• # Titre ?

    Posté par  (site web personnel) . Évalué à 4.

    Ayant quelques instants à tuer, appâté par le titre, je ne trouve rien qui semble porter sur la pérennité du logiciel libre, mais bien quelques articles non dénués d'intérêts. En particulier deux groupés : Le premier propose un accès à un base de mots de passe, pour « vérifier » ; et l'autre des conseils en matière de choix et d'usage. Dont celui-ci :

    « Aussi, n'utilisez jamais d'outil en ligne pour générer ou tester vos mots de passe. »

    Cherchez l'erreur.

    « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

    • [^] # Re: Titre ?

      Posté par  . Évalué à 2.

      C'est pas la 1ere fois que je me fais la même remarque, ce site n'a rien à voir avec le libre (ou alors parfois de manière très très lointaine) et n'a rien à faire ici …et la notion de "hacker" est à mon sens vraiment usurpée mais bon ça n'est que mon avis

      eric.linuxfr@sud-ouest.org

      • [^] # Re: Titre ?

        Posté par  . Évalué à 6.

        mouis… disons que ça ne doit pas toujours être évident de remplir une telle lettre régulièrement, mais c'est vrai que si ça s'éloigne trop du coeur de cible, les gens vont s'en détourner…

        du peu que j'ai vu, ça sélectionne quand même en priorité des infos sur les logiciels libres (ça en cause peut-être plus que sur linuxfr d'ailleurs) :

        • Le projet open source cURL a 25 ans
        • Des nouvelles du Numérique Libre au Togo
        • PostgreSQL sur la solution Kubernetes locale Minikube PostgreSQL minikube
        • Logiciels libres de finances personnelles
        • Configurer un accès distant pour MariaDB sous Rocky Linux 8

        mais ce genre de merdouille on se demande effectivement ce que ça a à voir avec le libre, l'open source ou même le "hack" :

        • Microsoft Security Copilot : le nouvel assistant pour la cybersécurité dopé à l’IA GPT-4

        « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

      • [^] # Re: Titre ?

        Posté par  (site web personnel) . Évalué à 2.

        Quant à moi, j'envisageais plutôt une erreur de lien : le titre semblait annoncer un article, et l'URL renvoi vers une revue de presse.

        « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

    • [^] # Re: Titre ?

      Posté par  . Évalué à 3.

      L'article proposant un outil de vérification de son mot de passe date du premier avril…

  • # Consternant pour la crédibilité du site

    Posté par  . Évalué à -8.

    Dans la rubrique "Mots de passe", je tombe sur le lien Choisir un mot de passe sécuritaire

    Je cite (j'ai cru que c'était une mauvaise blague)

    "Comment créer un mot de passe facile à retenir, mais difficile à deviner ?
    Une stratégie pour retenir un mot de passe long est d'utiliser une phrase de passe.
    Il est très difficile de retenir 20 caractères aléatoires, mais si on les remplace par 4 mots, ça devient beaucoup plus facile.
    Pour former une bonne phrase de passe, choisissez quatre mots sans lien entre eux pour créer une phrase d'apparence absurde, mais que vous pourrez retenir grâce à une image ou un moyen mnémotechnique. Voici quelques exemples de phrases de passe sécuritaires :
    "cheval robinet crémière salami"
    "surréel endorphine réacteur tutu"
    "attendue paprika haut-parleur startup"
    ⚠️ Attention à bien choisir des mots sans lien apparent. Une technique efficace pour choisir vos quatre mots consiste à ouvrir un dictionnaire à quatre pages aléatoires et d'y choisir un mot au hasard."

    • [^] # Re: Consternant pour la crédibilité du site

      Posté par  (site web personnel, Mastodon) . Évalué à 10.

      Pourquoi ? Il semble que c'est assez avéré. Cela génère des mots de passe longs plus difficiles à cracker qu'un mot de passe imbitable mais plus court.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: Consternant pour la crédibilité du site

        Posté par  . Évalué à -3.

        Il me semble que les attaques par dictionnaire existent. Par contre une suite de chiffres, lettres/minuscules/majuscules, signes, d'au moins 15 caractères, c'est déjà plus sûr.

        • [^] # Re: Consternant pour la crédibilité du site

          Posté par  (Mastodon) . Évalué à 10. Dernière modification le 11 avril 2023 à 11:12.

          les lettres, il y en a 26, les mots il y en a des dizaines de milliers, donc avec 4 mots tu es aussi robustes qu'avec… je te laisse calculer :)

          bon c'est très raccourcis, mais c'est l'idée générale

          Titre de l'image

          En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

          • [^] # Re: Consternant pour la crédibilité du site

            Posté par  (site web personnel, Mastodon) . Évalué à 7. Dernière modification le 11 avril 2023 à 11:16.

            Surtout qu'on peut mêler des majuscules et des minuscules, avoir des accents et autres "caractères spéciaux", ne pas s'en tenir aux noms communs et, enfin, utiliser plus d'une seule langue.

            Les 26 lettres, ce sont celles du pauvre alphabet anglais, en français on en a quelques-unes en plus par exemple.

            « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

            • [^] # Re: Consternant pour la crédibilité du site

              Posté par  (Mastodon) . Évalué à 9. Dernière modification le 11 avril 2023 à 11:41.

              oui, rien n'oblige à rester sur les mots simples en minuscule. j'ai même un collègue qui invente des mots (style gourmanderie à la place de confiserie) ce qui ajoute encore de la complexité.

              sinon pour un copain cuistot qui était une catastrophe en matière de mots de passe (c'était soit sa date de naissance, soit 'azerty' - j'exagère à peine), je lui ai dit de partir sur des recettes improbables : la confiture de poireau au sel de guérande, le cury de moutarde à la bière… ça le fait marrer, ça marche plutôt bien (il visualise le truc et s'en souvient bien) et du coup il a pu changer ses mots de passes les plus stratégiques sans effort.

              En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

          • [^] # Re: Consternant pour la crédibilité du site

            Posté par  (site web personnel) . Évalué à 3.

            Est-ce qu'il y a des endroits où l'on peut saisir des mots de passe Unicode ? Ça permettrait de mélanger de les alphabets latin, grec, cyrillique, coréen avec des caractères chinois et des symboles. Et à ça, on peut ajouter la stratégie de faire une phrase de passe : un mot en russe, un en chinois, un en françois, etc.

            • [^] # Re: Consternant pour la crédibilité du site

              Posté par  (site web personnel, Mastodon) . Évalué à 4.

              Ben je viens de tester avec ceci ’🙂¿ÉÍ坢螕M䔬碕u sur un site qui recommande d'utiliser plutôt plusieurs mots comme mot de passe que les trucs imbitables trop souvent préconisés.

              Note que j'ai saisi des codes Unicode au pif en l'espèce.

              « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

              • [^] # Re: Consternant pour la crédibilité du site

                Posté par  (site web personnel) . Évalué à 4.

                Moi je viens d’essayer un site officiel de l’éducation nationale (portail galaxie) certainement développé dans des âges reculés — 2012 si je ne me méprends — par un sous traitant pratiquant des tarifs délirants et non libre de sorte que les améliorations soient délicates. Consigne : entrer un mot de passe comportant entre 10 et 16 caractères, dont une minuscule, une majuscule, un caractère spécial, et un chiffre. Pour les spéciaux, on prévient que deux sont exclus. En pratique presque tous les « caractères spéciaux » du français sont exclus. De quoi bien réduire la complexité. Bon évidemment Unicode et utf-8 personne n’en avait entendu parlé à l’époque.

                « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

        • [^] # Re: Consternant pour la crédibilité du site

          Posté par  . Évalué à 6. Dernière modification le 11 avril 2023 à 12:00.

          Disclaimer: je ne suis pas spécialiste ça m'a juste amusé de chercher un peu

          Le calcul de l'entropie, ce qui mesure la solidité face à un brute force c'est

          Avec L le nombre de "lettres" de ton alphabet et N le nombre de "lettres" de ton mot de passe.

          Si on prend les lettres majuscules/minuscules/chiffres et notre vocabulaire généralement estimé à 1000 mots, on obtiens :

          Avec en rouge les lettres et en bleu les mots (x représente le nombre de symboles, des lettres pour le premier des mots pour le second et y l'entropie). Il faut remarquer que l'échelle en x et en y n'est pas la même.

          Tu peux retrouver le graphe et jouer avec les paramètres là : https://www.desmos.com/calculator/r3tqnmfmvw

          Il est bien sûr possible de jouer pour les 2 pour augmenter leur force :

          • ajouter des caractères pour l'un comme le dollar, l'euro, la ponctuation
          • utiliser des mots au pluriels, féminins, accordés des verbes, etc (et bien sûr utiliser des caractères en plus comme pour le premier)

          Note que les 1000 mots de vocabulaire ne sont pas les même pour tout le monde, mais je ne sais pas si c'est une force ou une faiblesse (le mot "maison" apparaitra plus probablement que le mot "alacrité"). Le vocabulaire commun, plus probable, est donc probablement plus petit.

          Pour ce qui est du temps mis pour casser un mot de passe, ça dépend d'autres paramètre (en ligne/hors ligne) et quel algorithme de condensat. On doit pouvoir parler en années à partir d'environ 70 bits d'entropie (dans le pire cas avec un mauvais condensat en attaque hors ligne avec machine dédiée). Soit 7 mots ou 12 caractères selon mon graphique.

          A noter que les tailles de mots de passe (7 et 12) ne changent pas beaucoup avec la taille du vocabulaire, il faut 3000 mots de vocabulaire pour qu'un mot de passe de 6 mots atteigne 70 bits.

          https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

          • [^] # Re: Consternant pour la crédibilité du site

            Posté par  . Évalué à 3.

            Si on part du principe d’utiliser les régularités statistiques du langage, utiliser des modèles de langues pour générer des candidats mots de passe devrait être intéressant.

          • [^] # Re: Consternant pour la crédibilité du site

            Posté par  (site web personnel, Mastodon) . Évalué à 3.

            Je ne comprends pas ce que ton diagramme est censé montrer.

            Cela dit, tu sembles oublier que :

            • l'on peut utiliser toutes les déclinaisons d'un verbe ou d'un mot,
            • l'on peut mal orthographier les mots,
            • cela ne se limite pas, comme je le disais plus haut, aux noms communs et que l'on peut ajouter des noms propres (ce qui augmente d'autant le vocabulaire) pas forcément ben orthographiés ou bien translittéré,
            • l'on peut décider d'avoir ou pas des séparateurs, et, si on opte pour des séparateurs, choisir l'espace ou tout autre caractère, virgule, point virgule, trait, @, autre lettre, etc.

            La seule limite, ce sont celles imposées par les sites qui peuvent ne pas accepter certains caractères par exemple (obliger des caractères spéciaux mais à condition de ne pas avoir des majuscule accentuée ou d'arobase ou de virgule, par exemple).

            « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

            • [^] # Re: Consternant pour la crédibilité du site

              Posté par  . Évalué à 2.

              Cela dit, tu sembles oublier que :

              Non c'est ce que j'ai voulu dire par

              utiliser des mots au pluriels, féminins, accordés des verbes, etc (et bien sûr utiliser des caractères en plus comme pour le premier)

              Je ne comprends pas ce que ton diagramme est censé montrer.

              À l'horizontale tu as la taille du mot de passe (en lettre pour la courbe rouge ou en mot pour la courbe bleue) et à la verticale c'est la solidité du mot de passe.

              https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

    • [^] # Re: Consternant pour la crédibilité du site

      Posté par  . Évalué à 1. Dernière modification le 11 avril 2023 à 13:29.

      "Paprika" est dans la liste des mots interdits ici …

      • [^] # Re: Consternant pour la crédibilité du site

        Posté par  (site web personnel, Mastodon) . Évalué à 3. Dernière modification le 11 avril 2023 à 18:56.

        De toute façon, aucun intérêt mais, ça peut être une clé de mémorisation de, par exemple : "orange piquant navion x délicieux".

        « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.