bifidusse (actif) | Trit' a écrit :
Brillamment résumé par ce XKCD : https://www.xkcd.com/936/
De nos jours, imposer un limite maximale au nombre ou même le type de caractères d’un mot de passe est juste une aberration injustifiable et le site qui fait ça mérite de mourir. Encore pire pour les sites (comme Pôle Emploi, la CAF…) qui te filent un mot de passe imposé… composé de quelques chiffres uniquement ! Taper un mot de passe (ou plutôt une phrase de passe, comme on commence enfin à dire) de 150 caractères ou plus, issus de n’importe quel bloc Unicode, espace incluse, devrait être possible (surtout que c’est le salage qui compte, maintenant). On n’est plus à l’époque de Windows 3.x/9x/Me qui limitaient à 15 caractères seulement les mots de passe des écrans de veille.
|
Je ne sais pas comment l'auteur du dessin arrive à son calcul, mais si je prends 4 mots avec, disons, 30000 mots possibles, il y a pour moi 30000^4 possibilités (ce qui fait quand même 104 jours à 90 milliards d'essais/s - visiblement on peut faire bcp mieux depuis plusieurs années). En réalité il est peu probable qu'on utilise 30000 mots. On peut sans doute retirer plein de mots auxquels personne ne pensera jamais, tout comme le nombre total de possibilités n'est pas le nombre de tentatives réel avant de trouver (ou alors on n'a vraiment pas de bol que le bon mdp soit la dernière possibilité ). Si on se base sur 3000 mots possibles, on tombe à moins d'une heure de temps de "découverte".
Si un des mots n'est pas issu d'un dictionnaire, j'en déduis que le crackage ne peut se faire qu'en considérant non pas 4 groupes de mots mais bien 25 caractères différents (le nombre de caractères des mots du xkcd, plus avec les espaces). Même si je ne prends que 72 caractères différents (alphabet de base, majuscules, chiffres et une dizaines de spéciaux "habituels" ), ça explose littéralement le nombre de possibilités.
D'où mon interrogation : quand on devine un mdp, est-ce qu'on sait quand on s'approche de la vérité ou bien tout simplement on ne sait que ça a marché que quand on trouve ? Dans ce dernier cas modifier légèrement (hors dico) un des mots de la phrase de passe suffit à rendre celle-ci plus aléatoire.
dinozor a écrit :
Moi c'est plutôt les sites qui refusent mes mots de passe car d'après eux, pas assez compliqués. Il faut dire que je ne suis pas du style parano, si quelqu'un peut m'expliquer l'intérêt de craquer un mot de passe, a part la banque bien sur et encore a la mienne on ne le tape pas on se sert de la souris, les sites de vente en ne laissant pas les coordonnés c.b en mémoire chez eux. En 20ans,je n'ai jamais subi d'attaque.
|
C'est sûr qu'il n'y a pas d'enjeu extraordinaire à connaître ton mdp pour HFR. Sauf peut-être pour HFR. Je veux dire, j'imagine qu'un site même non-sensible n'a pas envie d'être le prochain sur la liste de ceux dont les mots de passes ont été découverts et qui depuis alimentent les bases de données de mdp.
Cela n'empêche pas d'avoir une bonne politique de mdp, ne fût-ce que pour des usages autres. Il n'y a pas que les sites auxquels on se connecte, mais aussi toute la chiée d'objets connectés, un NAS, un gestionnaire de mdp, le passe pour ton webmail...
leroimerlinbis a écrit :
pareil.
j'ai toujours eu des mots de passe simples, voir ultra simples (sans être pour autant 123456 hein)
jamais eu de problème en 20 ans.
je pars du principe que si un mot de passe est piraté, c'est qu'une base de données a été piratée ou à cause d'un keylogger ou assimilé. Donc qu'un mot de passe fasse 8 caractères ou 50, c'est pareil.
|
Si tu utilises un gestionnaire de mots de passe comme Keepass, tu peux utiliser l'obfuscation : le mdp est tapé de manière aléatoire. Le keylogger aura tous les caractères, mais pas dans le bon ordre. À mon avis mieux vaut 50 caractères dans le désordre que 8.
Pareil si la bdd a été récupérée : il sera plus long de trouver le mdp de 50 que de 8. Probable qu'il y aura assez de personnes dont le mdp aura été trouvé pour contenter le pirate avant d'arriver à ceux qui ont mis un mdp plus long.
Après, tout ça est théorique. La sécurité doit surtout être adaptée au risque encouru. |