Bonjour,
Au boulot, nous devons changer nos passwords tous les 30jours. Pire, il ne peut pas être pareil que les 6 passwords précédents ni contenir un des 6 passwords précédents !
Or, je me souviens avoir lu une étude qui démontrait que ce genre de pratique faisait pire que bien : les passwords avaient tendance à se simplifier au cours du temps, la propension à écrire son mot de passe sur un post-it devenait de plus en plus grande, le nombre d'erreur augmentait.
Or le service informatique est près à changer cela si je leur fournis le papier en question. Que je ne retrouve plus évidemment.
J'ai également le souvenir d'avoir vu passé un article similaire (mais plus léger) sur planet.gnome il y a quelques semaines mais je ne retombe plus dessus non plus.
Quelqu'un a un lien ?
PS : si jamais qqn du service en question se reconnait, bravo, +1 pour lire Linuxfr, ça vous fait un bon point dans mon estime ;-)
Journal Le changement de password pue du rond
7
déc.
2007
# Papier
Posté par patrick_g (site web personnel) . Évalué à 2.
Néanmoins si j'en crois le méga-spécialiste de la sécurité et de la cryptographie Bruce Schneier : il est rationnel et conseillé d'écrire ses password sur un bout de papier => http://www.schneier.com/blog/archives/2005/06/write_down_you(...)
[^] # Re: Papier
Posté par patrick_g (site web personnel) . Évalué à 3.
Voici ce qu'il dit au sujet des passwords :
"There’s this rampant myth that you shouldn’t write your passwords down. My advice is exactly the opposite. We already know how to secure small bits of paper. Write your passwords down on a small bit of paper, and put it with all of your other valuable small bits of paper: in your wallet."
PS : Il pointe aussi vers des articles sur les mot de passe ou tu trouvera peut être ton bonheur :
http://www.schneier.com/blog/archives/2006/12/realworld_pass(...)
http://www.schneier.com/blog/archives/2007/01/choosing_secur(...)
[^] # Re: Papier
Posté par 태 (site web personnel) . Évalué à 10.
Hé oui, c'est là que je range mon code de carte bancaire, mon mot de passe linuxfr, mon mot de passe pour les formulaires de recrutement, le code de mon immeuble, les clefs de chez moi et un extrait d'acte de naissance. Comme ça, je suis tranquille, si je « perds » mon portefeuille, c'est à un vol d'identité pur et simple que je m'expose.
[^] # Re: Papier
Posté par Rémi Pannequin . Évalué à 9.
Un intrus s'est glissé dans cette liste, sauras-tu le retrouver ?
[^] # Re: Papier
Posté par Sébastien B. . Évalué à 10.
[^] # Re: Papier
Posté par NickNolte . Évalué à 6.
[^] # Re: Papier
Posté par imr . Évalué à 8.
0/ tatoue toi sur le bras le fait que tu dois te tatouer tes mots de passe sur le corps
1/ tatoue toi un mot de passe quelque part de libre
2/ oublie lequel c'était le lendemain
3/ retour au 1/
[^] # Re: Papier
Posté par NickNolte . Évalué à 3.
[^] # Re: Papier
Posté par Axel R. (site web personnel) . Évalué à 2.
Parce que déjà, si tu te ballades à poil, tu vas attraper froid et en plus, tout le monde verra ton mot de passe.
Axel
# Autre expérience
Posté par GnunuX (site web personnel) . Évalué à 6.
Au lieu de partagé le mot de passe avec les personnes de confiance, ils étaient partagés avec tout le monde.
[^] # Re: Autre expérience
Posté par Bastien Leblanc (site web personnel) . Évalué à 4.
[^] # Re: Autre expérience
Posté par Nicolas Boulay (site web personnel) . Évalué à 10.
"La première sécurité est la liberté"
# Bruce Schneier (facts) et ses amis
Posté par Anonyme . Évalué à 7.
http://www.schneier.com/blog/archives/2005/06/write_down_you(...)
Le post it n'est pas forcément un problème.
De deux, un article complet sur les politique de gestion de mots de passe (retrouvé via le blog de shneier) :
http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/
Extraits :
If any of the other attack methods succeed, the password needs to be changed immediately to be protected — a periodic change is likely to be too late to effectively protect the target system.
Si une des autres attaques [citées plus haut dans l'article] a fonctionné, le mot de passe doit être changé immédiatement pour être protégé - un changement périodique a des chances d'arriver trop tard pour protéger la cible efficacement.
In summary, forcing periodic password changes given today’s resources is unlikely to significantly reduce the overall threat
Pour résumer, forcer un changement périodique de mots de passe dans les environnements actuels n'a que peu de chances de réduire la menace.
This is DESPITE the fact that any reasonable analysis shows that a monthly password change has little or no end impact on improving security! It is a “best practice” based on experience 30 years ago with non-networked mainframes in a DoD environment — hardly a match for today’s systems, especially in academia!
Ceci malgré le fait que n'importe quelle analyse raisonnable montre qu'un changement de mots de passe mensualisé a très peu voir aucun impact final sur l'amélioration de la sécurité ! C'est une "pratique recommandée" basée sur une expérience vieille de 30 ans avec des mainframes sans réseau, dans un environnement du DoD (departement of defense) - cela correspond peu aux systèmes actuels [...].
Il y plein d'autre informations en plus des politiques de changement périodique.
# technique à moi que j'ai
Posté par Putifuto . Évalué à 10.
Dans ma boîte aussi, il y a ce genre de politique. D'ailleurs, ca vient d'arriver aujourd'hui.
Ce que je vais, c'est que le jour du changement, je fais 6 changements de MDP et je remets toujours le même. (un costaud avec des Majuscules/minuscule/chiffre/caractère à la con (que j'ai appris à retrouver facilement sur un qwerty on ne sait jamais.)
Ma société est trop grosse pour tenter de faire changer cette pratique. A coté de ça, on est resté des années avec comme mot de passe pop le prénom. Ca a changé le jour ou l'un des managers ne comprenait pas pourquoi certains mails n'arrivaient jamais.
Mais le pop3 n'est toujours pas sécurisé.
</my life>
[^] # Re: technique à moi que j'ai
Posté par fabien . Évalué à 10.
mais le pire c'est que je dois repondre anuellement a un questionnaire securité, et ces cons dans le mails de lancement de la campagne ils me mettent à chaque fois mon mot de passe pour acceder à leur intranet... ha bon?!... ils l'ont stocké en clair ? .. un questionnaire sur la quoi déjà ? ;)...
[^] # Re: technique à moi que j'ai
Posté par ham . Évalué à 2.
on en peut pas changer trop vite de password ( une fois toute les heures) et ils garde de l'ordre de 10 anciens MdP
-> pas possible d'utiliser la meme technique.
donc, comme ailleurs j'ai la technique :
mdP de base + index
[^] # Re: technique à moi que j'ai
Posté par Fabimaru (site web personnel) . Évalué à 3.
Heureusement, je n'ai pas encore été confronté au problème car mes collègues et moi n'avons pas encore réussi à nous connecter sur ce fameux intranet concocté par nos confrères d'outre-manche, muahahaha (superbe gain de productivité quand tous les employés s'acharnent à faire marcher ce truc).
[^] # Re: technique à moi que j'ai
Posté par calandoa . Évalué à 3.
Ma technique c'est d'avoir un pw abc0, abc1, abc2... qui tourne en boucle, apparement le soft n'est pas encore capable de détecter la technique, mais je sens qu'un jour va falloir que je trouve un truc plus tordu.
L'autre truc super efficace, c'est que si tu dois le réinitialiser, il faut appeler la hotline à Bangalore. J'ai du le faire une fois. Au bout de la xième tentative pour comprendre ce que le type m'épellait, j'ai racroché et j'ai essayé tous les passwords par défaut possible jusqu'à trouver le bon. Ça n'a pas l'air très crédible, cette histoire, comme quoi deux individus parlant anglais sont totallement incapable de se communiquer un mot, mais malheureusement, il suffit d'avoir bosser avec des indiens pour s'apercevoir que des problèmes (et leur résolutions) considéré comme simples en occident ne le sont pas du tout là bas.
En tout cas depuis je n'ai jamais plus oublié mon password.
# plutôt que le post-it...
Posté par Psychofox (Mastodon) . Évalué à 3.
http://www.zataz.com/communique-presse/7715/CryptMe-PaTHword(...)
ça permet de garder des mots de passes forts tout en gardant un moyen mémotechnique très simple à retenir.
[^] # Re: plutôt que le post-it...
Posté par ZeroHeure . Évalué à 2.
mais ça semble ne plus exister
(les sites de la boite ne répondent plus)
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: plutôt que le post-it...
Posté par Psychofox (Mastodon) . Évalué à 3.
[^] # Re: plutôt que le post-it...
Posté par solsTiCe (site web personnel) . Évalué à 1.
enfin le truc complet (pour netword ID)
c'est le serveur qui t'envoie un couple lettre-nombre comme à la bataille navale. position à partir de laquelle il faut tracer le chemin pour récupérer un nouveau mot de passe à chaque fois
et donc en fin de compte le mot de passe c'est le chemin
# Je pense que c'est celui là
Posté par WaVeR . Évalué à 8.
With so many passwords to remember, this is a perfectly rationale way of coping with the changing-password demand. Of course, it must also be admitted that it has the opposite effect of the intended purpose. Rather than improving security, forcing users to change passwords makes security weaker, since everyone has to find some coping mechanism for dealing with the short expiration. Under the flag of strengthening security, this practice actually weakens it.
Source:
http://dontgogentle.blogspot.com/2007/12/magazine-passwords-(...)
# tu travailles dans une banque ?
Posté par manatlan (site web personnel) . Évalué à 6.
[^] # Re: tu travailles dans une banque ?
Posté par Yannick P. . Évalué à 2.
# Re:
Posté par Tonton Benoit . Évalué à 10.
Tapettes, chez Microsoft ils font beaucoup mieux http://support.microsoft.com/kb/276304
Sinon perso je préfère utiliser une séries de mots de passes aléatoires (avec des caractères minuscules, majuscules des chiffres... voir des caractères spéciaux) que je garderai 2 ou 3 ans plutôt qu'un matine qui je changerai en panthere au bout de 30 jours.
[^] # Re: Re:
Posté par kowalsky . Évalué à 3.
Il faut voir que si ton mot de passe est corrompu, fort ou pas, il
est compromis pendant toute sa durée de vie !
Plus elle est courte cette durée de vie, plus mieux c'est meilleur :)
[^] # Re: Re:
Posté par Tonton Benoit . Évalué à 5.
[^] # Re:
Posté par Psychofox (Mastodon) . Évalué à 6.
[^] # Re: Re:
Posté par cosmocat . Évalué à 3.
Et sur certainds sites, il faut aussi se rappeler le login.
# éduquer les utilisateurs d'abord
Posté par palm123 (site web personnel) . Évalué à 4.
J'avais lu un truc simple pour se créer un mot de passe: prendre une phrase que l'on aime bien (dans mon cas, la phrase de Raffarin: "les veuves vivent plus longtemps que leurs maris"), et garder la première lettre de chaque mot (ou la dernière, ou la deuxième). On peut ajouter quelques chiffres qu'on aime bien au début, au milieu ou à la fin, ou un carcatère spécial. Ca fait un mot de passe qui n'est pas significatif (en général), qui se retient facilement, et qui n'est pas facile à trouver.
Il y a plein d'autres techniques, comme générer des mots de passe de manière aléatoires, et quand on en voit un qui nous plait/parle, on le garde.
ウィズコロナ
[^] # Re: éduquer les utilisateurs d'abord
Posté par Thomas Douillard . Évalué à 0.
C'était un proverbe qui contenait son prénom et dont il avait gardé la premières lettres des mots.
[^] # Re: éduquer les utilisateurs d'abord
Posté par palm123 (site web personnel) . Évalué à 2.
en regardant par-dessus son épaule ?
ウィズコロナ
[^] # Re: éduquer les utilisateurs d'abord
Posté par Thomas Douillard . Évalué à 5.
[^] # Re: éduquer les utilisateurs d'abord
Posté par Sébastien B. . Évalué à 7.
[^] # Re: éduquer les utilisateurs d'abord
Posté par dawar (site web personnel) . Évalué à 9.
[^] # Re: éduquer les utilisateurs d'abord
Posté par blobmaster . Évalué à 4.
Immortel Archimède, artiste ingénieur,
Qui de ton jugement peut priser la valeur ?
Pour moi, ton problème eut de pareils avantages.
Jadis, mystérieux, un problème bloquait
Tout l'admirable procédé, l'½uvre grandiose
Que Pythagore découvrit aux anciens Grecs.
0 quadrature ! Vieux tourment du philosophe
Insoluble rondeur, trop longtemps vous avez
Défié Pythagore et ses imitateurs.
Comment intégrer l'espace plan circulaire ?
Former un triangle auquel il équivaudra ?
Nouvelle invention : Archimède inscrira
Dedans un hexagone ; appréciera son aire
Fonction du rayon. Pas trop ne s'y tiendra :
Dédoublera chaque élément antérieur ;
Toujours de l'orbe calculée approchera ;
Définira limite ; enfin, l'arc, le limiteur
De cet inquiétant cercle, ennemi trop rebelle
Professeur, enseignez son problème avec zèle.
[^] # Re: éduquer les utilisateurs d'abord
Posté par Obsidian . Évalué à 2.
[^] # Re: éduquer les utilisateurs d'abord
Posté par Obsidian . Évalué à 4.
Ke jème a fer aprendre 1 nonbre utile o sage
imortelle archimaide, artist injénieure,
ki 2 ton jujement peu prizer la valeure ?
Pour moa, ton pb U 2 pareil zavantache.
Ce qui ramènerait la valeur de Pi à 2,4138165, environ ...
# changement tous les 3 mois
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Ils sont généré aléatoirement et on le choisis parmis ceux proposé. (un mixte de lettre et de chiffres)
Par contre, ils sont assez gentil pour que la majeur partie des logiciels utilisent les mêmes mots de passes.
"La première sécurité est la liberté"
[^] # Re: changement tous les 3 mois
Posté par Ontologia (site web personnel) . Évalué à 2.
Sérieusement, il ya des entreprises où on permet de mettre des mots de passe un peu trop simple...
« Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker
[^] # Re: changement tous les 3 mois
Posté par patrick_g (site web personnel) . Évalué à 3.
Hum visiblement ce n'est pas une boite internationale. J'imagine la tête d'un anglais si on lui pose une question de ce style ;-)
# Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Générateur de mot de passe
Posté par Joris Dedieu (site web personnel) . Évalué à 1.
Vim avec le plugin qui va bien et ça roule.
Ca ne change que lorsque quelqu'un quitte la boite.
http://expect.nist.gov/example/mkpasswd.man.html
[^] # Re: Générateur de mot de passe
Posté par _kawa_ . Évalué à 3.
En fait je n'ai pas eu besoin d'aller bien loin pour me faire une idée : la qualité d'un générateur aléatoire va dépendre avant tout de... la qualité de l'alea généré.
La seule source d'alea de ce programme est celui de la fonction rand() :
proc rand {m} {
expr {int($m*rand())}
}
L'interpreteur est /usr/bin/expect, je ne sais pas trop en quoi consiste sa fonction rand(), mais elle doit être équivalente à celle du C.
A savoir, un simple générateur congruentiel qui n'a que 2^32 initialisations possibles.
Bref, ce script ne peut donner que 2^32 mots de passe différents.
En conclusion :
d-jo, chez vous, tous vos mots de passe sont cassés en moins de deux heures sur une machine de bureau !!
Remarque : si jamais je me trompe, que leur générateur aléatoire sort des valeurs depuis /dev/random, c'est une autre histoire ;)
[^] # Re: Générateur de mot de passe
Posté par yellowiscool . Évalué à 1.
Envoyé depuis mon lapin.
[^] # Re: Générateur de mot de passe
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 4.
[^] # Re: Générateur de mot de passe
Posté par Joris Dedieu (site web personnel) . Évalué à 2.
La fonction rand est elle la même sous linux (gnu j'imagine) que sous freebsd ? Je regarderai lundi le code du truc.
Merci pour l'info en tout cas .
S'il faut patcher le truc, j'irais voir ce que fait gpg.
[^] # Re: Générateur de mot de passe
Posté par palm123 (site web personnel) . Évalué à 1.
d-jo, chez vous, tous vos mots de passe sont cassés en moins de deux heures sur une machine de bureau !!
Je connais moins bien Linux que Vms, mais sous Linux, il n'y a pas de mécanisme pour bloquer les tentatives répétées, comme les paramètres LGI de Vms ?
http://forums11.itrc.hp.com/service/forums/questionanswer.do(...)
Voyez ce que dit Gillings et lgi_hid_tim
Après avoir essayé sans succès un mot de passe, il faut attendre une certaine durée pour pour que l'essai suivant soit valide.
Si le paramètre est à 2 jours, tout essai infructueux avant 2 jours de délai donnera un échec, vu que la source est repérée, même si le mot de passe rentré est le bon.
Merci pour toute info sur ce sujet.
ウィズコロナ
[^] # Re: Générateur de mot de passe
Posté par _kawa_ . Évalué à 2.
On peut alors mener l'attaque hors ligne.
Si on parle de solidité (pure) du mot de passe, on doit se placer dans ces conditions.
Remarquez qu'elles ne sont pas irréalistes : sur une authentification à distance, un attaquant peut voir passer cette empreinte en écoutant le réseau, puis mener son brute force tranquillement. chez lui.
# Pas très sécurisé
Posté par Yusei (Mastodon) . Évalué à -3.
[^] # Re: Pas très sécurisé
Posté par Putifuto . Évalué à 5.
il suffit de garder le hash (md5 par exemple). Pas le mot de passe.
[^] # Re: Pas très sécurisé
Posté par Nicolas Schoonbroodt . Évalué à 4.
Si ton nouveau mot de passe est "nouveau", et que la taille minimum est de 6, il suffit de vérifier le résultat de la fonction de hashage pour : nouvea, ouveau, nouveau, et de comparer aux vieux hashs stockés.
[^] # Re: Pas très sécurisé
Posté par Nicolas Schoonbroodt . Évalué à 6.
passwd
Changing password for nicolas.
Mot de passe UNIX (actuel) : *enregistrer ici* (ssi le changement réussi)
Entrez le nouveau mot de passe UNIX :
Retapez le nouveau mot de passe UNIX :
Sorry, passwords do not match (donc ici on n'enregistre plus du coup)
[^] # Re: Pas très sécurisé
Posté par Yusei (Mastodon) . Évalué à 2.
[^] # Re: Pas très sécurisé
Posté par Matthieu Moy (site web personnel) . Évalué à 2.
De toutes façons, y'a toujours un moment où ton mot de passe est en clair dans la RAM, hein ;-).
[^] # Re: Pas très sécurisé
Posté par Yusei (Mastodon) . Évalué à 2.
(cf. journal si cette question vous semble idiote)
# Argument
Posté par Matthieu Moy (site web personnel) . Évalué à 3.
Demandes aux gens de trouver un mot de passe solide, et autorises-les à le changer de temps en temps : les utilisateurs vont peut-être prendre des trucs genre a78/x{;wq. Demandes-leur de changer tous les mois, ils vont prendre totoDec2007.
Ça se vérifie avec à peu près tous les gens avec qui j'ai parlé qui avaient une politique de mot de passe comme ça au boulot : leur mot de passe contient le mois et l'année, il ne reste que quelques caractères difficiles à forcer, et encore.
En tous cas, j'espère qu'ils ont aussi une politique de vérification de la sureté des mots de passes (genre, faire tourner John the ripper pendant quelques heures/jours régulièrement), parce que sinon, bof bof la sécurité.
[^] # Re: Argument
Posté par ploum (site web personnel, Mastodon) . Évalué à 2.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Argument
Posté par Jak . Évalué à 2.
Mais ? N'importe quel imbécile utilise ce code pour ses valises !
[^] # Re: Argument
Posté par z a . Évalué à 4.
[^] # Re: Argument
Posté par Matthieu Moy (site web personnel) . Évalué à 1.
[^] # Re: Argument
Posté par z a . Évalué à 2.
[^] # Re: Argument
Posté par _kawa_ . Évalué à 1.
"When Curtis Cooper and Steven Boone discovered the 44th Mersenne prime, Bruce Schneier had to change the combination on his luggage."
D'ailleurs, là est la réponse aux problemes de Ploum :
"It's widely believed that if you use "Schneier" as your password, your account cannot be hacked. This is of course only mostly true -- Bruce Schneier can always hack your account."
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.