Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
327 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Réflexion mot de passe, ou comment faire une passphrase solide

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Réflexion mot de passe, ou comment faire une passphrase solide

n°3305845
bifidusse
(actif)
Posté le 14-04-2018 à 17:19:45  profilanswer
 

Hello  :hello:  
 
Après avoir lu qq articles sur la question des mots de passe, j'en ai retenu qu'un bon mdp est :
- long
- aléatoire
 
Tout ce qui possède une structure est vulnérable (l33t, ensemble de mots du dictionnaire, citations, combinaisons de choses faciles à déterminer comme l'année de naissance et le nom du chien etc).
 
J'en avais retenu qu'il restait deux options (en mots de passe, je ne parle pas d'autres moyens) :
-> utiliser comme mdp une phrase dénuée de sens : je mange des chevals jaunes en chiant des étagères
-> utiliser une phrase dont on ne reprend que les premières lettres de chaque mot. Mais il faut des phrases hachement longues pour avoir un mdp correspondant qui ne fasse pas que 6 ou 8 caractères. Ma super phrase ci-dessus ne donne jamais que jmdcjecdé.  
 
Ajoutez à ça que bcp de services exigent (voire refusent !) les caractères spéciaux, les majuscules, les chiffres... et on n'est pas couché.
 
Je me demandais donc dans quelle mesure une solution ne serait pas d'utiliser une phrase longue avec des substitutions persos.
 
Par ex : je mange des chevals jaunes en Çhiant des étagères
 
Autant je comprends que la phrase sans substitution est trouvable (ensemble de 9 mots "dictionnaire" - même si chevals ne devrait pas se trouver dans un dico  :D ), autant celle avec le "Ç" ?  
 
Autrement dit, quand un algorithme cherche un mot de passe, sait-il lors de ses essais que "je mange des chevals jaunes en chiant des étagères" est très proche de "je mange des chevals jaunes en Çhiant des étagères" (auquel cas il ne lui reste plus qu'à substituer chaque lettre pour trouver le bon mdp) ?
 
Ou bien "je mange des chevals jaunes en chiant des étagères" est tout aussi différent de "je mange des chevals jaunes en Çhiant des étagères" que tout autre mot de passe d'autant de caractères ? Et que donc le "Ç" suffit à l'obliger à substituer tous les caractères avec tous les caractères existant dans ce bas monde.
 
Oui, je sais, j'ai des interrogations passionnantes  :lol:  
 
Merci :jap:

mood
Publicité
Posté le 14-04-2018 à 17:19:45  profilanswer
 

n°3305849
nnwldx
Posté le 14-04-2018 à 20:50:51  profilanswer
 

Le bon mot de passe n'est pas aléatoire, le bon mot passe a une complexité suffisante et tu t'en souviens.
Ca sert à rien d'avoir un mot de passe trop compliqué dont tu ne te souviendras jamais.
 
Le mot de passe :"je mange des chevals jaunes en chiant des étagères" fait 214 bit.  
Il n'est pas prêt d'être cracké.
 
"je mange des chevals jaunes en Çhiant des étagères" fait 221 bit
Il sera encore plus dur à cracker.

n°3305851
bifidusse
(actif)
Posté le 14-04-2018 à 21:57:10  profilanswer
 

nnwldx a écrit :

Le bon mot de passe n'est pas aléatoire, le bon mot passe a une complexité suffisante et tu t'en souviens.
Ca sert à rien d'avoir un mot de passe trop compliqué dont tu ne te souviendras jamais.
 
Le mot de passe :"je mange des chevals jaunes en chiant des étagères" fait 214 bit.  
Il n'est pas prêt d'être cracké.
 
"je mange des chevals jaunes en Çhiant des étagères" fait 221 bit
Il sera encore plus dur à cracker.


 
D'un point de vue purement brute force l'aléatoire a du sens, mais je suis d'accord sur le fait qu'il vaut mieux un mot de passe ET complexe ET que tu peux retenir.
 
Les bits de complexité par contre ne tiennent pas compte - tu m'arrêtes si je dis des conneries - de la facilité de craquage par structure/dico. En tout cas celui de Keepass n'en tient pas compte.

n°3305854
Z_cool
Oups !
Posté le 14-04-2018 à 22:43:37  profilanswer
 

perso, j'utilise des generateur de mot de passe, au debut Keepass. mais devant la lourdeur pour l'avoir sur ios, je suis passé a LastPass


---------------
On a deux vies, et la deuxième commence quand on se rend compte qu’on n’en a qu’une. ( Confucius )
n°3305855
nnwldx
Posté le 14-04-2018 à 22:46:05  profilanswer
 

Tu peux avoir un mot de passe genre  1111111111111111... qui fait beaucoup de bit et qui sera facilement crackable.
Il n'y a pas d'utilité à louer des serveurs super puissants pour essayer de cracker ton mot de passe.
Ce n'est pas rentable, il est beaucoup plus intéressant d'utiliser du phishing pour accéder au poste, mettre un keylogger ou voir les mots de passe enregistrés dans le navigateur.
Je pense que très peu de sites accepteront des mots de passe si longs.
 
 

n°3305857
Trit'
Posté le 15-04-2018 à 00:57:37  profilanswer
 

nnwldx a écrit :

Le bon mot de passe n'est pas aléatoire, le bon mot passe a une complexité suffisante et tu t'en souviens.
Ca sert à rien d'avoir un mot de passe trop compliqué dont tu ne te souviendras jamais.

 

Le mot de passe :"je mange des chevals jaunes en chiant des étagères" fait 214 bit.
Il n'est pas prêt d'être cracké.

 

"je mange des chevals jaunes en Çhiant des étagères" fait 221 bit
Il sera encore plus dur à cracker.


Brillamment résumé par ce XKCD : https://www.xkcd.com/936/

 
nnwldx a écrit :

Tu peux avoir un mot de passe genre  1111111111111111... qui fait beaucoup de bit et qui sera facilement crackable.
Il n'y a pas d'utilité à louer des serveurs super puissants pour essayer de cracker ton mot de passe.
Ce n'est pas rentable, il est beaucoup plus intéressant d'utiliser du phishing pour accéder au poste, mettre un keylogger ou voir les mots de passe enregistrés dans le navigateur.
Je pense que très peu de sites accepteront des mots de passe si longs.


De nos jours, imposer un limite maximale au nombre ou même le type de caractères d’un mot de passe est juste une aberration injustifiable et le site qui fait ça mérite de mourir. Encore pire pour les sites (comme Pôle Emploi, la CAF…) qui te filent un mot de passe imposé… composé de quelques chiffres uniquement ! :fou: Taper un mot de passe (ou plutôt une phrase de passe, comme on commence enfin à dire) de 150 caractères ou plus, issus de n’importe quel bloc Unicode, espace incluse, devrait être possible (surtout que c’est le salage qui compte, maintenant). On n’est plus à l’époque de Windows 3.x/9x/Me qui limitaient à 15 caractères seulement les mots de passe des écrans de veille.

Message cité 3 fois
Message édité par Trit' le 15-04-2018 à 00:58:20
n°3305899
Z_cool
Oups !
Posté le 15-04-2018 à 16:00:11  profilanswer
 

Trit' a écrit :


Brillamment résumé par ce XKCD : https://www.xkcd.com/936/
 


Trit' a écrit :


De nos jours, imposer un limite maximale au nombre ou même le type de caractères d’un mot de passe est juste une aberration injustifiable et le site qui fait ça mérite de mourir. Encore pire pour les sites (comme Pôle Emploi, la CAF…) qui te filent un mot de passe imposé… composé de quelques chiffres uniquement ! :fou: Taper un mot de passe (ou plutôt une phrase de passe, comme on commence enfin à dire) de 150 caractères ou plus, issus de n’importe quel bloc Unicode, espace incluse, devrait être possible (surtout que c’est le salage qui compte, maintenant). On n’est plus à l’époque de Windows 3.x/9x/Me qui limitaient à 15 caractères seulement les mots de passe des écrans de veille.


un peut comme les code de carte bleu: 4 chiffres :/


---------------
On a deux vies, et la deuxième commence quand on se rend compte qu’on n’en a qu’une. ( Confucius )
n°3305901
dinozor
viva bertaga
Posté le 15-04-2018 à 17:33:29  profilanswer
 

Moi c'est plutôt les sites qui refusent mes mots de passe car d'après eux, pas assez compliqués. Il faut dire que je ne suis pas du style parano, si quelqu'un peut m'expliquer l'intérêt de craquer un mot de passe, a part la banque bien sur et encore a la mienne on ne le tape pas on se sert de la souris, les sites de vente en ne laissant pas les coordonnés c.b en mémoire chez eux. En 20ans,je n'ai jamais subi d'attaque.

n°3305902
leroimerli​nbis
Posté le 15-04-2018 à 17:39:29  profilanswer
 

dinozor a écrit :

Moi c'est plutôt les sites qui refusent mes mots de passe car d'après eux, pas assez compliqués. Il faut dire que je ne suis pas du style parano, si quelqu'un peut m'expliquer l'intérêt de craquer un mot de passe, a part la banque bien sur et encore a la mienne on ne le tape pas on se sert de la souris, les sites de vente en ne laissant pas les coordonnés c.b en mémoire chez eux. En 20ans,je n'ai jamais subi d'attaque.


 
pareil.
j'ai toujours eu des mots de passe simples, voir ultra simples (sans être pour autant 123456 hein)
jamais eu de problème en 20 ans.
je pars du principe que si un mot de passe est piraté, c'est qu'une base de données a été piratée ou à cause d'un keylogger ou assimilé. Donc qu'un mot de passe fasse 8 caractères ou 50, c'est pareil.

Message cité 2 fois
Message édité par leroimerlinbis le 15-04-2018 à 17:40:30
n°3305949
nex84
Dura lex, sed lex
Posté le 16-04-2018 à 10:11:39  profilanswer
 

leroimerlinbis a écrit :

 

pareil.
j'ai toujours eu des mots de passe simples, voir ultra simples (sans être pour autant 123456 hein)
jamais eu de problème en 20 ans.
je pars du principe que si un mot de passe est piraté, c'est qu'une base de données a été piratée ou à cause d'un keylogger ou assimilé. Donc qu'un mot de passe fasse 8 caractères ou 50, c'est pareil.


Ou que quelqu'un veut un accès à un de tes comptes (mail, fb, etc ...).
C'est peut-être un risque limité pour certains comme toi, mais c'est risqué.
Le plus dangereux étant le mail car c'est le moyen le plus utilisé pour la double authentification et la récupération de mot de passe perdu.

 

Les mots de passe simples sont les plus faciles à trouver via brute force ou dictionnaire.

Message cité 1 fois
Message édité par nex84 le 16-04-2018 à 10:12:04

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Quand on ne sait pas, on ne fait pas ou on ne se plaint pas !
mood
Publicité
Posté le 16-04-2018 à 10:11:39  profilanswer
 

n°3305959
bifidusse
(actif)
Posté le 16-04-2018 à 10:55:26  profilanswer
 

Trit' a écrit :


Brillamment résumé par ce XKCD : https://www.xkcd.com/936/
 
 
De nos jours, imposer un limite maximale au nombre ou même le type de caractères d’un mot de passe est juste une aberration injustifiable et le site qui fait ça mérite de mourir. Encore pire pour les sites (comme Pôle Emploi, la CAF…) qui te filent un mot de passe imposé… composé de quelques chiffres uniquement ! :fou: Taper un mot de passe (ou plutôt une phrase de passe, comme on commence enfin à dire) de 150 caractères ou plus, issus de n’importe quel bloc Unicode, espace incluse, devrait être possible (surtout que c’est le salage qui compte, maintenant). On n’est plus à l’époque de Windows 3.x/9x/Me qui limitaient à 15 caractères seulement les mots de passe des écrans de veille.


 
Je ne sais pas comment l'auteur du dessin arrive à son calcul, mais si je prends 4 mots avec, disons, 30000 mots possibles, il y a pour moi 30000^4 possibilités (ce qui fait quand même 104 jours à 90 milliards d'essais/s - visiblement on peut faire bcp mieux depuis plusieurs années). En réalité il est peu probable qu'on utilise 30000 mots. On peut sans doute retirer plein de mots auxquels personne ne pensera jamais, tout comme le nombre total de possibilités n'est pas le nombre de tentatives réel avant de trouver (ou alors on n'a vraiment pas de bol que le bon mdp soit la dernière possibilité :P). Si on se base sur 3000 mots possibles, on tombe à moins d'une heure de temps de "découverte".
 
Si un des mots n'est pas issu d'un dictionnaire, j'en déduis que le crackage ne peut se faire qu'en considérant non pas 4 groupes de mots mais bien 25 caractères différents (le nombre de caractères des mots du xkcd, plus avec les espaces). Même si je ne prends que 72 caractères différents (alphabet de base, majuscules, chiffres et une dizaines de spéciaux "habituels" ), ça explose littéralement le nombre de possibilités.
 
D'où mon interrogation : quand on devine un mdp, est-ce qu'on sait quand on s'approche de la vérité ou bien tout simplement on ne sait que ça a marché que quand on trouve ? Dans ce dernier cas modifier légèrement (hors dico) un des mots de la phrase de passe suffit à rendre celle-ci plus aléatoire.
 

dinozor a écrit :

Moi c'est plutôt les sites qui refusent mes mots de passe car d'après eux, pas assez compliqués. Il faut dire que je ne suis pas du style parano, si quelqu'un peut m'expliquer l'intérêt de craquer un mot de passe, a part la banque bien sur et encore a la mienne on ne le tape pas on se sert de la souris, les sites de vente en ne laissant pas les coordonnés c.b en mémoire chez eux. En 20ans,je n'ai jamais subi d'attaque.


 
C'est sûr qu'il n'y a pas d'enjeu extraordinaire à connaître ton mdp pour HFR. Sauf peut-être pour HFR. Je veux dire, j'imagine qu'un site même non-sensible n'a pas envie d'être le prochain sur la liste de ceux dont les mots de passes ont été découverts et qui depuis alimentent les bases de données de mdp.
 
Cela n'empêche pas d'avoir une bonne politique de mdp, ne fût-ce que pour des usages autres. Il n'y a pas que les sites auxquels on se connecte, mais aussi toute la chiée d'objets connectés, un NAS, un gestionnaire de mdp, le passe pour ton webmail...
 

leroimerlinbis a écrit :


 
pareil.
j'ai toujours eu des mots de passe simples, voir ultra simples (sans être pour autant 123456 hein)
jamais eu de problème en 20 ans.
je pars du principe que si un mot de passe est piraté, c'est qu'une base de données a été piratée ou à cause d'un keylogger ou assimilé. Donc qu'un mot de passe fasse 8 caractères ou 50, c'est pareil.


 
Si tu utilises un gestionnaire de mots de passe comme Keepass, tu peux utiliser l'obfuscation : le mdp est tapé de manière aléatoire. Le keylogger aura tous les caractères, mais pas dans le bon ordre. À mon avis mieux vaut 50 caractères dans le désordre que 8.
 
Pareil si la bdd a été récupérée : il sera plus long de trouver le mdp de 50 que de 8. Probable qu'il y aura assez de personnes dont le mdp aura été trouvé pour contenter le pirate avant d'arriver à ceux qui ont mis un mdp plus long.
 
Après, tout ça est théorique. La sécurité doit surtout être adaptée au risque encouru.

n°3306104
Kerri
Posté le 17-04-2018 à 14:29:07  profilanswer
 

Z_cool a écrit :


un peut comme les code de carte bleu: 4 chiffres :/


Oui, enfin la carte étant bloquée après 3 codes faux, le risque reste limité...


---------------
Liste de téléphones compatibles 4g :) Comparatif débit 3G+ vs 4G
n°3306114
nnwldx
Posté le 17-04-2018 à 19:13:47  profilanswer
 

Ca sert à rien de récupérer les bdd et de cracker les mots de passe.
Ceux qui font ça le fond pour s'amuser ou pour attaquer une cible bien définie.
La plus part du temps, les personnes malveillantes cherchent plus à contourner ces mots de passe avec d'autres méthodes.
Car cela est beaucoup plus rentable et prend moins de temps.
il n'y a pas de bonne politique de mots de passe, car cela demande des mots de passe longs avec des caractères spéciaux, chiffres, majuscule.
Quand tu fais trop compliqué, les utilisateurs mettent un post-it avec le mot de passe.
 

n°3306124
nex84
Dura lex, sed lex
Posté le 18-04-2018 à 08:11:17  profilanswer
 

C'est pas faux.
Ce qui est intéressant, ce sont les données à récuperer. Pas le mot de passe d'accès.
Et dans le monde numérique actuel, il y a beaucoup d'autres moyens plus simples que s'emmerder a péter un mot de passe (social engineering par exemeple).


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Quand on ne sait pas, on ne fait pas ou on ne se plaint pas !
n°3306560
nerosso
Posté le 24-04-2018 à 14:16:36  profilanswer
 

Z_cool a écrit :

perso, j'utilise des generateur de mot de passe, au debut Keepass. mais devant la lourdeur pour l'avoir sur ios, je suis passé a LastPass


Sur iOS il n’y a que KyPass de potable et encore avec quelques bugs, un design dépassé, et moyennant finance (7 ou 8€). Passé ces petits défauts, son ergonomie est bonne: extension Safari, recherche rapide d’entrée, bon générateur.

n°3310978
InfoYANN
Posté le 30-05-2018 à 11:31:54  profilanswer
 

Sinon, il y a Bitwarden sur tous les OS et smartphones ;)
A installer sur sa propre machine par contre, je ne suis pas pour confier ces données à site.
 
Perso il est installé via Docker sur un serveur Synology.


---------------
« A l’origine de toute erreur attribuée à l’ordinateur, vous trouverez au moins deux erreurs humaines. Dont celle consistant à attribuer l’erreur à l’ordinateur. »
n°3310981
yellowston​e2
Posté le 30-05-2018 à 11:59:34  profilanswer
 

nex84 a écrit :

Les mots de passe simples sont les plus faciles à trouver via brute force ou dictionnaire.


 

Trit' a écrit :

De nos jours, imposer un limite maximale au nombre ou même le type de caractères d’un mot de passe est juste une aberration injustifiable et le site qui fait ça mérite de mourir. Encore pire pour les sites (comme Pôle Emploi, la CAF…) qui te filent un mot de passe imposé… composé de quelques chiffres uniquement ! :fou:


En même temps, n'importe quel site digne de ce nom devrait avoir un nombre limité d'essai (genre 3-4) avant de voir le compte suspendu temporairement. Ainsi, même un mot de passe de 6 lettres tiendrait facilement.
C'est cela l'aberration, que ce ne soit pas le cas et que leurs utilisateurs soient alors obligés de faire des mots de passe à rallonge pour pallier.
 
 [:cosmoschtroumpf]
Ah oui, les mots de passe imposés...ou parfois les identifiants. Par exemple pour free mobile, je dois retenir un identifiant à la con qui ne signifie absolument rien pour moi. Mais pourquoi ne pas simplement prendre le numéro de téléphone mobile ?   :??:  
 

Z_cool a écrit :

un peut comme les code de carte bleu: 4 chiffres :/

Ben encore les 4 chiffres...
Mais le pire je trouve, c'est le fait que tout ce qui soit nécessaire pour effectuer un paiement en ligne (date expiration, numéro de carte et le cryptogramme), soit sur la carte bancaire.
Du coup, que tu la perdes ou qu'on te la vole (même pas forcément besoin d'ailleurs, suffit de trouver un moyen pour la prendre en photo), alors n'importe qui peut faire des achats.
 
J'ai par exemple payé 450 euros pour un billet d'avion il y a deux semaines. Rien, pas de demande de confirmation reçu sur mon smartphone, pas besoin de code secret. Et pour le "voleur", même pas besoin d'une quelconque compétence technique.  
Ce serait tellement simple un second code secret pour les achats en ligne. Ou encore une validation envoyée sur le téléphone du propriétaire de la CB. Mais pour une raison que j'ignore, ça n'a pas été mis en place d'origine.
 
 [:double deuce:2]

Message cité 1 fois
Message édité par yellowstone2 le 30-05-2018 à 12:17:19
n°3310986
Trit'
Posté le 30-05-2018 à 12:25:05  profilanswer
 

yellowstone2 a écrit :

Mais le pire je trouve, c'est le fait que tout ce qui soit nécessaire pour effectuer un paiement en ligne (date expiration, numéro de carte et le cryptogramme), soit sur la carte bancaire.
Du coup, que tu la perdes ou qu'on te la vole (même pas forcément besoin d'ailleurs, suffit de trouver un moyen pour la prendre en photo), alors n'importe qui peut faire des achats.
 
J'ai par exemple payé 450 euros pour un billet d'avion il y a deux semaines. Rien, pas de demande de confirmation reçu sur mon smartphone, pas besoin de code secret. Et pour le "voleur", même pas besoin d'une quelconque compétence technique.


Alors, ça, ça dépend des banques : quand je fais des achats avec mon numéro de CB (quand j’ai pas le choix, car ça me plaît pas de laisser traîner ces infos sur un site, fût-il le plus réglo du monde…), je reçois un code à 7 chiffres par SMS à retaper dans un champ dédié qui apparaît ensuite à l’écran.

n°3310987
yellowston​e2
Posté le 30-05-2018 à 12:29:31  profilanswer
 

Trit' a écrit :

Alors, ça, ça dépend des banques : quand je fais des achats avec mon numéro de CB (quand j’ai pas le choix, car ça me plaît pas de laisser traîner ces infos sur un site, fût-il le plus réglo du monde…), je reçois un code à 7 chiffres par SMS à retaper dans un champ dédié qui apparaît ensuite à l’écran.


Pas vraiment en fait. La dernière fois que j'avais cherché, ça dépendait surtout des sites. S'ils adhèrent ou non au système de vérification.
 
Pour preuve, sur certains sites, je reçois bien un code de confirmation. Et sur d'autres, niet. Et ce n'est pas une question de montant. J'ai déjà eu des confirmations nécessaires pour 40 €.

Message cité 1 fois
Message édité par yellowstone2 le 30-05-2018 à 13:11:50
n°3311004
nex84
Dura lex, sed lex
Posté le 30-05-2018 à 15:10:03  profilanswer
 

yellowstone2 a écrit :


Pas vraiment en fait. La dernière fois que j'avais cherché, ça dépendait surtout des sites. S'ils adhèrent ou non au système de vérification.
 
Pour preuve, sur certains sites, je reçois bien un code de confirmation. Et sur d'autres, niet. Et ce n'est pas une question de montant. J'ai déjà eu des confirmations nécessaires pour 40 €.


 :jap: Tûtafaÿ
Comme les TPE, c'est au marchand de choisir ce qu'il prend comme "options".
A l'inverse, les éditeurs de cartes bleues (Gemalto principalement) propose des moyens de paiement plus ou moins "sophistiqués" (Maestro, vPay, code de verification tournant, etc...)


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Quand on ne sait pas, on ne fait pas ou on ne se plaint pas !

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Réflexion mot de passe, ou comment faire une passphrase solide

 

Sujets relatifs
Adobe Photoshop CC18-Où est passé l'outil d'enregistrement en tranche?Saisie impossible mot de passe wifi et barre de recherche
Supprimer mot de passe W.10Windows 7 récupérer mot de passe connexion modem USB
Problème compte Gmail - mot de passe non valideperte mot de passe accès W7
RESOLU je dois introduire 2 fois mon pass depuis fall creator updateMot de passe sur session Adm?
Mot de passe windows 10 incorrect uniquement en sans échecPutty ne demande pas de passphrase
Plus de sujets relatifs à : Réflexion mot de passe, ou comment faire une passphrase solide


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR