Aller au contenu

Mots de Passe enregistrés : Quels risques ? Que faites-vous ?


pipoca

Messages recommandés

intéressant, iChe ^^Je vais regarder pour mettre en pratique. Et je conçois très bien que la méthode Mout était bonne jusqu'à il y a quelques années seulement, mais ne l'est plus, à cause de la puissance croissante des machines.

En gros, ils préfèrent un mot de passe simple mais long, plutôt que moins long mais compliqué.

Et si on mélange ? Selon la méthode de Mout, un algorithme de création de mot de passe, en se basant sur une phrase "longue", genre C0rr3ct H0rs3 B4tt3ry St4pl3 ? L'ordinateur ne mettrait pas moins de temps (pas plus, non plus), mais en plus l'humain aura de la peine à le deviner.

 

Le problème des mots de passe longs, c'est que parfois, les sites, logiciels... ne s'attendent pas à un truc trop long. Par exemple, dans une entreprise, la mise en place d'une ferme virtualisée avait posé un souci de taille de mot de passe : leur mot de passe était de 33 caractères (une petites phrase toute bête, de plusieurs mots, avec les espaces, on y arrive vite. Meme le correct horse battery staple en fait déjà 28), et le produit tronquait à 32. Va comprendre pourquoi le truc ne passe pas ;) C'est un gros coup de bol et une légère intuition des admins qui ont permis de débogguer le problème...

Tiens, un autre exemple, connu, celui là, puisqu'utilisé par près de 5 millions d'utilisateurs : le courriel de Free ! le mot de passe est (était ?) limité à 8 caractères !!!

Lien vers le commentaire
Partager sur d’autres sites

intéressant, iChe ^^Je vais regarder pour mettre en pratique. Et je conçois très bien que la méthode Mout était bonne jusqu'à il y a quelques années seulement, mais ne l'est plus, à cause de la puissance croissante des machines.

En gros, ils préfèrent un mot de passe simple mais long, plutôt que moins long mais compliqué.

En fait, il faut surtout un mot de passe « surprenant ». C'est bien ce qu'ils disent dans leurs articles, « ni votre meilleur ami, ni votre parent le plus proche, ne doit pouvoir deviner le mot de passe ». En ce sens, la méthode que tu donnes n'est pas mauvaise, mais l'exemple si. Un mot de passe à base du mot « consomac » sur Consomac, non, mauvaise idée. Remplacer ‘e’ par ‘3’, non, mauvaise idée.

 

L'idée, c'est qu'un bon mot de passe est un mot de passe que l'on retient. Or, il est plus difficile de retenir un mot de passe avec des caractères spéciaux. Ou alors, c'est qu'ils vont être placés de manière trop « humaine ». Ainsi, il n'y a quasiment pas de différence entre C0rr3ct H0rs3 B4tt3ry St4pl3 et sa version textuelle seulement, d'un point de vu cryptographique. En fait si, il y a une différence : cette version modifiée est beaucoup pénible à taper, on a plus de chance de se planter (ce qui est très agaçant avec des mots de passe si longs...).

 

Donc, de ce que j'ai compris, si tu veux rajouter de la sécurité au mot de passe précédent, il vaut mieux ajouter un mot. Si tu utilises Diceware, un mot correspond à 5 jeté de dés, il y a donc pour chaque mot que tu choisis 6 puissance 5 possibilités. À la louche, 6 c'est 2 puissance, disons, 2.5, donc 6 puissance 5 c'est 2 puissance 12. Chaque mot en plus, c'est 12 « bits d'entropie » en plus. Comme expliqué dans la doc Diceware, avec 4 mots, on est déja pas mal, et 5 mots, soit 60 bits, correspondent très bien pour un gros mot de passe, comme celui de 1Password par exemple.

 

Mais comme tu le dis, on est parfois confronté aux services qui ont des contraintes (absurdes) sur les mot de passe, Apple arrivant en première position avec son Apple ID. C'est dans ces cas là qu'un logiciel comme 1Password intervient, en tout cas pour moi. Je retient un bon gros mot de passe qui se craque en plusieurs centaines de milliers d'années, et lui n'aura pas de problème à retenir un mot de passe plus court, mais avec du coup plus de caractères spéciaux pour compenser.

Lien vers le commentaire
Partager sur d’autres sites

Je dirais qu'il faut avoir l'une des versions, PC ou Mac, et utiliser son navigateur pour accéder aux mots de passe sur la machine qui n'a pas le logiciel. Ou alors n'avoir que la version iOS et utiliser le navigateur sur les ordi (mais c'est en lecture seulement).

Lien vers le commentaire
Partager sur d’autres sites

  • 4 months later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement
×
×
  • Créer...