Sur internet, on vous demande souvent de choisir un mot de passe comprenant un mélange de lettres (minuscules et majuscules), de chiffres et de caractères spéciaux. En réalité, c'est surtout sa longueur qui le rend difficile à trouver par des méthodes classiques. Par exemple, si vous n'utilisez que des lettres, un mot de passe de 10 lettres comporte davantage de combinaisons possibles qu'un mot de passe de 7 lettres avec des majuscules/minuscules et des chiffres.
Nos applications mobilesFacebookTwitterFeeds17209 anecdotes - 268 lecteurs connectés
Le site pour briller en soirée
Commentaires préférés (3)
C'est franchement l'une des plus mauvaises idées à avoir été implémenté dans je ne sais combien de services informatiques.
Un moyen de s'en prémunir est l'utilisation d'un gestionnaire de mot de passe solide (pas ceux natifs dans les moteurs de recherche ou les téléphones) et indépendants. Et même comme ça, parfois, certains services refusent tels ou tels caractères et il faut bidouiller pour créer un compte.
Mais cela ramène à un autre problème encore plus "emmerdant". Pourquoi DOIS-je créer un compte utilisateur avec mot de passe pour faire fonctionner mon imprimante, ma trotinette électrique, mon four ou même mon taille-haie ou acheter un micro-onde ? Je regrette le temps où les objets fonctionnaient simplement avec un bouton on/off et non je n'ai vraiment pas besoin d'un four et d'un frigo connecté au wifi ^^
Je me suis d'abord dis : "ah oui d'ailleurs la raison de cet usage vient du fait qu'un homme a publié un jour un bouquin dans lequel il préconisait l'emploi de caractères spéciaux et de chiffres pour rendre les mots de passe plus difficile à cracker".
Une petite recherche sur google, plus tard, je trouve le nom de cet homme : Bill BURR (dans un ouvrage paru en 2003). Il a d'ailleurs avoué plus tard que sa recommandation ne reposait sur aucune étude !
www.lesechos.fr/2017/08/mots-de-passe-et-si-on-se-trompait-depuis-14-ans-180750
Puis une seconde recherche plus tard, je trouve l'endroit où j'ai lu pour la première fois cette info : ici même ^^
secouchermoinsbete.fr/79895-on-ne-remercie-pas-bill-burr
Ah purée, au risque de passer pour un vieux crouton, je me le dis TOUS LES JOURS.
Pour se constituer des bases clients, on use et on abuse de cette obligation. Et j'élargis même plus largement aux obligations IRL. Je me suis presque engueulé avec la vendeuse de BUT la semaine dernière car je refusais de laisser mon mail. Avec un air clairement supérieur, elle m'a dit que sans ça, je ne pourrai pas recevoir la facture. Il a fallu que j'insiste lourdement pour qu'ils me l'impriment sur place, c'est insupportable.
Tous les commentaires (30)
Un mot de passe assez long a double authentification validé sur votre smartphone qui change le mot de passe toutes les minutes est suffisant... C'est comme changer un mot de passe toutes les minutes... Très pratique... Même si on connaît votre mot de passe... De plus les audits trichent.... Ils ont accès à votre mot de passe en local et après 10 essais cela ne bloque pas votre mot de passe par le serveur distant... Car le mot de passe a trouver est en local et accès en illimité.
C'est franchement l'une des plus mauvaises idées à avoir été implémenté dans je ne sais combien de services informatiques.
Un moyen de s'en prémunir est l'utilisation d'un gestionnaire de mot de passe solide (pas ceux natifs dans les moteurs de recherche ou les téléphones) et indépendants. Et même comme ça, parfois, certains services refusent tels ou tels caractères et il faut bidouiller pour créer un compte.
Mais cela ramène à un autre problème encore plus "emmerdant". Pourquoi DOIS-je créer un compte utilisateur avec mot de passe pour faire fonctionner mon imprimante, ma trotinette électrique, mon four ou même mon taille-haie ou acheter un micro-onde ? Je regrette le temps où les objets fonctionnaient simplement avec un bouton on/off et non je n'ai vraiment pas besoin d'un four et d'un frigo connecté au wifi ^^
Je me suis d'abord dis : "ah oui d'ailleurs la raison de cet usage vient du fait qu'un homme a publié un jour un bouquin dans lequel il préconisait l'emploi de caractères spéciaux et de chiffres pour rendre les mots de passe plus difficile à cracker".
Une petite recherche sur google, plus tard, je trouve le nom de cet homme : Bill BURR (dans un ouvrage paru en 2003). Il a d'ailleurs avoué plus tard que sa recommandation ne reposait sur aucune étude !
www.lesechos.fr/2017/08/mots-de-passe-et-si-on-se-trompait-depuis-14-ans-180750
Puis une seconde recherche plus tard, je trouve l'endroit où j'ai lu pour la première fois cette info : ici même ^^
secouchermoinsbete.fr/79895-on-ne-remercie-pas-bill-burr
C'est des stats tout ce qui a de plus simple. On multiplie le nombre de caractères possibles par la longueur du mot de passe.
Si on a que des caractères minuscule uniquement le nombre de possibilité est :
Un mdp de 1 caractère : 26
Un mdp de 2 : 676
Un mdp de 5 : 11.881.376
Un mdp de 10 : 1,4×10^14
Si on a des majuscules en plus on rajoute 26 caractères, avec les chiffress ça en fait 10 de plus. Donc on est à :
Un mdp de 1 caractère : 62
Un mdp de 2 : 3844
Un mdp de 5 : 916.132.832
Un mdp de 10 : 8,4×10^17
Et le nombre de possibilité détermine la capacité d'un programme à trouver votre mdp par force brute. Mais les gens qui créent ces programmes sont pas bêtes, les programmes commencent par tester les combinaisons du genre 3333333 ou 175175175 ou bien Peugeot2025!3 (quand ils cherchent à trouver le mot de passe d'un cadre de peugeot). Donc soyez imaginatifs pour vos mdp.
Ah purée, au risque de passer pour un vieux crouton, je me le dis TOUS LES JOURS.
Pour se constituer des bases clients, on use et on abuse de cette obligation. Et j'élargis même plus largement aux obligations IRL. Je me suis presque engueulé avec la vendeuse de BUT la semaine dernière car je refusais de laisser mon mail. Avec un air clairement supérieur, elle m'a dit que sans ça, je ne pourrai pas recevoir la facture. Il a fallu que j'insiste lourdement pour qu'ils me l'impriment sur place, c'est insupportable.
Vous n'êtes pas des vieux croûtons : vous êtes juste attaché à l'efficacité. Dans plein de situations, il n'y a en réalité pas BESOIN de s'authentifier. C'est fait pour mettre le grappin sur vos données persos.
Qui, ici, a une carte de mutuelle sur son smartphone ?
Qui trouve ça plus pratique ?
À titre personnel, pour ouvrir ma carte de mutuelle sur smartphone, je dois subir une double authentification. Alors que je m'authentifie avec mon empreinte digitale.
Pour une CARTE DE MUTUELLE ?
Je ne crois pas qu'Apicil ait fait beaucoup d'économies en développant une application mobile plutôt qu'en imprimant et expédiant chaque année la carte physique...
Oui j'ai déjà vécu cela. Mais il faut bien que But t'envoie son catalogue tous les ans ^^.
C'est comme les réductions affichées en rayon et qui ne sont valables qu'avec la carte du magasin et la création d'un compte. Du coup je refuse la création et le vendeur ne comprend pas pourquoi. Faudrait que je vérifie si ça respecte bien le RGPD tout ça ^^
Ce n’est pas du côté du RGPD que j’irai chercher mais plutôt de la DGCCRF. J’y vois somme tout une atteinte à la liberté et à l’égalité entre les consommateurs pour acheter le même produit.
Mais après quand on voit les appels téléphoniques avec robot vocal (illégal en France sauf si on a un abonnement dans la boite qui appelle) et le fonctionnement de bloc tel (et l’inefficacité). C’est une vaine bataille
J'avoue c'est chiant. Après moi quand je m'inscris avec un mail je rajoute un +(nom de la compagnie) avant le @. Comme cela si je reçois une pub d'agence immobilière et qu'elle a été envoyée à cestbienmonmail+decathlon@gmail com, et bien je sais que c'est décathlon qui ont vendu mes données et je les bloque et les rapporte
J' ai un jour acheté une babiole à quelques euros alors que je me trouvais à plusieurs dizaines de kilomètres de chez moi. La vendeuse a insisté pour obtenir tout un tas d'informations personnelles sur moi pour éditer le ticket de caisse. "Sinon, vous ne pourrez pas faire jouer la garantie". Certes, mais le prix du bidule est moins élevé que celui du carburant pour venir l'échanger, alors je vais prendre le risque !
Je me souviens la première fois que j avais choisit un mot de passe: azerty . J avais trouvé ça tellement original que je m étais dit que personne n aurait l esprit assez tordu pour ne jamais le trouver.
L'autre jour, l'automate de distribution de bouteille de gaz m'ouvre un casier vide. Pour me faire rembourser, il a fallu que je crée un compte pour faire ma demande de remboursement avec aspiration d'un max de données obligatoires pour pouvoir commencer la procédure et sans aucun rapport avec le fait que leur machine était buggée... Dégoûté.
J'ai bossé dans des multinationales "françaises"
Non seulement les DSI avaient une ID et un MdP connus par tout le monde, mais dans une c’était :
ID : Félix - MdP : Lechat
dans l'autre :
ID : admin - MdP : admin
alors quand mon chef direct de la deuxième m'a donné, sans que je lui demande, son MdP, je n'ai pas été surpris que ce soit "password"
C'est comme le code d'accès aux cockpits d'Air France, c'est trop crétin, mais je ne le mettrait pas ici, si un avion tombait, je m'en voudrais
Au moins au Ministère de la Défense (à l'époque), pour éviter le piratage, ils avaient simplement découplé le réseau interne du réseau internet. Cela évitait toute problématique. Bon cela n'empêchait pas certains qui ne respectaient pas la procédure de mettre des clé USB vérolée dans le réseau. Et j'imagine (et j'espère) qu'aujourd'hui, ils ont de meilleures solutions.
Par contre, chez de grands constructeurs automobiles européens et non français, le sujet était pris bien plus au sérieux. Toutes les clés usb étaient vérifiées par le service info. Il suffisait d'une seul clé (meme non vérolée) non vérifiée soit branché pour bloquer l'ordinateur et tous les accès donc personne ne s'y risquait (ou en tout cas qu'une seule fois). Double authentification par token aléatoire car les portables perso étaient interdits sur le site.
Oui en attendant mélanger minuscules, majuscules, chiffres et caractères spéciaux renforce considérable la sécurité pour peu que la structure du mot de passe ne soit pas trop simpliste.
Avec un MDP de 8 caractères en minuscules (26 caractères total) on à 8 2.1×10¹¹ possibilités.
En ajoutant les majuscules (52 caractères total) on passe à 5.3×10¹³ possibilités.
En ajoutant les chiffres (62 caractères total) on passe à 2.2×10¹⁴ possibilités.
En ajoutant les characters spéciaux (±95 caractères total) on passe à 6.6×10¹⁵ possibilités.
Si on passe à 12 caractères c'est 8.9×10¹⁶, 5.6×10¹⁹, 3.2×10²¹, et 6.6×10²³ possibilités.
C'est effrayant de savoir que par flemme, beaucoup de backends sont juste protégés par:
user,username,superuser,admin,administrateur,administrator et azerty,azertyuiop,1234,motdepasse,password,pwd,42...
Avant même d'essayer des trucs plus sophistiqués, c'est les premières combinaisons qui sont essayées (parfois avec succès).
Autre fausse bonne idée : mettre sa date de naissance. Ou tout ce qui serait facile à retrouver sur des documents officiels par les black hats...
Salut,
Augmenter le nombre de mots de passe possibles n'est efficient que si la force brute basique est employée.
Qui emploi cette méthode pour craquer un mot de passe aujourd'hui ?
Permettre de mettre plus de caractères possibles est une méthode effectivement plus efficace comparée à une méthode avec seulement un seul type de caractère.
Mais imposer d'utiliser tel ou tel type de caractère est contre productif.
Je prend un exemple :
On impose un caractère spécial, la plupart des gens ne vont en utiliser qu'un.
Il est possible de diminuer le nombre de combinaisons sur ce critère.
Puisque l'on sait que forcément au moins un caractère spécial va être utilisé.
Alors dit comme ça, ça peut paraître pas très concluant, mais avec des algo qui se basent sur des études comportementales, ça réduit les possibilités de... possibilités.
Exemple : le mot de passe doit être de 12 caractères. La plupart des gens vont aller jusqu'à ces 12 caractères en cherchant à les avoir. Ils vont souvent mettre la majuscule (ou les majuscules) au début, ils vont souvent mettre les chiffres à la fin en prenant leur année de naissance ou leur département. Pour le caractère spécial, ils vont en mettre qu'un mais inséré entre 2 mots ou comme initiale d'un mot (@ pour a, 3 pour e, 0 pour o, etc.)...
Donc obliger de mettre tel ou tel type de caractère est contre productif. Le permettre est par contre très bien.
Les sociétés ont mis ces obligations en place pour faire croire qu'elles sont plus sécuritaires et qu'un non respect est le problème de l’utilisateur.
Un mot de passe SeCoucherM0insB3te avec des obligations (au moins un caractère spécial, au moins 1 chiffre, au moins une majuscule,...) sera moins protégé qu'un mot de passe avec secouchermoinsbete avec une possibilité de mettre tous les caractères mais sans obligation.
Mes sources ? Informaticien depuis près de 40 ans et ayant eu des fonctions de responsable de la sécurité dans des endroits très sensibles.
Je suis désolé de le dire mais rien ne peut être sécurisé à 100% (pas que dans l'informatique).
Pour finir je vais prendre l'exemple flagrant :
On m'impose ou me donne un mot de passe si compliqué que je le note quelque part.
CQFD
JP
Oui, les attaques par dictionnaire et/ou avec rainbow table fonctionnent à peu près ainsi (je vulgarise beaucoup mais c'est à peu près l'idée).
Du coup les parades sont de mettre des timers par tentatives, ajouter un "salt" pour le hash,etc...
Cec1EsTuNm0Td3P@sSeD1fFiclLE4tRoUvé .
Salut,
Augmenter le nombre de mots de passe possibles n'est efficient que si la force brute basique est employée.
Qui emploi cette méthode pour craquer un mot de passe aujourd'hui ?
Permettre de mettre plus de caractères possibles est une méthode effectivement plus efficace comparée à une méthode avec seulement un seul type de caractère.
Mais imposer d'utiliser tel ou tel type de caractère est contre productif.
Je prend un exemple :
On impose un caractère spécial, la plupart des gens ne vont en utiliser qu'un.
Il est possible de diminuer le nombre de combinaisons sur ce critère.
Puisque l'on sait que forcément au moins un caractère spécial va être utilisé.
Alors dit comme ça, ça peut paraître pas très concluant, mais avec des algo qui se basent sur des études comportementales, ça réduit les possibilités de... possibilités.
Exemple : le mot de passe doit être de 12 caractères. La plupart des gens vont aller jusqu'à ces 12 caractères en cherchant à les avoir. Ils vont souvent mettre la majuscule (ou les majuscules) au début, ils vont souvent mettre les chiffres à la fin en prenant leur année de naissance ou leur département. Pour le caractère spécial, ils vont en mettre qu'un mais inséré entre 2 mots ou comme initiale d'un mot (@ pour a, 3 pour e, 0 pour o, etc.)...
Donc obliger de mettre tel ou tel type de caractère est contre productif. Le permettre est par contre très bien.
Les sociétés ont mis ces obligations en place pour faire croire qu'elles sont plus sécuritaires et qu'un non respect est le problème de l’utilisateur.
Un mot de passe SeCoucherM0insB3te avec des obligations (au moins un caractère spécial, au moins 1 chiffre, au moins une majuscule,...) sera moins protégé qu'un mot de passe avec secouchermoinsbete avec une possibilité de mettre tous les caractères mais sans obligation. Bien sûr ceci n'est qu'n exemple et non valable sur ce site ni pour toute personne qui le fréquente.
Mes sources ? Informaticien depuis près de 40 ans et ayant eu des fonctions de responsable de la sécurité dans des endroits très sensibles.
Je suis désolé de le dire mais rien ne peut être sécurisé à 100% (pas que dans l'informatique).
Pour finir je vais prendre l'exemple flagrant :
On impose ou me donne un mot de passe s compliqué que je le note quelque part.
CQFD
JP
C'est dommage que l'anecdote donne le chiffre 10 car à l'heure actuelle, avec la matériel utilisé pour le brut force, il est conseillé d'avoir une longueur absolument supérieure à 12. Supérieure à 16 est conseillé. Mais de toute façon, à partir du moment où on utilise un gestionnaire de mot de passe, la meilleure pratique, on peut se lâcher et en generer des beaucoup plus long. Il faut juste bien choisir son mdp maître!
Sinon, une page qui vous aide à trouver un bon mot de passe ^^ :
neal.fun/password-game/