habilité à les changer on dirait, du coup faut faire comme moi : format/réinstall. )

 
Oui et non.
Quand tu changes de mdp, tu donnes l'ancien. Il compare le nouveau et l'ancien pour vérifier qu'ils sont effectivement suffisament différents (si c'est dans la politique). That's all folks.
Ensuite, t'as un hash history pour comparer qu'il n'a pas déjà été utilisé as-is.

 
Perso j'ai déjà vu JanvierFévrier2014 comme mot de passe.
Donc bon ouais, niveau sécurité t'as vite fait de comprendre le pattern  

Dans l'absolu, c'est plutôt robuste comme mot de passe
 
Le problème c'est juste qu'une fois la logique connue, le changement de passe ne sert à rien. Si un mec a volé le pass et a compris la combine, il garde son accès frauduleux en devinant le mdp d'après
 
On peut voir ses règles de mdp du domaine depuis un poste client ? Notamment le fréquence de changement ?

 
Dans l'absolu, mot du dictionnaire = à chier.
En bruteforce, c'est pété en quelques secondes.
 

 
net accounts
 
ou pour la politique du domaine :
 
net accounts /domain (ou /do pour les intimes )

 
 
 
 
Oui enfin, généralement, le bruteforce est empêché par un nombre d'essai limité, quand même.
 
 

 
Ouais enfin faut pas être con au point de bruteforcer en live sur le domaine.
Tu chopes un extract de l'AD sur le contrôleur de domaine et rulez. Tu pourras bruteforcer tes hash comme un goret en prenant le temps que tu veux.
 
Après oui, ça dépend de qui tu souhaites te protéger.

Ça m'étonnerait que les rainbow table ou les progs de brute force s'amusent à essayer des compositions de mots.
Un seul mot de dico, oui bien sûr c'est pété en quelques secondes...
 
 
Merci  

Et ça ne dit pas, mais il faut min/maj/chiffres
sysadmin nazi  

 
Et bah ça va t'étonner,mais y'a même des softs qui ont des règles bien plus poussées (combinaisons l33t sp34k, phrases mnémotechniques, combinaisons bien plus poussées, fingerprinting en fonction des pattern rencontrés).
  Testé et approuvé.

 
Un historique de 24 passw ... j'espère que vous êtes pas beaucoup dans la boite  

 
Je viens de le mettre en place ici  

Le contenu de ce message a été effacé par son auteur

 
et tu penses quoi du SSO ?
 
j'ai un débat là dessus avec mes collègues en ce moment

Ah mais bien sûr que tu vas trouver des softs avec des règles très poussées qui le permettront.
Mais si tu ne sais pas à quoi ressemblent les passes et que t'as pas 140 ans devant toi pour faire tourner ta moulinette, tu tentes un mot de dictionnaire + quelques chiffres derrière et c'est tout

 
Sans contexte, difficile de répondre quand même.
 

 
D'expérience (et d'ailleurs dans ce cas précis c'est comme ça que je l'avais pété), c'est très rapide et ça fonctionne quasi tout le temps.
Et j'avais pas 140 ans devant moi ni un supercalculateur
Faut certes de bons outils, mais faut surtout bien les maitriser.

 
par exemple mot de passe windows et client de messagerie synchronisés

 
T'y vois quoi comme inconvénient ?
Ca peut commencer à être discutable quand tu peux avoir accès à des données RH bien sensibles ou que tes employés ont l'habitude de partir en pause clope sans verrouiller leur session.

J'ai pas dit que j'y voyais un inconvénient, je demande juste vos avis
 
sinon "partir en pause clope sans verrouiller leur session"   évidemment qu'ils le font
 
et on peut remplacer pause clope par ce qu'on veut, ça marche aussi
 
par contre ils pensent bien à verrouiller la session et à se barrer quand tu dois intervenir à distance  

Faut lancer le jeu des croissants dans ce cas.
La règle est simple : si tu vois un ordi unlocké, tu envoies un mail à tout le service/toute la boite en expliquant que tu payes les croissants le lendemain (depuis l'ordi de la victime bien entendu).
En général, le problème se règle tout seul en une semaine.        
 
Sinon dans l'absolu le SSO c'est pas mal. Ca évite de motiver les lusers à choisir un mot de passe de merde parce que "il faut le taper 15x/jour".
En général, pas de SSO et des mots de passes compliqués ça fait toujours mal  

Après la session unlocké ca dépend un peu avec qui tu travailles...  
Ici personne lock sa session si il s'absente pour 5 minutes et les gens sont assez grand que pour pas faire les gamins avec leur poste.  

SSO avec quoi ? une carte à puce, empreinte digit, mot de passe, etc ?

Une bonne IA qui reconnait le gars grâce à sa tronche