Utilisons-nous des mots de passe difficiles à retenir... mais inefficaces ? Oui, d'après un développeur qui explique son idée en dessin

Le 23/08/2011, par Gordon Fowler, Chroniqueur Actualités
« Après 20 ans d'efforts, nous avons réussi à convaincre tout le monde d'utiliser des mots de passe difficiles à retenir pour les humains... mais faciles à deviner pour une machine ».

C'est ce qu'affirme ce développeur/dessinateur qui explique son raisonnement dans le détail (et non sans humour) dans cette planche :



Etes-vous d'accord avec lui ?

Que proposez-vous pour y remédier ?

Source

Les rubriques (actu, forums, tutos) de Développez


Poster une réponse Retrouver la discussion sur le forum

Avatar de FaireEtDéfaire FaireEtDéfaire
Nouveau Membre du Club
le 24/08/2011
Je suis parfaitement d'accord avec l'auteur de ce dessin.

J'ajoute que les mécanismes de protection mis en place par les Administrateurs de réseaux/Webmestres me semblent le plus souvent contre-productifs: expiration des mots de passes, combinaisons chiffres/caractères obligatoires, ou bien interdites, caractères spéciaux interdits, multiples mots de passes pour des applications différentes sur un même réseau etc...

Il devient impossible d'utiliser un nombre restreint de mots de passe, même compliqués.

Conclusion: les utilisateurs maintiennent une liste de mots de passe. Les plus avancés les stockent dans un fichier dédié lui-même protégé par un mot de passe fort; le commun des mortels, dans un fichier Excel ouvert à tous les vents, son téléphone portable, son carnet d'adresse...

Avatar de danielhagnoul danielhagnoul
Rédacteur
le 25/08/2011
Bonjour

Le premier inconvénient d'un mot de passe constitué d'assemblage de mots ou trop facile à retenir c'est que l'on à tendance à l'utiliser plus d'une fois.
Avatar de Thorna Thorna
Membre éclairé
le 25/08/2011
On a bien compris : la solution efficace, c'est de toruver des mots de passse assez longs, faciles à retenir mais un peu alambiqués.
Avatar de Vorona Vorona
Invité de passage
le 25/08/2011
des ...
'mots 2 passse AC longs, faciles à retenir mais un peu alambiqués' ->
'm2pACl,fàrmupa'
ça ça peut peut-être même mieux marcher que chevaldireamamere non ?
Avatar de jreaux62 jreaux62
Rédacteur
le 25/08/2011

Citation:





Envoyé par danielhagnoul
Voir le message

...on à tendance à l'utiliser plus d'une fois.



Comme login, je mets TOUJOURS : "login"
En password, je mets TOUJOURS : "password"

J'ai bon ??
Avatar de Elendhil Elendhil
Membre confirmé
le 26/08/2011
Beaucoup de gens mettent des prénoms comme mot de passe , des fois même leur prénom !

Mais même comme ça , la plus par du temps on utilise un mot de passe uniquement pour des services en ligne , et ils sont tous protégés pour empêcher plus de 3 à 5 tentatives erronées ... si tu connais pas bien la personne il y a peu de chance de trouver le bon prénom ^^

En général la grande majorité par exemple de hacking de compte mail ou services en ligne sont fait soit par l’entourage de la personne ou alors par des key loggers...

Sinon pour le hacking de serveur en ssh la méthode par brute force peut marcher car beaucoup laisse par défaut et sans limitation de saisie. Mais faut tenter sur plusieurs milliers de serveurs car en général, sur la quantité il y aura toujours un compte admin avec comme mdp un prénom ou un compte mysql mdp: mysql ...

Bref je pense que 2-3 mots passe simple pour vos services sur internet suffisent largement pas besoin de se prendre la tête.

Bon pour un réseau en entreprise ou sur des serveurs web , il vaut mieux être plus prudent...

En tout cas je vois mal les gens saisir une phrase entière à chaque session d'un service en ligne ...
Avatar de alain78 alain78
Membre du Club
le 26/08/2011
Bonjour,

En fait dans mon entreprise on recommande comme mot de passe une phrase familière adaptée.

Exemple :

"Je suis né à Toulouse en 1952"

peut donner comme mot de passe

"#JsnàTe1952#"

Le dièse (ou autre caractère) est incorporé pour complexifier la chose.

Simple à retenir.

Qu'en pensez vous ?
Avatar de ztor1 ztor1
Membre actif
le 29/08/2011

Citation:





Envoyé par Aldian
Voir le message

L'idée d'utiliser une combinaison de mots à la place est très intéressante, mais seulement si on ne loupe pas l'idée qui est que les 4 mots choisis ne doivent pas avoir de lien apparent entre eux, si ce n'est dans la tête de la personne, car sinon, il devrait être assez simple d'établir un dictionnaire des phrases ou associations communes



Donc mon super mot de passe :
DSK goes to Sofitel

C'est pas bon ! Ben zut alors ...



Avatar de Nemek Nemek
Modérateur
le 31/08/2011
Ajouter du temps entre chaque (ou modulo un nombre) tentative, c'est bien mais pour cela il faut :
  • Pouvoir identifier un "utilisateur"

  • Que l'attaque ne vienne que d'un seul "utilisateur"


Le problème c'est que les cookies sont uniquement logiciels, et l'IP peut être utilisée par plusieurs utilisateurs via un NAT ou un proxy ou un réseau Tor (assimiblable à un proxy).

Ensuite impossible de se protéger contre un botnet ou un service de cloud.

Une méthode pour avoir des mots de passe simples à retenir, un peu complexe et résistant aux attaques par dictionnaire :
- Prendre une phrase
- Ne garder que la première de chaque mot
- On remplace le reste des lettre de chaque mot par le nombre de lettres dans le mot
ex: "je me suis couché tard !" "j2m2s4c6t4!"

Ca présente l'avantage de générer des mots de passe assez court pour les systèmes qui limitent la taille.

Quelque soit la complexité d'un mot de passe, la force brute sera toujours de rigueur tant le nombre de valeurs possibles restent faibles en comparaison de la puissance de calcul.
A quand l'utilisation de certificats à la place des couples login/password ?
Avatar de satenske satenske
Membre actif
le 12/09/2011
Au début, j'utilisais toujours un mot de passe avec chiffres lettre qui ne voulait rien dire.
Et puis, j'ai commencé à prendre l'habitude d'un amis: utiliser une PHRASE de passe, souvent des phrases de films, que je suis donc capable de retenir. exemple bateau "que la force soit avec toi" (j'ai dit bâteau), après je rajoute une majuscule au début par exemple, un chiffre et/ou un caractère spécial à la fin.
Je ne sais pas si c'est vraiment sécurisé ou pas en fait du coup....
Quelqu'un qui fera une attaque par dictionnaire ne trouvera rien, apriori, non?
la brute force prendrait un sacré temps vu le nombre de caractère....
Donc j'ai pris cette habitude, si certains se connaissant bien en crackage peuvent dire si c'est efficace... ^^ En tout cas, jamais eu de problème.
L'inconveignant étant la longueur du "mot" de passe, mais ça me gène pas du tout en fait, parce que je finis par le taper assez rapidement. :p (c'est presque aussi rapide de taper une phrase que de taper un mot ne voulant rien dire)
Poster une réponse Retrouvez la suite de la discussion

 
 
Developpez.com

Nous contacter

Participez

Informations légales

 
Services

Forum d'entraide

Blogs

Hébergement

 
Partenaires

Hébergement Web