Là où ça dérape un peu, c'est quand [libé nous dit que] les crypteurs s'échinent à mettre au point des formules incassables, mais en pure perte selon les experts.
Aller plus loin
- l'article de libération (7 clics)
Une enquête sur le choix des mots de passe
28
juin
2001
Un article paru sur libé résume les résultats d'une étude anglaise sur le choix des mots de passe, étude faite sur un panel de 1200 personnes. Il en ressort 4 grandes familles d'utilisateur: les familiaux (47%) choisissent les noms de leurs proches ('ingrid', 'médor','jeankevinleboulet',...), les fans de stars (32%, 'homersimpsons', 'fabien',...), les obsessionnels (11%) utilisent des mots de passe qui reflètent leur orientation sexuelle ('prendsmoisurlegravier','nutella',...), et enfin les crypteurs (9%) qui utilisent de vrais mots de passe.
Là où ça dérape un peu, c'est quand [libé nous dit que] les crypteurs s'échinent à mettre au point des formules incassables, mais en pure perte selon les experts.
Là où ça dérape un peu, c'est quand [libé nous dit que] les crypteurs s'échinent à mettre au point des formules incassables, mais en pure perte selon les experts.
# tribunestory-dept
Posté par kadreg . Évalué à -1.
[^] # Re: tribunestory-dept
Posté par Troy McClure (site web personnel) . Évalué à -1.
[^] # Re: tribunestory-dept
Posté par Infernal Quack (site web personnel) . Évalué à 0.
Dis Fabien, tu lances john the ripper sur nos mot de passe avec comme dictionnaire les archives de la tribune ?
co1nco1n, FRED, nutella, blo, HTMLsux, kernelle, troll, meteo@ :)))
Bon je sens que je vais aller changer mon mot de passe moi ;)
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: tribunestory-dept
Posté par Annah C. Hue (site web personnel) . Évalué à -1.
[^] # Re: tribunestory-dept
Posté par Anonyme . Évalué à 0.
Kadreg, pas identifié, parcequ'il s'est deloggé, et ne peut plus se relogger :)
[^] # Re: tribunestory-dept
Posté par Troy McClure (site web personnel) . Évalué à -1.
> Kadreg, pas identifié, parcequ'il s'est deloggé, et ne peut plus se relogger :)
bien fait !
[^] # Re: tribunestory-dept
Posté par kadreg . Évalué à -1.
Oui, c'est d'ailleurs pour ca que mon compte ne marchais plus.
et hop, -1, ridicule :)
[^] # Re: tribunestory-dept
Posté par tomazi . Évalué à -1.
C'est une mauvaise excuse : si tu l'as oublié, on peut en envoyer un autre (généré aléatoirement) à la place.
J'en profite pour dire que le "close your session" de www.dacode.org ne marche pas (en tout cas avec IE5.5)
[^] # Re: tribunestory-dept
Posté par Anonyme . Évalué à 0.
[^] # Re: tribunestory-dept
Posté par woof . Évalué à 1.
Qd on vous le maile, c'est un truc random..
Faut pas nous prendre pour big-brother hein, c pas loftstory ici ;P
--
moi
[^] # Re: tribunestory-dept
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 1.
[^] # Tient, un revenant.
Posté par Wawet76 (site web personnel) . Évalué à 1.
--
[^] # Re: tribunestory-dept
Posté par woof . Évalué à -1.
Hop, -1 Offtopic
[^] # Re: tribunestory-dept
Posté par Ramón Perez (site web personnel) . Évalué à -1.
On définirait dans la tribune une liste de mots, et il faudrait faire une news en les plaçant tous !
[^] # Re: tribunestory-dept
Posté par Troy McClure (site web personnel) . Évalué à -1.
je sais pas si tu est productif dans ton travail, mais pour les conneries, ça marche à plein régime :)
--
<-- insert your ad here for only 1.5$/day !!! -->
[^] # Re: tribunestory-dept
Posté par kadreg . Évalué à -1.
Ca depend si on considere que la tribune fait parti de son travail :)
[^] # Re: tribunestory-dept
Posté par Ramón Perez (site web personnel) . Évalué à -1.
# Quel panel ?
Posté par kadreg . Évalué à 1.
C'est a peu près aussi malin que de calculer le pourcentage d'utilisation des OS en se basant sur les stats d'un seul serveur web (51% des gens utilisent netscape, 32% linux sur le mien, je suis pas sur que ce soit super representatif).
Sinon, pour les experts, quelqu'un dans la tribune voulais s'en charger, je vais le laisser faire.
[^] # Expert ?
Posté par Ano . Évalué à 1.
Il est vrai que la technique de la phrase est pas mal... Perso c'est souvent 1ere lettre du mot + nombre de lettres avec alternance maj/min. Exemple:
"Le petit chaperon rouge" peut donner au choix:
L2p5C8r5
l2P5c8R5
2L5p8C5r
2l5P8c5R
Pour avoir apris la technique à des collègues, je peux vous dire qu'il suffit de l'expliquer une fois à un utilisateur et les mots de passe prennent du corps: il peut faire la même chose avec les prénoms de ses enfants+leur age, les 18 morceaux de son CD favoris, etc, etc, etc...
Comme quoi, la sensibilisation n'est pas super difficile...
[^] # Re: Expert ?
Posté par Vanhu . Évalué à 1.
Très mauvais exemple !!!
Rien de plus facile à obtenir commes informations autour d'un café, au détour d'un couloir ou autre !!
Il suffit alors de constituer un dictionnaire basé sur ces informations (et il va etre léger, le dictionnaire...) puis de tester toutes les variantes classiques (et les variantes que tu donnes sont *tres* classiques !!!).
Maintenant, l'idée des premières lettres d'une phrase, pouquoi pas, mais pas n'importe quelle phrase (ou plutot, si, n'importe quoi de surtout pas prévisible !).
A +
VANHU.
[^] # re:
Posté par Troy McClure (site web personnel) . Évalué à 1.
je fais un jeu de mot (très mauvais, le but n'est pas d'être hilarant) sur le nom de la machine/du site/mon login, et je prends les premieres lettre de chaque mot. ça marche pas trop mal :)
[^] # Re: re:
Posté par Anonyme . Évalué à 0.
merci.
[^] # Pas faux...
Posté par Ano . Évalué à 1.
Je suis tout à fait d'accord sur le fait qu'en entreprise, pour une protection totale interne/externe, faut bien sur éviter le prévisible.
# Les "experts". Experts en quoi ?
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
Henry-Machin du Moulout (aka Paul-André Pays), exepert reconnu dans le monde mondial, nous raconte que «le niveau de sécurité de la technique "mot de passe" est très faible». Ben alors si c'est aussi nul, pourquoi s'emm^Hbeter à faire des tests sur des mots de passes inutiles puisque n'apportant aucune sécurité (sujet principal de l'article).
Alors comment qu'on fait(ty) pour se protéger si les mots de passe sont obsolètes ? Par carte à puce ? Et si on me la vole ? Ah non on la protège par code secret. Ouf je suis rassuré un code secret c'est beaucoup plus secure qu'un mot de passe.
On peut aussi s'autentifier par clé assymétrique, mais alors il faut protèger la clé secrète. Et par quel moyen ? Par une carte à puce bien sûr. Ah c'est beau la techno.
D'ici un an on se logguera sur linuxfr par carte à puce, moi je vous le dis. Et je suis exepert consultant de la république en sécurité des ordinateur, vous pouvez avoir confiance en moi.
[^] # Re: Les "experts". Experts en quoi ?
Posté par Vanhu . Évalué à 1.
Pour ce qui est de la faiblesse des mots de passe, je crois que c'est surtout du à un facteur indispensable aux mots de passe, et (presque) inutile pour les autres technologies (carte à puce, clé USB, etc...): le cerveau humain !
Des qu'un code doit etre stocké dans un cerveau humain, il va avoir tendance à suivre certains principes classiques:
- Longeur assez faible (rarement plus de 8 caracteres, et encore, c'est deja pas mal).
- Complexité assez ridicule (soleil, toto, prénom des enfants/du chien/du poisson rouge/de la moule).
- Stockage sur un moyen annexe (post-it sur l'écran, noté dans le bloc notes, etc...).
- Diffusion rapide (surtout s'il s'agit du prénom des enfants/du chien/de la moule), sans meme s'en rendre compte.
- Diffusion possible volontairement, simplement par inconscience: un mot de passe, ca fait "phrase secrete a la con quand on etait gosses et qu'on jouait", alors qu'une carte a puce, la plupart des gens ont quand meme compris que ca se prete pas a tout le monde.
- Grande facilité de reproduction.
- Multiplication des usages (même mot de passe pour le login, le compte mail du provider, etc...).
Ca rend donc les mots de passes encore plus facilement cassables que le reste.
Et même si tu réussils à contourner tout ca, il reste encore la méthode brute. Et comme tu es super content de ton mot de passe méga long et méga compliqué que meme toi t'as eu un mal de chien a le retenir, tu vas le garder pendant des années, ce qui laisse tout le temps d'une belle attaque brute.....
Voila...
A +
VANHU.
PS: et en plus, imagines la galere pour taper ton mot de passe quand tu as le clavier qui se blo
[^] # Re: Les "experts". Experts en quoi ?
Posté par Anonyme . Évalué à 0.
# Tiens? Libération c'est un truc français ...
Posté par Anonyme . Évalué à -1.
# Fabien ?
Posté par Anonyme . Évalué à 0.
just kidding....
[^] # Re: Fabien ?
Posté par Anonyme . Évalué à 0.
^_^
# cela ne veut rien dire...
Posté par Anonyme . Évalué à 0.
(avec quelques caracteres de controles).
mais c'etait juste parce que j'etais en pleine redaction de ma these :-)
[^] # Re: cela ne veut rien dire...
Posté par a_jr . Évalué à -1.
La prochaine fois, ecris LaTeX, pas latex! ;-)
le bonjour chez toi,
Yves
(commentaire quasi inutile. -1)
[^] # Re: cela ne veut rien dire...
Posté par Ramón Perez (site web personnel) . Évalué à -1.
(à quand les commentaires à -2 ?)
# 1200 personnes ont donné leur mot de passe !
Posté par Tonton Vecteur . Évalué à 1.
Des intrusions se font grâce à la force de conviction de certain(e)s pirates. Dans Pirates mag' une femme en était même spécialiste.
Selon le célèbre adage "sur Internet, personne ne sait que vous être un chien", n'importe qui peut se faire passer pour n'importe qui d'autre pour faire n'importe quoi ! Ddonneriez-vous votre mot de passe d'accès à LinuxFR si vous receviez un mail de fabien@linuxfr.org ?
# choix des mots de passe
Posté par a_jr . Évalué à 1.
Si on prend un milieu ou tout le monde utilise le meme mot de passe, y'a pas besoin de crypter un max car tout le monde connait le mot de passe. Peut-etre que autologin suffirait.
Si on prend un milieu ou chacun doit avoir son mot de passe et ne pas le filer au autres, je ne crois pas que la securite soit fondamentale. C'est juste pour eviter que n'importe qui fasse n'importe quoi. Dans le meme ordre d'idee, les digicodes a l'entree des maisons. Tout le monde les connait (proprio, facteur, livreur de pizza...) sauf les amis. Le but est juste d'empecher les personnes non autorisees de faire n'import'nawak. La, un mot de passe pas trop complique mais simplement illisible suffit. Illisible car si ca arrive de le taper en clair et de s'en apercevoir 2 secondes apres, le collegue derriere se souviendra que le mot de passe etait 'latex'. Alors que si c'etait 'proCesSeurdETeXTe' (je prefere SGML a LaTeX :-), le collegue il a rien vu.
Et puis y'a les milieus hautement securises comme les serveurs des banques ou de l'armee, ou la il faut une piece gardee par un vigile, une carte a puce, un appareil a reconnaissance d'ADN qui complemente celui a reconnaissance retinienne. Et je suis pas sur que ca suffise ;-)
Bref, un mot de passe, choisissez-le simplement illisible. Un bon vieux mot de passe a la W4rL0rD5 devrait aller. Ou alors, un truc correct: un mot du dictionnaire, mais on met les voyelles au debut et les consonnes a la fin. Avec un chiffre quelconque au milieu pour separer.
Et puis sinon, une phrase/proverbe dont on ne prend que les initiales, style 'Uhed1C:p'. En d'autres termes: 'Un homme entre dans 1 Cafe: plouf' (arf, elle est bonne! pour ceux qui ont pas compris... Bah non, je vais pas l'expliquer, reflechissez :-)
Bon, voila mon idee des mots de passe. Surement pas exhaustive. Probablement imparfaite. Mais qui n'a pas tape son login et, avant d'attendre le prompt 'password:', a tape le debut de son mot de passe en clair? Si le debut du mot de passe est 'Bretag', quelle est la fin? Alors que si le debut est 'Uhed1C', quelle est la fin?
Le bonjour chez vous,
Yves
PS. Cherchez pas mon mot de passe, il est pas dans le dictionnaire. Et j'ai change apres le piratage de sf.net
[^] # Re: choix des mots de passe
Posté par MetalX . Évalué à 1.
> le collegue il a rien vu.
Sauf que comme tu te plantes 3 fois avant de le taper correctement ...
> Alors que si le debut est 'Uhed1C', quelle est la fin?
Facile, :p
Et je l'ai plus d'une fois taper en entier :o((
# on se plante de cible
Posté par Anonyme . Évalué à 0.
Un autre probleme je trouve, c'est tous les pwd demandés pour internet : outre le fait qu'il faille s'en rappeler 50 (et qu'il faut prendre des pwd differents), les abrutis de developpeur de ces sites nous obligent certains symboles :
alors sur tel site le pwd c'est 4 à 6 lettres
sur tel autres : min 8 char avec 2 chiffres et 2 char spec
ou encore : interdiction aux char speciaux
C'est là que ca devient dur, et c'est pour cela que certains sites on de moi 40 insciptions (car j'ai oublié les pwds)
Autre problemes encore pire : les sites qui changent la validation du pwd, par example sur certains sites, il y à 1 an on choisissait son pwd, mais maintenant c'est super restrictif (genre 4 lettres) du coup je ne peux pas changer mon pwd car ca contient tjs ".=+"
Dans les boites ou les admins font leur boulot, (super facile sur NT) (je ne sais pas comment sur linux) ont donne une limitte de validité du pwd et des recommendations - effet pervers, ts les pwd sont affiches sur un postit sur l'ecran !
[^] # Re: on se plante de cible
Posté par Christophe Merlet (site web personnel) . Évalué à 1.
Voilà comment on fait sous Linux :
$ man 5 shadow
$ man 1 chage
# Une future matière à l'école...
Posté par gwenn cumunel (site web personnel) . Évalué à -1.
Il va falloir que l'éducation nationale se penche là dessus.
. La grammaire des mot de passe
. Les fautes à ne jamais commettre dans les mots de passe
. Bien configurer son mot de passe...
Après 4 ans d'étude, le ch'tit nécolier il aura son diplôme et il aura droit de se faire des mots de passe.
(Alors là, je touche le fond (fin de semaine), donc -1...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.