Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Utilisons-nous des mots de passe difficiles à retenir... mais inefficaces ?
Oui, d'après un développeur qui explique son idée en dessin

Le , par Gordon Fowler

0PARTAGES

7  0 
« Après 20 ans d'efforts, nous avons réussi à convaincre tout le monde d'utiliser des mots de passe difficiles à retenir pour les humains... mais faciles à deviner pour une machine ».

C'est ce qu'affirme ce développeur/dessinateur qui explique son raisonnement dans le détail (et non sans humour) dans cette planche :



Etes-vous d'accord avec lui ?

Que proposez-vous pour y remédier ?

Source

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Fenn_
Membre actif https://www.developpez.com
Le 23/08/2011 à 18:05
Heu, les gens... xkcd c'est un blog humoristique. Il s'agit juste d'une blague trollesque, pas d'une véritable démonstration. ^^'
D'ailleurs, comme sur toutes les planches d' xkcd, si vous allez sur l'originale et que vous faites un mouseover, vous aurez un petit message...

qui, pour celle-ci, dit:

To anyone who understands information theory and security, and is in an infuriating argument with someone who does not (possibly involving mixed cases), I sincerely apologize.
À quiconque comprenant la théorie de l'information et la sécurité, et se trouvant [maintenant] pris dans un débat irritant avec quelqu'un qui ne la connaît pas (pouvant impliquer des cas entre les deux), je m'excuse sincèrement.
Souriez, vous êtes trollés
10  0 
Avatar de Fanvan
Membre actif https://www.developpez.com
Le 23/08/2011 à 14:01
Cette idée est essentiellement fausse. Elle avait été longuement discutée ici il y a plusieurs années. Il en ressort qu'un mot de passe composé de plusieurs mots du dictionnaire peut se fait étriper en un clin d'oeil à partir d'un hash non salé en utilisant une technique de rainbow table.
5  0 
Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 23/08/2011 à 13:59
Citation Envoyé par ithel Voir le message
Il aurait peut être été convenable de l'indiquer quelque part dans l'article?
Bonjour,

Comme dans tous nos articles, la source avec lien direct vers l'auteur original est indiquée en fin d'article.

Respectueusement,

Gordon
4  0 
Avatar de danielhagnoul
Rédacteur https://www.developpez.com
Le 25/08/2011 à 10:10
Bonjour

Le premier inconvénient d'un mot de passe constitué d'assemblage de mots ou trop facile à retenir c'est que l'on à tendance à l'utiliser plus d'une fois.
4  0 
Avatar de vivoli12
Membre régulier https://www.developpez.com
Le 23/08/2011 à 14:49
gagaches> ça peut être un bon exemple. On peut aussi s'amuser à remplacer les espaces par un (ou plusieurs) caractère spécial.

Par contre c'est galère pour taper ça sur un smartphone ou une tablette.

Si on se retrouve à devoir passer 5 minutes pour taper un mot de passe, les utilisateurs vont vite revenir à des mots de passe bateaux.
3  0 
Avatar de PatteDePoule
Membre éclairé https://www.developpez.com
Le 23/08/2011 à 13:48
Si on rajoute qu'il faut changer son mot de passe à chaque mois, ça devient vraiment difficile à retenir.

Donc les personnes prennent des mots de passe séquentiel et n'incrémente que le chiffre, ou encore l'inscrivent sur un bout de papier sur le bureau.

!1Qwerty
!2Qwerty
!3Qwerty
...
2  0 
Avatar de Fanvan
Membre actif https://www.developpez.com
Le 23/08/2011 à 14:08
Citation Envoyé par ithel Voir le message
oups au temps pour moi.
Le comic provient effectivement de xkcd (en apparence en tout cas). L'argument de l'entropie semble par contre bien plus ancien.
2  0 
Avatar de gagaches
Membre confirmé https://www.developpez.com
Le 23/08/2011 à 15:05
Citation Envoyé par Freem Voir le message
C'est complètement faux.
qu'est-ce qui est complètement faux ?
ce que je dis ?

Au contraire, une attaque par dico est compliquée quand elle ne connait pas toutes les règles de permutations appliquées.

Exple :
- permutation partielle des voyelles en leet
- permutation des e et des s en leet
- permutation des e en z (pas de leet, juste un choix de permutation connu)
- etc

Ce sont des règles que notre cerveau fera facilement :
" phrase simple" + "règle de permutation"
c'est bcp plus facile à retenir qu'un !%*45au#pùk£nou%$

Et à attaquer, c'est quasiment aussi compliqué.

Le point le plus important :
trouver des règles de permutations simples mais peu utilisées.

Ce que j'ai pu constaté, c'est que les règles de permutations partielles sont peu utilisées.

Sur les sites internets, ça marche très bien :

Un "J4ch3t3ch3zm4t3ri3ln3t" se génère facilement :
"Jachetechez" + <nom de la boutique tout attaché> + "e->3, a->4"

idem, "J4ch3t3ch3zgro$billcom".
Etc.

Et il permet de dédoubler les mots de passe facilement sans avoir un motif reconnaissance (genre un 0811 à la fin du mdp)

Mais heureusement, j'ai un pavé numérique et l'accès aux numéros se fait rapidement. Sur un smartphone, ca sera plus compliqué !
2  0 
Avatar de rawsrc
Expert éminent sénior https://www.developpez.com
Le 23/08/2011 à 15:25
Salut,

J'ai résolu le problème depuis belle lurette en utilisant un coffre-fort numérique qui me génère d'une part tous mes mots de passe et surtout qui me remplit les formulaires.
Bon, le seul point très important c'est le mot de passe du coffre-fort, il doit être béton par ce que s'il tombe, bonjour les dégâts...
Vive KeePass
2  0 
Avatar de Louhike
Membre habitué https://www.developpez.com
Le 23/08/2011 à 15:46
Citation Envoyé par Freem Voir le message
C'est complètement faux.

A ce que je me souviens du moment ou je m'amusais a fouiller les techniques du côté obscur du net (mais j'ai jamais été super bon, j'ai toujours préféré le offline), on utilise d'abord une attaque par dico avant l'attaque en force brute.

D'ailleurs, les soft de brute force, il me semble, intègrent le dico avant.
Il me semble également qu'il est possible de régler une "priorité" sur les caractères utilisés, ce qui fait que selon la personne que l'on attaque, on va régler tout ça différemment. Si c'est pas un geek (majorité des gens tout de même) on peut être quasi sûr qu'il y aura peu de caractères exotiques, et on peut donc les mettre en priorité faible.
Les algo s'appliquent aussi au brute force...

Je me trompe peut-être, je n'ai jamais aimé le brute force, ou l'attaquant ne fais rien... ni côté artistique ni côté technique, tant qu'a faire bosser mon pc, autant que ce soit pour compiler...
Sauf que les dictionnaires permettent de trouver des mots, pas des combinaisons absurdes de mots, d'où le raisonnement qu'il expose dans ses dessins.
2  0