Reprise du message précédent :

Toutes des idées que les crackers ont déjà eues et compilées (ils construisent leurs dictionnaires à partir de Wikipédia, entre autres sources)

Un autre testeur donne plus d'indications:
https://www.cygnius.net/snippets/passtest.html
 
et le mode d'emploi:

 
En gros, il faut se démerder pour avoir un maximum d'entropie.
 
D'aprsè wikipedia:

 
Donc un minimum de 80 bits d'entropie est raisonnable.

tu ne comprends vraiment pas, l'entropie nécessaire dépend du mode d'authentification et de l'algorithme utilisé.
Pour un code de carte bancaire il n'y a que 4 chiffres ? pourquoi ? parce qu'on ne peut pas faire de force brute car la carte se bloque au bout de 3 essais.
Pour hacker un mot de passe sur un service web/ssh ça ne dépendra pas du tout de la vitesse de ton cpu, mais du nombre de pc zombie qui pourront faire des essais régulièrement vers le serveur (sachant qu'ils ne peuvent faire que quelques essais avant de se faire bannir temporairement avec un serveur bien configuré).
Pour une attaque locale sur un trousseau de clés il peut y avoir facilement un rapport 1 millions entre un hashing md5 salté bidon et du sh512 +PBKDF2 avec un très grand nombre d'itérations, ce qui diminue de 20bits l'entropie nécessaire pour avoir la même sécurité. Seulement dans ce dernier cas la puissance CPU/GPU compte.

Effectivement, la citation que j'ai donnée est pour DES 56 bits et MD5 est probablement moins sûr.

il n'est toujours pas arrivé, s'il n'est pas la d'ici noel, je t'en tiendrais pour responsable

Et surtout à partir de dumps de MDP précédents.

Voire plus si t'arrives à empêcher l'utilisation de GPU/ASIC (scrypt-style)
 

Et la capacité à générer des candidats crédibles. Il y a 1 an ou 2, un mec avait sorti un article "0-knowledge" sur le crackage d'un dump avec des outils existants, c'était intéressant et informatif. Je trouve pu le lien par contre

et donc vous faites comment, vous, pour vos MDP critiques (ie celui qui ouvre votre password manager par ex) ?

C'est vrai, environ 60%.
 
Après on ajoute la Bible, Wikipédia, 15.000 bouquins issus de gutenberg.org, des tweets, et autres, et on fait grimper ce pourcentage mais je n'arrive pas à retrouver combien.
 
Un peu d'instruction pour muchacho:  
http://arstechnica.com/security/20 [...] passwords/
http://arstechnica.com/security/20 [...] -cracking/
http://arstechnica.com/security/20 [...] -cracking/
 
(ça nous évitera qu'il nous sorte ces articles dans plusieurs mois )

J'ai pas de password manager. Mon mot de passe standard est construit sur 15 caractères dont 8 sont aléatoires (et que je connais par coeur). Le reste dépend d'autres paramètres, et je construis des variations pour les sites de merde qui me laissent pas encoder mon mot de passe standard.

 
fallait l'acheter depuis l’entrepôt européen http://eud.dx.com/product/mini-pig [...] #.VJcuX8AA

Tu utilises une des méthodes décrites, tu t'assures que ça fait au moins 80 bits d'entropie, et ensuite tu doubles --> 160 bits. Comme le password manager encrypte sa base avec un algo solide, t'es tranquille.

Ouais J'avais cette approche là aussi. Mais en fait si un type trouve un de tes passwords, il aura vite fait de comprendre comment transposer à d'autre sites

 
j'ai eu la meme technique longtemps (c'était mon mdp free de l'époque, je m'en servais pour faire des mdp de 10 chars dont 7 étaient cette fameuse séquence ).
 
mais vu le nombre de site qui ont leaké leur mdp, ça m'a plus paru safe (parce que si t'as 2-3 de mes mdp, c'était pas compliqué de reconstruire la partie générée en fonction du site)

Bon, et sur HFR par exemple, votre mdp est balèze ? Vu les standards de crackage, le miens est vachement faible en fait. J'espère que Joce utilise bcrypt ou un truc du genre et pas MD5 ou SHA-1.

Bon ok, je n'étais pas au courant de ces développements effectivement.

Le deuxième lien est assez convaincant. En clair, on peut toujours crypter une passphrase d'une manière ou d'une autre (genre écrire chaque mot de la passphrase dans une langue différente, et si possible pas des langues avec des dictionnaires facilement trouvables), mais ça devient de moins en moins pratique et ça ne durera qu'un temps.

Prems  
 
Interview a Paname, pour le lulz

2ieme.
Bonjour.

Et le flouze  €€€€

et sinon prems@work

 
Faux, c'était moi.

 
Bonne chance quand même

et toi , tu en es où ?

http://fr.wikipedia.org/wiki/M%C3% [...] ambouillet
 
La tradition de rambouillet : la consanguinété raisonné spéciale dédicace à boutin

 
Période de fêtes, difficile de mobiliser, attente de news début/mi janvier. Pour l'instant, des gens intéressés mais trop petits tickets, donc on est qu'à 30% de la somme nécessaire. Bref, stand by d'ici là

tu as des news de f***en ?

 
Oui, mais pas encore de paiement

Bon ben faut croire que je n'intéresse pas Boursorama
 
Je me demande si lors de la demande d'ouverture du compte j'avais rajouté un 0 derrière mon salaire mon dossier aurait été traité plus rapidement

ils sont sympa materiel.net, j'avais complètement zappé que j'avais droit à un bon d'achat de 20€ en commandant ce WE et ils me l'ont quand même donné sans l'avoir réclamé.

Perso fortunéo ça avait pris 15j (comme annoncé)
sauf qu'au bout de 15j ils m'ont demandé un document qui était précisé comme facultatif dans l'interface d'upload...
 
le pire c'est que j'avais déjà le document de scanné, mais du coup je l'ai pas envoyé en 1ère instance...

Après demain ça fera 3 semaines, alors qu'ils annoncent "sous 10 jours"

boarf, moi ça fait depuis le 8 novembre que j'ai demandé la clôture de 3 comptes à La Banque Postale.
 
Et y'a pas moyen de leur téléphoner : ce matin, j'ai attendu 8 minutes au téléphone avec leur musique de merde pour qu'on me dise finalement que tous les conseillers étaient occupés.

 
Je me tâte
 
La boîte fait 8x moins de CA que ma boîte actuelle, et chez eux le web fait 10-15%, contre 50% chez nous
 
Donc 40x moins sur le web que nous en gros.
 
Ca me cantonnerait toujours au rôle IT, ce qui va pas forcément dans le sens que je voudrais (mais dans une petite boîte ca a moins de sens, les frontières sont plus floues).
Aussi j'ai eu confirmation que le pool ecom serait séparé de l'IT, ce qui promet du merdier interne
 
Bref, entretien avec ma future boss et le contact du fonds d'investissement cet aprem, on verra. Au dire du chasseur, elle panne que dalle a l'IT, ça me changera pas
 
J'y vais a la fraîche, décontracté du gland, je vais demander une somme exorbitante, on verra ca me fera toujours un entraînement
 
Sinon j'avais oublié Paris, c'est quand même le bordel (les gens qui s'insultent a 10:00 du mat dans le métro parce qu'ils peuvent pas sortir, l'odeur de pisse un peu partout, etc...

 
Putain Paris..... La ville où je pète un plomb en moins d'une journée et où je dois prendre un bain tous les jours.

Pour un wiki interne (mais accessible externe) dans un petite boite avec gestion des users, le plus simple possible à config, vous conseillez quoi?

DokuWiki ici

edit : compatible LDAP, gestion des permissions simples (dont les groupes etc.)

 
Ouais mais qu'une banque traîne les pieds pour fermer un compte, je peux "comprendre"... mais pour l'ouverture... ils ne veulent pas de nouveaux clients ?

 
C'est quoi la dernière version stable compatible avec le plugin groupmanagement ??
 
Car je viens de l'installer, et j'ai bien installé le plugin groupmanagement et pas moyen d'accéder à la page de ce plugin qui n'apparait pas dans le menu admin... Rien.

dokuwiki est très bien.  
Sinon pour une TPE il y a aussi Confluence à 10$ (quasi donné quoi) pour 10 utilisateurs ou moins

 
Je suis en train d'essayer dokuwiki, mais je pense que j'ai pris une version trop récente...
 
Sinon pour confluence, ca a l'air très intéressant mais on a déjá une solution pour la gestion des projets. Je recherche uniquement une solution pour l'update de process internes à la boite.

Ta pas besoin d'un plugin pour gérer les permissions et les groupes
 
Dans l'interface d'admin, clique sur : « Gestion de la liste des contrôles d'accès (ACL) »
 
Et là tu as tout !