Je t'ai répondu. Les mots de passe sont générés, dans leur majorité, par l'utilisateur lui-même à la première connexion.

Je préfère régulièrement cliquer sur le bouton "forgotten your password?".

 
Elle a dans 100% des cas empêché la récidive, mauvais exemple.

 
Même pour les innocents ...

No one is innocent

Je faisais comme toi avant je trouve ça beaucoup moins chiant et beaucoup plus sécurisé avec un gestionnaire.

No one is innocent

 
Même pour les innocents ...

Et quelques bannières "vérifions que vous n'êtes pas un robot. Cliquez sur les passages piétons"    
 

No one is innocent

 
STP : Cite nous 1 cas (UN) d'un innocent qu'on aurait exécuté suite à un procès civil depuis la révolution.

T'as pas peur que ce soit surtout un sentiment de securite ?

Faut foutre une double authentification.

Parce que c'est tellement complexe de sécuriser "complètement", pour gratter 1% de sécu faut payer une fortune, et chaque % suivant coûte encore plus cher.
Et aussi parce qu'à force de sécuriser béton, les gens cherchent des parades, des raccourcis parce que c'est chiant de suivre les protocoles de sécu en permanence.
Ensuite, même si les failles dans un système sont trouvées, faut encore les corriger, et ça, avec des logiciels en production, c'est pas simple à faire.
 
Dans ma cogip on utilise encore des vieux PHP 5, des vieux MySql etc, parce que les applis qu'on fournit tournent sur ces trucs, et que les migrer ça prends du temps et de l'énergie, et qu'on a pleins d'autres projets qui sont tombés depuis.
Et pour M$, c'est aussi parce que leurs solutions elle viennent avec de la maintenance 7/7 24/24 qui fonctionne. J'ai jamais travaillé avec du libreoffice mais j'aimerais bien savoir comment ça se passe quand y'a un truc qui déconne vraiment.

Ben quand je change de téléphone, de pc, quand ma boite change mon pc pro, si j'utilise l'appareil de qqn d'autres, etc.
 
C'est pas tous les jours mais le moins je dépends d'app tierces le moins malheureux je suis.
 
Puis, c'est certainement con, mais psychologiquement stocker mes mots de passes dans le vault d'un tiers j'y vois une vraie fausse bonne idée.

 
Je parle pas d'accéder a des sites web.
Chez nous ça se passe par mail en tout cas.

Je crois pas, c'est dur d'analyser ses propres biais, mais sur le papier c'est vraiment compliqué de me hacker. Le plus efficace ça doit être de me tabasser jusqu'à ce que je lâche le mdp

 
 
Et surtout parce qu'à un moment il y a l'humain qui intervient dans l'équation.
Corruption, mdp foireux (ou noté sur un post-it), ouverture de mails frauduleux, etc. C'est à ma connaissance la principale source de fuite.

https://www.lemonde.fr/pixels/artic [...] 08996.html
Comment des pirates ont-ils pu accéder à ces données sensibles ?

 
Donc j'imagine bien à la base un mail  d'une jeune fille qui voulait montrer ses gros seins, il suffisait de cliquer sur le lien, et les respectables FDO ont cliqué dans la fraction de seconde.    
 
Je ne parlerai même pas des mots de passe disponibles directement dans les emails.  

D'une manière générale, le truc qui me gêne vraiment dans la securite informatique c'est que les maths derrière sont maîtrisées par environ 0.001% des soit-disant experts en securite informatique.
 
J'ai des collègues qui bossent sur des sous-systèmes hardware de chiffrement post-quantiques. Concrètement ils ont aucune vraie idée de ce qu'ils font, ils mettent les algos qu'on leur dit de mettre.

 
STP : Cite nous 1 cas (UN) d'un innocent qu'on aurait exécuté suite à un procès civil depuis la révolution.

On s'en ballec de comprendre les chiffrements derrière. C'est pas ça l'enjeu.

Tu fais comment pour communiquer un mot de passe à quelqu'un qui veux se connecter pour la première fois à ton orga s'il est pas physiquement présent (y'a des méthodes, mais elles sont pas "simples" )?

Pour ce genre d'applis c'est un mot de passe d'initialisation : à la première connexion il faut (théoriquement) le modifier. Reste à voir si c'est effectivement techniquement obligatoire, et par quel mot de passe il est remplacé.

Pour ce genre d'applis c'est un mot de passe d'initialisation : à la première connexion il faut (théoriquement) le modifier. Reste à voir si c'est effectivement techniquement obligatoire, et par quel mot de passe il est remplacé.

Ben oui mais bon, moi quand on me dit "cette app de gestion de mdp freemium d'une startup de winners est safe & secure" comment je fais pour savoir si c'est vrai ?

 
Bah à moins d'un truc vraiment bizarre avec l'AD, je vois pas.

Et si tu rajoutes à ça l'impossibilité d'exporter des données en externe, finalement même si t'arrives à voler un badge+le pc, ça va pas tellement t'aider.

C'est le topic lrem ici ?

Oui comme pour la plupart (en tout cas de ce que je connais).
Le mdp transmis n'est utilisable qu'une fois et ensuite on force le changement avec des paramètres assez élevés pour que ce soit un peu chiant.
 
Mais tiens, dans le genre rigolo, on a un logiciel RH qui date d'avant la guerre, résidu de l'ancienne RH qui avait toujours bossé avec. Ce truc ne prends pas les mdp de plus de 15 caractères.
On a eu une nouvelle utilisatrice, elle créé son compte etc, aucun problèmes, et un jour elle a voulu se connecter sur ce machin hors d'âge, elle avait créé une passphrase, de 17 caractères.
Voilà le genre de configuration "réelle" qu'on croise dans les cogips "lambda", des tas de logiciels qui bossent les uns avec les autres, mais surtout, des humains qui s'en servent, avec leurs propres failles.

Je parle pas d'accéder a des sites web.
Chez nous ça se passe par mail en tout cas.

Ben oui mais bon, moi quand on me dit "cette app de gestion de mdp freemium d'une startup de winners est safe & secure" comment je fais pour savoir si c'est vrai ?

D'une manière générale, le truc qui me gêne vraiment dans la securite informatique c'est que les maths derrière sont maîtrisées par environ 0.001% des soit-disant experts en securite informatique.
 
J'ai des collègues qui bossent sur des sous-systèmes hardware de chiffrement post-quantiques. Concrètement ils ont aucune vraie idée de ce qu'ils font, ils mettent les algos qu'on leur dit de mettre.

Le public c'est globalement géré par des guignols.
 
Y'a une raison si y'a eu aucune fuite massive de données depuis les grandes banques françaises, et que toutes les administrations ont eu des fuites : ils sont nuls.

 
Les footballeurs ne maîtrisent pas les maths derrière la mécanique newtonnienne de leurs tirs. Est-ce que ça les empêche de jouer au foot ?

Les mots de passe ça doit être du  
 
P0l1ce2025