Ayant quelques instants à tuer, appâté par le titre, je ne trouve rien qui semble porter sur la pérennité du logiciel libre, mais bien quelques articles non dénués d'intérêts. En particulier deux groupés : Le premier propose un accès à un base de mots de passe, pour « vérifier » ; et l'autre des conseils en matière de choix et d'usage. Dont celui-ci :
« Aussi, n'utilisez jamais d'outil en ligne pour générer ou tester vos mots de passe. »
C'est pas la 1ere fois que je me fais la même remarque, ce site n'a rien à voir avec le libre (ou alors parfois de manière très très lointaine) et n'a rien à faire ici …et la notion de "hacker" est à mon sens vraiment usurpée mais bon ça n'est que mon avis
mouis… disons que ça ne doit pas toujours être évident de remplir une telle lettre régulièrement, mais c'est vrai que si ça s'éloigne trop du coeur de cible, les gens vont s'en détourner…
du peu que j'ai vu, ça sélectionne quand même en priorité des infos sur les logiciels libres (ça en cause peut-être plus que sur linuxfr d'ailleurs) :
Le projet open source cURL a 25 ans
Des nouvelles du Numérique Libre au Togo
PostgreSQL sur la solution Kubernetes locale Minikube PostgreSQL minikube
Logiciels libres de finances personnelles
Configurer un accès distant pour MariaDB sous Rocky Linux 8
mais ce genre de merdouille on se demande effectivement ce que ça a à voir avec le libre, l'open source ou même le "hack" :
Microsoft Security Copilot : le nouvel assistant pour la cybersécurité dopé à l’IA GPT-4
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
Je cite (j'ai cru que c'était une mauvaise blague)
"Comment créer un mot de passe facile à retenir, mais difficile à deviner ?
Une stratégie pour retenir un mot de passe long est d'utiliser une phrase de passe.
Il est très difficile de retenir 20 caractères aléatoires, mais si on les remplace par 4 mots, ça devient beaucoup plus facile.
Pour former une bonne phrase de passe, choisissez quatre mots sans lien entre eux pour créer une phrase d'apparence absurde, mais que vous pourrez retenir grâce à une image ou un moyen mnémotechnique. Voici quelques exemples de phrases de passe sécuritaires :
"cheval robinet crémière salami"
"surréel endorphine réacteur tutu"
"attendue paprika haut-parleur startup"
⚠️ Attention à bien choisir des mots sans lien apparent. Une technique efficace pour choisir vos quatre mots consiste à ouvrir un dictionnaire à quatre pages aléatoires et d'y choisir un mot au hasard."
Pourquoi ? Il semble que c'est assez avéré. Cela génère des mots de passe longs plus difficiles à cracker qu'un mot de passe imbitable mais plus court.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Il me semble que les attaques par dictionnaire existent. Par contre une suite de chiffres, lettres/minuscules/majuscules, signes, d'au moins 15 caractères, c'est déjà plus sûr.
Surtout qu'on peut mêler des majuscules et des minuscules, avoir des accents et autres "caractères spéciaux", ne pas s'en tenir aux noms communs et, enfin, utiliser plus d'une seule langue.
Les 26 lettres, ce sont celles du pauvre alphabet anglais, en français on en a quelques-unes en plus par exemple.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Posté par gUI (Mastodon) .
Évalué à 9.
Dernière modification le 11 avril 2023 à 11:41.
oui, rien n'oblige à rester sur les mots simples en minuscule. j'ai même un collègue qui invente des mots (style gourmanderie à la place de confiserie) ce qui ajoute encore de la complexité.
sinon pour un copain cuistot qui était une catastrophe en matière de mots de passe (c'était soit sa date de naissance, soit 'azerty' - j'exagère à peine), je lui ai dit de partir sur des recettes improbables : la confiture de poireau au sel de guérande, le cury de moutarde à la bière… ça le fait marrer, ça marche plutôt bien (il visualise le truc et s'en souvient bien) et du coup il a pu changer ses mots de passes les plus stratégiques sans effort.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
Et en plus, pour mémoriser le tout, tu peux même ajouter une note quelque part qui va te donner la clé du "mot" de passe. Je fais ça aussi pour les mots de passe qui doivent être des nombres. Je peux avoir, par exemple un "mot" de passe : 13975769, clé de mémorisation Alphonse. Je sais comment c'est fichu, et, au besoin où trouver les nombres qui m'ont servi à concocter ça.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Suite à la lecture de ton commentaire, je me suis demandé si il avait un service web où tu rentrais un nombre et il te donnait une liste de mots qui correspondait à ce nombre en code chiffres-sons; et je n'ai pas trouvé. Yapluka ! :-D
Est-ce qu'il y a des endroits où l'on peut saisir des mots de passe Unicode ? Ça permettrait de mélanger de les alphabets latin, grec, cyrillique, coréen avec des caractères chinois et des symboles. Et à ça, on peut ajouter la stratégie de faire une phrase de passe : un mot en russe, un en chinois, un en françois, etc.
Ben je viens de tester avec ceci ’🙂¿ÉÍ坢螕M䔬碕u sur un site qui recommande d'utiliser plutôt plusieurs mots comme mot de passe que les trucs imbitables trop souvent préconisés.
Note que j'ai saisi des codes Unicode au pif en l'espèce.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Moi je viens d’essayer un site officiel de l’éducation nationale (portail galaxie) certainement développé dans des âges reculés — 2012 si je ne me méprends — par un sous traitant pratiquant des tarifs délirants et non libre de sorte que les améliorations soient délicates. Consigne : entrer un mot de passe comportant entre 10 et 16 caractères, dont une minuscule, une majuscule, un caractère spécial, et un chiffre. Pour les spéciaux, on prévient que deux sont exclus. En pratique presque tous les « caractères spéciaux » du français sont exclus. De quoi bien réduire la complexité. Bon évidemment Unicode et utf-8 personne n’en avait entendu parlé à l’époque.
Posté par barmic 🦦 .
Évalué à 6.
Dernière modification le 11 avril 2023 à 12:00.
Disclaimer: je ne suis pas spécialiste ça m'a juste amusé de chercher un peu
Le calcul de l'entropie, ce qui mesure la solidité face à un brute force c'est
Avec L le nombre de "lettres" de ton alphabet et N le nombre de "lettres" de ton mot de passe.
Si on prend les lettres majuscules/minuscules/chiffres et notre vocabulaire généralement estimé à 1000 mots, on obtiens :
Avec en rouge les lettres et en bleu les mots (x représente le nombre de symboles, des lettres pour le premier des mots pour le second et y l'entropie). Il faut remarquer que l'échelle en x et en y n'est pas la même.
Il est bien sûr possible de jouer pour les 2 pour augmenter leur force :
ajouter des caractères pour l'un comme le dollar, l'euro, la ponctuation
utiliser des mots au pluriels, féminins, accordés des verbes, etc (et bien sûr utiliser des caractères en plus comme pour le premier)
Note que les 1000 mots de vocabulaire ne sont pas les même pour tout le monde, mais je ne sais pas si c'est une force ou une faiblesse (le mot "maison" apparaitra plus probablement que le mot "alacrité"). Le vocabulaire commun, plus probable, est donc probablement plus petit.
Pour ce qui est du temps mis pour casser un mot de passe, ça dépend d'autres paramètre (en ligne/hors ligne) et quel algorithme de condensat. On doit pouvoir parler en années à partir d'environ 70 bits d'entropie (dans le pire cas avec un mauvais condensat en attaque hors ligne avec machine dédiée). Soit 7 mots ou 12 caractères selon mon graphique.
A noter que les tailles de mots de passe (7 et 12) ne changent pas beaucoup avec la taille du vocabulaire, il faut 3000 mots de vocabulaire pour qu'un mot de passe de 6 mots atteigne 70 bits.
Si on part du principe d’utiliser les régularités statistiques du langage, utiliser des modèles de langues pour générer des candidats mots de passe devrait être intéressant.
Je ne comprends pas ce que ton diagramme est censé montrer.
Cela dit, tu sembles oublier que :
l'on peut utiliser toutes les déclinaisons d'un verbe ou d'un mot,
l'on peut mal orthographier les mots,
cela ne se limite pas, comme je le disais plus haut, aux noms communs et que l'on peut ajouter des noms propres (ce qui augmente d'autant le vocabulaire) pas forcément ben orthographiés ou bien translittéré,
l'on peut décider d'avoir ou pas des séparateurs, et, si on opte pour des séparateurs, choisir l'espace ou tout autre caractère, virgule, point virgule, trait, @, autre lettre, etc.
La seule limite, ce sont celles imposées par les sites qui peuvent ne pas accepter certains caractères par exemple (obliger des caractères spéciaux mais à condition de ne pas avoir des majuscule accentuée ou d'arobase ou de virgule, par exemple).
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
utiliser des mots au pluriels, féminins, accordés des verbes, etc (et bien sûr utiliser des caractères en plus comme pour le premier)
Je ne comprends pas ce que ton diagramme est censé montrer.
À l'horizontale tu as la taille du mot de passe (en lettre pour la courbe rouge ou en mot pour la courbe bleue) et à la verticale c'est la solidité du mot de passe.
# Titre ?
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 4.
Ayant quelques instants à tuer, appâté par le titre, je ne trouve rien qui semble porter sur la pérennité du logiciel libre, mais bien quelques articles non dénués d'intérêts. En particulier deux groupés : Le premier propose un accès à un base de mots de passe, pour « vérifier » ; et l'autre des conseils en matière de choix et d'usage. Dont celui-ci :
Cherchez l'erreur.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Titre ?
Posté par rycks . Évalué à 2.
C'est pas la 1ere fois que je me fais la même remarque, ce site n'a rien à voir avec le libre (ou alors parfois de manière très très lointaine) et n'a rien à faire ici …et la notion de "hacker" est à mon sens vraiment usurpée mais bon ça n'est que mon avis
eric.linuxfr@sud-ouest.org
[^] # Re: Titre ?
Posté par zurvan . Évalué à 6.
mouis… disons que ça ne doit pas toujours être évident de remplir une telle lettre régulièrement, mais c'est vrai que si ça s'éloigne trop du coeur de cible, les gens vont s'en détourner…
du peu que j'ai vu, ça sélectionne quand même en priorité des infos sur les logiciels libres (ça en cause peut-être plus que sur linuxfr d'ailleurs) :
mais ce genre de merdouille on se demande effectivement ce que ça a à voir avec le libre, l'open source ou même le "hack" :
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: Titre ?
Posté par TuxMips . Évalué à 3.
Nous pouvons aussi peut-être rappeler qui est Carl Chenet ?
https://carlchenet.com/about/
[^] # Re: Titre ?
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 2.
Quant à moi, j'envisageais plutôt une erreur de lien : le titre semblait annoncer un article, et l'URL renvoi vers une revue de presse.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Titre ?
Posté par Barnabé . Évalué à 3.
L'article proposant un outil de vérification de son mot de passe date du premier avril…
# Consternant pour la crédibilité du site
Posté par Maderios . Évalué à -8.
Dans la rubrique "Mots de passe", je tombe sur le lien Choisir un mot de passe sécuritaire
Je cite (j'ai cru que c'était une mauvaise blague)
[^] # Re: Consternant pour la crédibilité du site
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 10.
Pourquoi ? Il semble que c'est assez avéré. Cela génère des mots de passe longs plus difficiles à cracker qu'un mot de passe imbitable mais plus court.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Consternant pour la crédibilité du site
Posté par Maderios . Évalué à -3.
Il me semble que les attaques par dictionnaire existent. Par contre une suite de chiffres, lettres/minuscules/majuscules, signes, d'au moins 15 caractères, c'est déjà plus sûr.
[^] # Re: Consternant pour la crédibilité du site
Posté par gUI (Mastodon) . Évalué à 10. Dernière modification le 11 avril 2023 à 11:12.
les lettres, il y en a 26, les mots il y en a des dizaines de milliers, donc avec 4 mots tu es aussi robustes qu'avec… je te laisse calculer :)
bon c'est très raccourcis, mais c'est l'idée générale
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Consternant pour la crédibilité du site
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 7. Dernière modification le 11 avril 2023 à 11:16.
Surtout qu'on peut mêler des majuscules et des minuscules, avoir des accents et autres "caractères spéciaux", ne pas s'en tenir aux noms communs et, enfin, utiliser plus d'une seule langue.
Les 26 lettres, ce sont celles du pauvre alphabet anglais, en français on en a quelques-unes en plus par exemple.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Consternant pour la crédibilité du site
Posté par gUI (Mastodon) . Évalué à 9. Dernière modification le 11 avril 2023 à 11:41.
oui, rien n'oblige à rester sur les mots simples en minuscule. j'ai même un collègue qui invente des mots (style gourmanderie à la place de confiserie) ce qui ajoute encore de la complexité.
sinon pour un copain cuistot qui était une catastrophe en matière de mots de passe (c'était soit sa date de naissance, soit 'azerty' - j'exagère à peine), je lui ai dit de partir sur des recettes improbables : la confiture de poireau au sel de guérande, le cury de moutarde à la bière… ça le fait marrer, ça marche plutôt bien (il visualise le truc et s'en souvient bien) et du coup il a pu changer ses mots de passes les plus stratégiques sans effort.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Consternant pour la crédibilité du site
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 5.
Et en plus, pour mémoriser le tout, tu peux même ajouter une note quelque part qui va te donner la clé du "mot" de passe. Je fais ça aussi pour les mots de passe qui doivent être des nombres. Je peux avoir, par exemple un "mot" de passe : 13975769, clé de mémorisation Alphonse. Je sais comment c'est fichu, et, au besoin où trouver les nombres qui m'ont servi à concocter ça.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Consternant pour la crédibilité du site
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 5.
Sen quonttai ki lais pauçibl daj oûtaient kelkes fôtes ki hai larjices leudicau.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Consternant pour la crédibilité du site
Posté par Jona . Évalué à 1.
Suite à la lecture de ton commentaire, je me suis demandé si il avait un service web où tu rentrais un nombre et il te donnait une liste de mots qui correspondait à ce nombre en code chiffres-sons; et je n'ai pas trouvé. Yapluka ! :-D
[^] # Re: Consternant pour la crédibilité du site
Posté par lejocelyn (site web personnel) . Évalué à 3.
Est-ce qu'il y a des endroits où l'on peut saisir des mots de passe Unicode ? Ça permettrait de mélanger de les alphabets latin, grec, cyrillique, coréen avec des caractères chinois et des symboles. Et à ça, on peut ajouter la stratégie de faire une phrase de passe : un mot en russe, un en chinois, un en françois, etc.
[^] # Re: Consternant pour la crédibilité du site
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 4.
Ben je viens de tester avec ceci
’🙂¿ÉÍ坢螕M䔬碕usur un site qui recommande d'utiliser plutôt plusieurs mots comme mot de passe que les trucs imbitables trop souvent préconisés.Note que j'ai saisi des codes Unicode au pif en l'espèce.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Consternant pour la crédibilité du site
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 4.
Moi je viens d’essayer un site officiel de l’éducation nationale (portail galaxie) certainement développé dans des âges reculés — 2012 si je ne me méprends — par un sous traitant pratiquant des tarifs délirants et non libre de sorte que les améliorations soient délicates. Consigne : entrer un mot de passe comportant entre 10 et 16 caractères, dont une minuscule, une majuscule, un caractère spécial, et un chiffre. Pour les spéciaux, on prévient que deux sont exclus. En pratique presque tous les « caractères spéciaux » du français sont exclus. De quoi bien réduire la complexité. Bon évidemment Unicode et utf-8 personne n’en avait entendu parlé à l’époque.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Consternant pour la crédibilité du site
Posté par gUI (Mastodon) . Évalué à 2.
Bref au final tout le monde a le même mot de passe
NB : c'est marrant et attention, c'est vrai à au moins 60% :)
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Consternant pour la crédibilité du site
Posté par barmic 🦦 . Évalué à 6. Dernière modification le 11 avril 2023 à 12:00.
Disclaimer: je ne suis pas spécialiste ça m'a juste amusé de chercher un peu
Le calcul de l'entropie, ce qui mesure la solidité face à un brute force c'est
Avec L le nombre de "lettres" de ton alphabet et N le nombre de "lettres" de ton mot de passe.
Si on prend les lettres majuscules/minuscules/chiffres et notre vocabulaire généralement estimé à 1000 mots, on obtiens :
Avec en rouge les lettres et en bleu les mots (x représente le nombre de symboles, des lettres pour le premier des mots pour le second et y l'entropie). Il faut remarquer que l'échelle en x et en y n'est pas la même.
Tu peux retrouver le graphe et jouer avec les paramètres là : https://www.desmos.com/calculator/r3tqnmfmvw
Il est bien sûr possible de jouer pour les 2 pour augmenter leur force :
Note que les 1000 mots de vocabulaire ne sont pas les même pour tout le monde, mais je ne sais pas si c'est une force ou une faiblesse (le mot "maison" apparaitra plus probablement que le mot "alacrité"). Le vocabulaire commun, plus probable, est donc probablement plus petit.
Pour ce qui est du temps mis pour casser un mot de passe, ça dépend d'autres paramètre (en ligne/hors ligne) et quel algorithme de condensat. On doit pouvoir parler en années à partir d'environ 70 bits d'entropie (dans le pire cas avec un mauvais condensat en attaque hors ligne avec machine dédiée). Soit 7 mots ou 12 caractères selon mon graphique.
A noter que les tailles de mots de passe (7 et 12) ne changent pas beaucoup avec la taille du vocabulaire, il faut 3000 mots de vocabulaire pour qu'un mot de passe de 6 mots atteigne 70 bits.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Consternant pour la crédibilité du site
Posté par Thomas Douillard . Évalué à 3.
Si on part du principe d’utiliser les régularités statistiques du langage, utiliser des modèles de langues pour générer des candidats mots de passe devrait être intéressant.
[^] # Re: Consternant pour la crédibilité du site
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 3.
Je ne comprends pas ce que ton diagramme est censé montrer.
Cela dit, tu sembles oublier que :
La seule limite, ce sont celles imposées par les sites qui peuvent ne pas accepter certains caractères par exemple (obliger des caractères spéciaux mais à condition de ne pas avoir des majuscule accentuée ou d'arobase ou de virgule, par exemple).
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Consternant pour la crédibilité du site
Posté par barmic 🦦 . Évalué à 2.
Non c'est ce que j'ai voulu dire par
À l'horizontale tu as la taille du mot de passe (en lettre pour la courbe rouge ou en mot pour la courbe bleue) et à la verticale c'est la solidité du mot de passe.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Consternant pour la crédibilité du site
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 1. Dernière modification le 11 avril 2023 à 13:29.
"Paprika" est dans la liste des mots interdits ici …
[^] # Re: Consternant pour la crédibilité du site
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 3. Dernière modification le 11 avril 2023 à 18:56.
De toute façon, aucun intérêt mais, ça peut être une clé de mémorisation de, par exemple : "orange piquant navion x délicieux".
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.