Hello    
 
Après avoir lu qq articles sur la question des mots de passe, j'en ai retenu qu'un bon mdp est :
- long
- aléatoire
 
Tout ce qui possède une structure est vulnérable (l33t, ensemble de mots du dictionnaire, citations, combinaisons de choses faciles à déterminer comme l'année de naissance et le nom du chien etc).
 
J'en avais retenu qu'il restait deux options (en mots de passe, je ne parle pas d'autres moyens) :
-> utiliser comme mdp une phrase dénuée de sens : je mange des chevals jaunes en chiant des étagères
-> utiliser une phrase dont on ne reprend que les premières lettres de chaque mot. Mais il faut des phrases hachement longues pour avoir un mdp correspondant qui ne fasse pas que 6 ou 8 caractères. Ma super phrase ci-dessus ne donne jamais que jmdcjecdé.  
 
Ajoutez à ça que bcp de services exigent (voire refusent !) les caractères spéciaux, les majuscules, les chiffres... et on n'est pas couché.
 
Je me demandais donc dans quelle mesure une solution ne serait pas d'utiliser une phrase longue avec des substitutions persos.
 
Par ex : je mange des chevals jaunes en Çhiant des étagères
 
Autant je comprends que la phrase sans substitution est trouvable (ensemble de 9 mots "dictionnaire" - même si chevals ne devrait pas se trouver dans un dico   ), autant celle avec le "Ç" ?  
 
Autrement dit, quand un algorithme cherche un mot de passe, sait-il lors de ses essais que "je mange des chevals jaunes en chiant des étagères" est très proche de "je mange des chevals jaunes en Çhiant des étagères" (auquel cas il ne lui reste plus qu'à substituer chaque lettre pour trouver le bon mdp) ?
 
Ou bien "je mange des chevals jaunes en chiant des étagères" est tout aussi différent de "je mange des chevals jaunes en Çhiant des étagères" que tout autre mot de passe d'autant de caractères ? Et que donc le "Ç" suffit à l'obliger à substituer tous les caractères avec tous les caractères existant dans ce bas monde.
 
Oui, je sais, j'ai des interrogations passionnantes    
 
Merci

Le bon mot de passe n'est pas aléatoire, le bon mot passe a une complexité suffisante et tu t'en souviens.
Ca sert à rien d'avoir un mot de passe trop compliqué dont tu ne te souviendras jamais.
 
Le mot de passe :"je mange des chevals jaunes en chiant des étagères" fait 214 bit.  
Il n'est pas prêt d'être cracké.
 
"je mange des chevals jaunes en Çhiant des étagères" fait 221 bit
Il sera encore plus dur à cracker.

 
D'un point de vue purement brute force l'aléatoire a du sens, mais je suis d'accord sur le fait qu'il vaut mieux un mot de passe ET complexe ET que tu peux retenir.
 
Les bits de complexité par contre ne tiennent pas compte - tu m'arrêtes si je dis des conneries - de la facilité de craquage par structure/dico. En tout cas celui de Keepass n'en tient pas compte.

perso, j'utilise des generateur de mot de passe, au debut Keepass. mais devant la lourdeur pour l'avoir sur ios, je suis passé a LastPass

Tu peux avoir un mot de passe genre  1111111111111111... qui fait beaucoup de bit et qui sera facilement crackable.
Il n'y a pas d'utilité à louer des serveurs super puissants pour essayer de cracker ton mot de passe.
Ce n'est pas rentable, il est beaucoup plus intéressant d'utiliser du phishing pour accéder au poste, mettre un keylogger ou voir les mots de passe enregistrés dans le navigateur.
Je pense que très peu de sites accepteront des mots de passe si longs.
 
 

Brillamment résumé par ce XKCD : https://www.xkcd.com/936/

De nos jours, imposer un limite maximale au nombre ou même le type de caractères d’un mot de passe est juste une aberration injustifiable et le site qui fait ça mérite de mourir. Encore pire pour les sites (comme Pôle Emploi, la CAF…) qui te filent un mot de passe imposé… composé de quelques chiffres uniquement ! Taper un mot de passe (ou plutôt une phrase de passe, comme on commence enfin à dire) de 150 caractères ou plus, issus de n’importe quel bloc Unicode, espace incluse, devrait être possible (surtout que c’est le salage qui compte, maintenant). On n’est plus à l’époque de Windows 3.x/9x/Me qui limitaient à 15 caractères seulement les mots de passe des écrans de veille.

un peut comme les code de carte bleu: 4 chiffres

Moi c'est plutôt les sites qui refusent mes mots de passe car d'après eux, pas assez compliqués. Il faut dire que je ne suis pas du style parano, si quelqu'un peut m'expliquer l'intérêt de craquer un mot de passe, a part la banque bien sur et encore a la mienne on ne le tape pas on se sert de la souris, les sites de vente en ne laissant pas les coordonnés c.b en mémoire chez eux. En 20ans,je n'ai jamais subi d'attaque.

 
pareil.
j'ai toujours eu des mots de passe simples, voir ultra simples (sans être pour autant 123456 hein)
jamais eu de problème en 20 ans.
je pars du principe que si un mot de passe est piraté, c'est qu'une base de données a été piratée ou à cause d'un keylogger ou assimilé. Donc qu'un mot de passe fasse 8 caractères ou 50, c'est pareil.

Ou que quelqu'un veut un accès à un de tes comptes (mail, fb, etc ...).
C'est peut-être un risque limité pour certains comme toi, mais c'est risqué.
Le plus dangereux étant le mail car c'est le moyen le plus utilisé pour la double authentification et la récupération de mot de passe perdu.

Les mots de passe simples sont les plus faciles à trouver via brute force ou dictionnaire.

 
Je ne sais pas comment l'auteur du dessin arrive à son calcul, mais si je prends 4 mots avec, disons, 30000 mots possibles, il y a pour moi 30000^4 possibilités (ce qui fait quand même 104 jours à 90 milliards d'essais/s - visiblement on peut faire bcp mieux depuis plusieurs années). En réalité il est peu probable qu'on utilise 30000 mots. On peut sans doute retirer plein de mots auxquels personne ne pensera jamais, tout comme le nombre total de possibilités n'est pas le nombre de tentatives réel avant de trouver (ou alors on n'a vraiment pas de bol que le bon mdp soit la dernière possibilité ). Si on se base sur 3000 mots possibles, on tombe à moins d'une heure de temps de "découverte".
 
Si un des mots n'est pas issu d'un dictionnaire, j'en déduis que le crackage ne peut se faire qu'en considérant non pas 4 groupes de mots mais bien 25 caractères différents (le nombre de caractères des mots du xkcd, plus avec les espaces). Même si je ne prends que 72 caractères différents (alphabet de base, majuscules, chiffres et une dizaines de spéciaux "habituels" ), ça explose littéralement le nombre de possibilités.
 
D'où mon interrogation : quand on devine un mdp, est-ce qu'on sait quand on s'approche de la vérité ou bien tout simplement on ne sait que ça a marché que quand on trouve ? Dans ce dernier cas modifier légèrement (hors dico) un des mots de la phrase de passe suffit à rendre celle-ci plus aléatoire.
 

 
C'est sûr qu'il n'y a pas d'enjeu extraordinaire à connaître ton mdp pour HFR. Sauf peut-être pour HFR. Je veux dire, j'imagine qu'un site même non-sensible n'a pas envie d'être le prochain sur la liste de ceux dont les mots de passes ont été découverts et qui depuis alimentent les bases de données de mdp.
 
Cela n'empêche pas d'avoir une bonne politique de mdp, ne fût-ce que pour des usages autres. Il n'y a pas que les sites auxquels on se connecte, mais aussi toute la chiée d'objets connectés, un NAS, un gestionnaire de mdp, le passe pour ton webmail...
 

 
Si tu utilises un gestionnaire de mots de passe comme Keepass, tu peux utiliser l'obfuscation : le mdp est tapé de manière aléatoire. Le keylogger aura tous les caractères, mais pas dans le bon ordre. À mon avis mieux vaut 50 caractères dans le désordre que 8.
 
Pareil si la bdd a été récupérée : il sera plus long de trouver le mdp de 50 que de 8. Probable qu'il y aura assez de personnes dont le mdp aura été trouvé pour contenter le pirate avant d'arriver à ceux qui ont mis un mdp plus long.
 
Après, tout ça est théorique. La sécurité doit surtout être adaptée au risque encouru.

Oui, enfin la carte étant bloquée après 3 codes faux, le risque reste limité...

Ca sert à rien de récupérer les bdd et de cracker les mots de passe.
Ceux qui font ça le fond pour s'amuser ou pour attaquer une cible bien définie.
La plus part du temps, les personnes malveillantes cherchent plus à contourner ces mots de passe avec d'autres méthodes.
Car cela est beaucoup plus rentable et prend moins de temps.
il n'y a pas de bonne politique de mots de passe, car cela demande des mots de passe longs avec des caractères spéciaux, chiffres, majuscule.
Quand tu fais trop compliqué, les utilisateurs mettent un post-it avec le mot de passe.
 

C'est pas faux.
Ce qui est intéressant, ce sont les données à récuperer. Pas le mot de passe d'accès.
Et dans le monde numérique actuel, il y a beaucoup d'autres moyens plus simples que s'emmerder a péter un mot de passe (social engineering par exemeple).

Sur iOS il n’y a que KyPass de potable et encore avec quelques bugs, un design dépassé, et moyennant finance (7 ou 8€). Passé ces petits défauts, son ergonomie est bonne: extension Safari, recherche rapide d’entrée, bon générateur.

Sinon, il y a Bitwarden sur tous les OS et smartphones
A installer sur sa propre machine par contre, je ne suis pas pour confier ces données à site.
 
Perso il est installé via Docker sur un serveur Synology.

En même temps, n'importe quel site digne de ce nom devrait avoir un nombre limité d'essai (genre 3-4) avant de voir le compte suspendu temporairement. Ainsi, même un mot de passe de 6 lettres tiendrait facilement.
C'est cela l'aberration, que ce ne soit pas le cas et que leurs utilisateurs soient alors obligés de faire des mots de passe à rallonge pour pallier.
 
 
Ah oui, les mots de passe imposés...ou parfois les identifiants. Par exemple pour free mobile, je dois retenir un identifiant à la con qui ne signifie absolument rien pour moi. Mais pourquoi ne pas simplement prendre le numéro de téléphone mobile ?    
 

Ben encore les 4 chiffres...
Mais le pire je trouve, c'est le fait que tout ce qui soit nécessaire pour effectuer un paiement en ligne (date expiration, numéro de carte et le cryptogramme), soit sur la carte bancaire.
Du coup, que tu la perdes ou qu'on te la vole (même pas forcément besoin d'ailleurs, suffit de trouver un moyen pour la prendre en photo), alors n'importe qui peut faire des achats.
 
J'ai par exemple payé 450 euros pour un billet d'avion il y a deux semaines. Rien, pas de demande de confirmation reçu sur mon smartphone, pas besoin de code secret. Et pour le "voleur", même pas besoin d'une quelconque compétence technique.  
Ce serait tellement simple un second code secret pour les achats en ligne. Ou encore une validation envoyée sur le téléphone du propriétaire de la CB. Mais pour une raison que j'ignore, ça n'a pas été mis en place d'origine.
 
 

Alors, ça, ça dépend des banques : quand je fais des achats avec mon numéro de CB (quand j’ai pas le choix, car ça me plaît pas de laisser traîner ces infos sur un site, fût-il le plus réglo du monde…), je reçois un code à 7 chiffres par SMS à retaper dans un champ dédié qui apparaît ensuite à l’écran.

Pas vraiment en fait. La dernière fois que j'avais cherché, ça dépendait surtout des sites. S'ils adhèrent ou non au système de vérification.
 
Pour preuve, sur certains sites, je reçois bien un code de confirmation. Et sur d'autres, niet. Et ce n'est pas une question de montant. J'ai déjà eu des confirmations nécessaires pour 40 €.

  Tûtafaÿ
Comme les TPE, c'est au marchand de choisir ce qu'il prend comme "options".
A l'inverse, les éditeurs de cartes bleues (Gemalto principalement) propose des moyens de paiement plus ou moins "sophistiqués" (Maestro, vPay, code de verification tournant, etc...)