Jump to content

Publications recommandées

Effectivement, je venais de la retrouver :yes:

Pour le fun, je viens de checker le mot de passe UNIQUE que j'utilise pour le forum...
... Qui n'est qu'une déclinaison de la règle que j'utilise partout sur internet...

Bilan:

CONGRATULATIONS! It would take about 469 years to crack your password.

Perso, je trouve ça suffisant... Et vous ? :ane:

Par contre, pas d'idée pour la notation faible de mot de passe "soi-disant" fort... Tu aurais des exemples concrets ?

:chinois:

Partager cette publication


Link to post
Share on other sites

ben pour les exemples, j'ai juste lu les commentaires ou en tapant juste "intelcestdeladaube" le mdp était soit disant fort

j'ai tester le mien qui à 8 caractères qui à des majuscules minuscules chiffres et caractères spéciaux à tenu 7h

Partager cette publication


Link to post
Share on other sites

Le nombre de caractères conditionne beaucoup la robustesse du mot de passe (cas d'une attaque brute force): 8 caractères c'est devenu un minimum syndical :roll:

Perso, le mien fait 13 caractères: 4 digits de préfix, 7 caractères invariants, 2 digits en suffixe...

Et je le tape les yeux fermés sur n'importe quel site avec ma méthodo :yes:

:chinois:

Partager cette publication


Link to post
Share on other sites

c'est sur, j'ai encore la flemme de commencer une gestion des mots de passe, même si au fur et à mesure j'essaye de m'y intéresser

réaction typique : ben m'en fou c'est que mon compte mail ect ect, et à force je me dit que grâce à ça on peut tomber dans de sacré piege

Partager cette publication


Link to post
Share on other sites

Mon mdp fait 9 caractères, aucun mot du dico, caractères totalement aléatoires, 2 chiffres, majuscules/minuscules mélangées (mot de passe unique pour chaque site, adapté au site suivant la méthodologie que tu as proposé), et d'après ce site il tiendrait 23h... :craint:

Partager cette publication


Link to post
Share on other sites

Moué... Effectivement... :roll:

Mais ça conforte l'idée que le nombre de digit conditionne l'estimation de manière exponentiel...

13 digits = 469 ans (moi)

9 digits = 23 heures (PoSKaY)

8 digits = 7 heures (Ti Gars d'euch'nor)

;)

Partager cette publication


Link to post
Share on other sites

Bon bah 13 pour moi aussi, vu que les comptes Microsoft bloquent à 14 max ! Et idem, ce ne sont pas des mots et ça contient de tout ! :)

Partager cette publication


Link to post
Share on other sites

@Killator: Effectivement, autant pour moi (j'ai lu la première page en diagonale j'avoue).

Cependant, plus les appli' se plieront à UTF-8, plus les utilisateurs de caractères exotiques auront des mots de passe forts.

Cependant, en voyant vos échanges sur la durée théorique nécessaire au cassage d'un mot de passe, il ne faut pas oublier de mentionner le type d'attaque. En l'occurence, il semble s'agit de brute force. Mais un mot de passe de 8 caractères composé d'un prénom + date de naissance sera plier en quelques secondes via une attaque par rainbow table.

IMO, la longueur doit être privilégiée à la complexité. Mieux vaut un mdp [a-z][A-Z][0-9] de 15 caractère qu'un truc impossible du genre #P0&C%1 (7 caractères).

Et cet article semble confirmer ma pensée: http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

Partager cette publication


Link to post
Share on other sites

D'ailleurs, comment ils font le calcul ?

Parce que si on considère un mot de passe de site web, souvent au bout de plusieurs mauvais résultats il y a un temps pendant lequel on est "banni" puis il faut compter les temps de chargement, etc...

Je vois pas trop comment on peut casser un mdp en brute force sur un site internet ?

Partager cette publication


Link to post
Share on other sites

Je vois pas trop comment on peut casser un mdp en brute force sur un site internet ?

On suppose que le pirate à réussi à récupérer la base de données mais que les codes ne sont pas écrits en clair dedans.

Partager cette publication


Link to post
Share on other sites

Et hop, Apple aussi a été attaqué :

Last Thursday, an intruder attempted to secure personal information of our registered developers from our developer website. Sensitive personal information was encrypted and cannot be accessed, however, we have not been able to rule out the possibility that some developers’ names, mailing addresses, and/or email addresses may have been accessed. In the spirit of transparency, we want to inform you of the issue. We took the site down immediately on Thursday and have been working around the clock since then.
In order to prevent a security threat like this from happening again, we’re completely overhauling our developer systems, updating our server software, and rebuilding our entire database. We apologize for the significant inconvenience that our downtime has caused you and we expect to have the developer website up again soon.

Il ne disent pas si des données ont été perdues ou si des apps ont été vérolées...

Partager cette publication


Link to post
Share on other sites

Qu'est-ce que je peux détester les sites qui ont une longueur maximale de mdp ridicule surtout quand je m'en rend compte qu'après avoir valider le formulaire et que je tente de me connecter. Tiens pourquoi le site me dit que mon mdp n'est pas valide ? Réinitialisation du mdp par email puis c'est lorsque je suis dans le formulaire en faisant cette fois attention que je me rend compte de la limite.  :mad:

 

Les sites qui n'acceptent pas les signes de ponctuation (qui sont à la fois fr et en) et monétaire sont aussi casse bonbon. Il peut être donc judicieux comme l'a dit Killator de ne pas en mettre.

 

Il y a aussi les sites qui envoie par email le mdp en clair (après l'inscription j'entend bien pas lors d'une réinitialisation). :incline:

 

Sinon la technique décrite par Killator est bonne. Il faudra faire attention à avoir, une fois la construction du mdp finie, une longueur suffisamment grande (au moins plus de 12?). Si l'utilisateur est prêt à faire un effort en plus, il faut (comme décrit) avoir 2 ou 3 types de "clefs fixes" suivant le degrés de confiance que vous accordez aux sites. Par exemple les sites sans https ou susceptible d'avoir une chaîne de sécurité faible ne devraient pas avoir le même type de passphrase que votre boite mail qui permet de réinitialiser vos mdp.

 

Après le risque zéro n'existe pas, on en a la preuve tous les jours que ce soit avec des petits sites ou des mastodontes. Il faut "juste" faire en sorte de minimiser le risque en pratiquant une bonne hygiène de vie sur internet sans trop se mettre de contrainte forte au risque de pas l'appliquer tout le temps.

 

Tout le monde ne s'appelle pas Snowden donc en utilisant ces méthodes, nous devrions être assez bien protégé. 

 

J'en profite pour mettre une vidéo de la chaîne PointSécu (même si je ne suis pas d'accord avec tous les points) qui a abordé la thématique du mdp :

 

Modifié par TheBlackPearl

Partager cette publication


Link to post
Share on other sites

Et un gestionnaire de mot de passe en local ou sur une clé USB comme KeePass ,

Les mots de passes sont générées aléatoirement : seul inconvénient aucun moyen de s'en souvenir mais l'outil est sûr (apport ANSSI) et propose d'autres services pour gérer votre activité en ligne ...

Partager cette publication


Link to post
Share on other sites

Le plugin keepassHTTP et l'extension pour Chromium chromelPass rempli tout seul les champs.

J'ai pas migrer tout mes mdp perso mais j'en suis a 100 (tout pile)

Comme les login+pass sont remplis automatiquement, je me rends pas forcement compte de ce qui vient de la bdd Keepass ou de ce qui vient de chromium...

Partager cette publication


Link to post
Share on other sites
On 28/10/2017 at 19:57, dbodin a écrit :

Et un gestionnaire de mot de passe en local ou sur une clé USB comme KeePass ,

Les mots de passes sont générées aléatoirement : seul inconvénient aucun moyen de s'en souvenir mais l'outil est sûr (apport ANSSI) et propose d'autres services pour gérer votre activité en ligne ...

Comme le dit @dbodin , Keepass est un gestionnaire de mot de passe qui à rempli les exigences de sécurité de l'ANSSI (pour la version 2.10 portable).

La liste de tout les logiciels certifiés ANSSI sont disponibles ici.

Personnellement j'utilise Keepass sur une clé USB chiffré (Corsair Padlock 3) et je sauvegarde ma base de données sur d'autre support.

Autre info, keepass a déjà été hacké grâce à un logiciel libre sur GitHub KeeFarce. Le hack exige une intervention local du hacker (votre session déverrouiller). L'article ici.

Vous pouvez craindre un hack de votre bdd mais après il suffit de ne pas allez sur n'importe quel site, ouvrir n'importe quel mail, ne pas insérer de clé USB trouver par terre, etc...

Les hacks contre des particuliers sont majoritairement dû au particulier eux mêmes.

 

  • Aime 1

Partager cette publication


Link to post
Share on other sites

Veuillez vous connecter pour commenter

Vous serez en mesure de laisser un commentaire après vous être connecté



Se connecter dès maintenant

×