IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les mots de passe trop longs peuvent occasionner une attaque DoS
La communauté Django explique pourquoi

Le , par Stéphane le calme

27PARTAGES

10  0 
Pour la protection de vos données digitales, de nombreux experts recommandent l'utilisation de longs mots de passe. Pour aller un cran au-dessus niveau sécurité, certains sont allés plus loin en proposant l'utilisation de longs mots de passe générés de façon aléatoire. Seulement, à la lumière d'un élément, une longueur trop importante pour un mot de passe pourrait causer un préjudice à la sécurité.

Il s'agit d'une vulnérabilité qui vient à peine d'obtenir un correctif dans le framework open-source de développement Web Django. Rappelons que, par défaut, les mots de passe en texte clair sont transformés en chaînes de caractères appelées hashs cryptographiques grâce à l'algorithme PBKDF2 Password-Based Key Derivation Function 2). Du fait qu'il passe par de multiples séries de hachages qui augmentent considérablement le temps et les ressources de calcul nécessaires, il est un des moyens les plus sécurisés que peuvent utiliser les sites web pour la gestion des mots de passe.

Toutefois, les développeurs Django expliquent dans un billet blog en quoi ce renforcement sécuritaire peut être une lame à double tranchant.

« Cette complexité peut également être utilisée comme un vecteur d'attaque. Django n'impose pas clairement une longueur maximale au mot de passe, ce qui signifie qu'un attaquant pourrait soumettre des mots de passe -à échec garanti - aux longueurs arbitrairement grandes. Ce qui obligerait le serveur Django à effectuer un calcul coûteux dans sa tentative de vérifier le mot de passe. Un mot de passe d'un méga byte par exemple va demander près d'une minute de vérification en utilisant PBKDF2. Cela permet des attaques DoS au travers de soumissions répétées de larges mots de passe en attachant les ressources du serveur dans un calcul coûteux des hashs correspondants ».

Les mises à jour ont suivi et désormais les mots de passe sont limités à 4096 bytes. La communauté en profite pour rappeler qu'elle préfère que les utilisateurs développeurs de Django préfèrent recevoir les informations relatives à la sécurité en privé sur le courriel security@djangoproject.com afin de corriger la faille avant qu'elle ne devienne largement connue. Ce rappel intervient après qu'un développeur ait révélé la vulnérabilité DoS sur un forum public.

Source : Django Project

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Voyvode
Membre émérite https://www.developpez.com
Le 19/09/2013 à 15:04
Citation Envoyé par Stéphane le calme Voir le message
Django n'impose pas clairement une longueur maximale au mot de passe
Donc c'est de leur faute.

Au moins ce genre d'information permet d'avertir les gens.
7  0 
Avatar de Spleeen
Membre régulier https://www.developpez.com
Le 19/09/2013 à 15:18
Et dire que j'étais en train de me dire que je surchargeais peut-être les serveurs de mes sites préférées avec des mdp de 50 caractères... des mdp de plusieurs méga c'est quand même autre chose ! xD
Nan mais c'est de leurs fautes s'ils ne limitent pas la taille, sans déconner... puis 4kb c'est déjà absolument gigantesque...
Vérifier toutes entrées utilisateurs, c'est la base (ahahaha), on t'apprends ça en première année...
8  1 
Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 19/09/2013 à 19:29
Pour la protection de vos données digitales
Perso je préfère mettre des gants : en plus des saletés, ça protège du froid. Bien mieux qu'un mot de passe.
3  0 
Avatar de kanecat
Futur Membre du Club https://www.developpez.com
Le 09/02/2014 à 17:25
Citation Envoyé par Muchos Voir le message
Je ne remercie pas @kanecat, qui a réveillé ce thread et qui l'a fait dériver sur la sécurité des mots de passe alors que ce n'est pas le sujet ><
En quoi suis-je sortie du sujet? Le sujet de la discussion, c'est: "Les mots de passe longs peuvent occasionner une attaque DOS"

A mon sens une attaque DOS touche le sujet de la sécurité. Donc, si je pense qu'un mot de passe long est plus sûr qu'un mot de passe court?
2  0 
Avatar de Thorna
Membre éprouvé https://www.developpez.com
Le 19/09/2013 à 17:45
Les conseils donnés en général sont de trouver une phrase de quelques mots. Disons 5 mots de 8 lettres, avec quelques espaces et/ou chiffres pour faire beau, c'est bien le maxi, ça fait qu'on peut limiter les mdp à 50c et c'est bon.
1  0 
Avatar de kanecat
Futur Membre du Club https://www.developpez.com
Le 08/01/2014 à 12:16
A mon avis, mieux vaut utiliser un mot de passe long qu'un mot de passe court.
Perso, j'utilise Lastpass pour générer des mots de passe longs (8 ou9 caractères)et complexes (majuscule, minuscule et chiffres) .Mais je sais que cela ne suffit pas pour protéger ses compte. Donc il faut changer régulièrement de mots de passe pour rendre la tâches des pirates difficiles.
1  0 
Avatar de ABCIWEB
Expert éminent sénior https://www.developpez.com
Le 11/01/2014 à 19:16
Bah si cela a un rapport direct : si certains utilisent des mots de passe très longs c'est pour rendre quasiment impossible les attaques brute force.

Enfin bon avec 4 ko je pense qu'ils ont vu assez large et cette limite ne devrait pas gêner beaucoup de monde.
1  0 
Avatar de lilington
Membre chevronné https://www.developpez.com
Le 27/09/2013 à 4:14
Citation Envoyé par Thorna Voir le message
Les conseils donnés en général sont de trouver une phrase de quelques mots. Disons 5 mots de 8 lettres, avec quelques espaces et/ou chiffres pour faire beau, c'est bien le maxi, ça fait qu'on peut limiter les mdp à 50c et c'est bon.
entierement d'accord, je vois vraiment pas l'interet d'un mot de passe de 4096b, en plus c'est pas pratique a par faire du copier coller.
sinon 50c c'est bien mais on va arrondire a 63+1 (\0) pour faire jolie et bien
au dela c'est du n'importe quoi
0  0 
Avatar de bob633
Membre expérimenté https://www.developpez.com
Le 30/09/2013 à 11:09
Moi j'en pense qu'à vouloir complexifier son mot de passe on se complexifie la tâche à soi-même. Et ça me fait encore plus rigoler quand les sites interdisent le copier / coller de mot de passe dans la zone de saisie

J'ai toujours des mots de passe avec une quinzaine de caractères et je n'ai jamais eu de soucis. Et c'est pas demain que j'irais mettre une phrase avec 7 - 8 mots comme mot de passe.

De là a avoir un mot de passe aléatoire .. je suis pas fan non plus, obliger d'avoir le mot de passe écrit sur un fichier (oui car tu n'utilises pas le même sur chaque site, tu peux pas retenir un truc du style fkpoj84@"ded par exemple multiplier par le nombre de site), et là qu'on me parle pas de sécurité ...
0  0 
Avatar de Spleeen
Membre régulier https://www.developpez.com
Le 30/09/2013 à 13:52
Citation Envoyé par bob633 Voir le message
Moi j'en pense qu'à vouloir complexifier son mot de passe on se complexifie la tâche à soi-même. Et ça me fait encore plus rigoler quand les sites interdisent le copier / coller de mot de passe dans la zone de saisie

J'ai toujours des mots de passe avec une quinzaine de caractères et je n'ai jamais eu de soucis. Et c'est pas demain que j'irais mettre une phrase avec 7 - 8 mots comme mot de passe.

De là a avoir un mot de passe aléatoire .. je suis pas fan non plus, obliger d'avoir le mot de passe écrit sur un fichier (oui car tu n'utilises pas le même sur chaque site, tu peux pas retenir un truc du style fkpoj84@"ded par exemple multiplier par le nombre de site), et là qu'on me parle pas de sécurité ...
Oui ou il est peut-être grand temps que les gens se mettent à déléguer la gestion de leurs mots de passe à des outils fait pour cela. Non pas à leurs navigateurs qui est plutôt limite à ce niveau. Mais à de vrais outils sécurisés (oui du AES 512 l'est), comme LastPass (gratuit, payant pour les applis mobiles) ou Dashlane. Je ne retiens pas mes très longs mots de passe et ne m'inscrit pas sur des sites imposant une limite extrême à 10 chiffres/lettres et ne proposant pas de connexions FB ou OpenID.
Je ne m'en soucis absolument pas de mes mots de passe depuis bientôt six ans.
Je les ai partout, en tout temps. De toute manière une règle existe dans la sécurité : plus c'est contraignant et plus les gens bypass la sécu. Il faut inventer de nouveaux systèmes de sécu ultra simple, ultra réactif et sécurisé.
0  0