Journal Mon gestionnaire de mots de passe, en 50 lignes de HTML

Posté par jeanas le 11 février 2024 à 19:22. Licence CC By‑SA.

Étiquettes :

fév.

2024

Bonjour « Nal » (d'où vient cette tradition ?),

Comme chacun de nous, j'ai plus d'une centaine de mots de passe pour divers sites, certains très sensibles, par exemple ceux de mon Webmail, des impôts ou de ma mutuelle, et d'autres dont je ne serais même pas gêné qu'ils soient publics, comme sur tous ces sites insupportables qui exigent de créer un compte pour la moindre petite action, même s'il y a de fortes chances que je n'utilise plus jamais le compte en question et qu'il devienne simplement une entrée de plus dans ma liste des Jalongues de mots de passe.

La solution habituelle pour éviter de les retenir, et se prémunir contre le défaut de mémoire, est le gestionnaire de mots de passe, qui les centralise tous en protégeant l'accès par un mot de passe maître. Étant utilisateur de Firefox, il est naturel que je me serve de son gestionnaire natif. Il synchronise automatiquement l'application Firefox de bureau et l'application mobile, ce qui est, il faut le reconnaître, rudement pratique.

Seulement voilà : qu'est-ce que je fais si je ne suis pas sur Firefox ? Dans une bibliothèque, chez des amis, dans un cybercafé, on trouve souvent Windows ou macOS, et avec eux, Edge, Safari ou Chrome. Or, sauf erreur de ma part, il n'y a pas de moyen d'accéder aux mots de passe de Firefox depuis https://accounts.firefox.com, plutôt que depuis l'interface de Firefox elle-même. Évidemment, sur la plupart des sites, je peux réinitialiser mon mot de passe par mail, mais ce n'est pas fantastique comme solution de devoir changer le mot de passe rien que pour se connecter sur une machine inhabituelle.

Je pourrais, évidemment, choisir un gestionnaire autre que celui intégré à Firefox. Cependant, si le gestionnaire en question doit permettre l'accès depuis n'importe quelle machine connectée à Internet, il faut bien que les données soient stockées quelque part sur un serveur, que ce soit celui de l'association ou entreprise qui développe le gestionnaire, ou bien un service externe de stockage comme Dropbox ou Google Drive. Or, contrairement à Mozilla (et encore, malheureusement), je n'ai pas du tout envie de devoir faire confiance à la pérennité à long terme d'une telle organisation, et encore moins de stocker un fichier de mots de passe, même crypté, sur Google Drive.

Jusqu'ici, j'ai adopté une méthode naïve : je générais mes mots de passe en suivant un schéma dépendant du site. Je ne vais pas donner le schéma exact, car je n'ai pas encore pu le changer sur tous les sites, mais disons que mon mot de passe pour le site linuxfr.org ressemblait à -*-MotDePasse0|linuxfr-*-, tandis que mon mot de passe pour www.impots.gouv.fr ressemblait à -*-MotDePasse0|gouv-*- (en choisissant l'apex du domaine sans le TLD).

D'un côté, c'était très pratique et « low-tech ». D'un autre côté, quelqu'un qui m'aurait dérobé un mot de passe aurait pu facilement repérer le schéma et en déduire mes autres mots de passe, ce qui n'était pas franchement idéal. J'ai sans doute plus de jugeote sur la sécurité que l'internaute moyen, et je sais faire attention à un mail dont le lien pointe vers « impots.gov.fr », mais on n'est jamais à l'abri. Par ailleurs, il existe, même en 2024, des sites qui stockent des mots de passe en clair. Je gardais la technique par paresse et par cohérence avec mes mots de passe existants, mais je savais bien qu'il fallait absolument la changer.

Alors, pour réparer ce trou, j'ai décidé d'un moyen très simple. Au lieu de prendre pour mot de passe le nom de domaine avec quelques caractères en plus, je prends désormais un hash du nom de domaine auquel est accolé un mot de passe maître. Plus précisément, l'algorithme est :

Former la chaîne de caractères apex_du_nom_de_domaine|mot_de_passe_maître\n,
Calculer le SHA256,
Encoder en base64.

Ainsi, je peux, à partir de mon mot de passe maître (choisi pour l'occasion avec pwgen 20 1), retrouver mon mot de passe sur n'importe quel site avec la commande echo "apex_du_nom_de_domaine|mot_de_passe_maître" | cksum -ba sha256. Je n'ai même pas besoin pour cela d'être connecté au réseau, je peux m'en servir pour des mots de passe autres que ceux de sites Web.

On ne peut évidemment pas retrouver le mot de passe sans le mot de passe maître (donc mes mots de passe sont bien protégés par le mot de passe maître), et dans le sens inverse, si l'un de mes mots de passe m'est soutiré, il est calculatoirement impossible de retrouver le mot de passe maître, donc mes autres mots de passe ne sont pas compromis. Finalement, on retrouve les mêmes garanties de sécurité qu'avec un gestionnaire de mots de passe : un mot de passe maître qui débloque tout et qui n'est jamais communiqué à personne, des mots de passe auxiliaires (un par site) qui sont protégés par le mot de passe maître, qui ne permettent d'accéder qu'à un site pour limiter les dégâts en cas de fuite.

Pourquoi le base64 ? D'abord parce que c'est un format raisonnablement compact et qui passe dans la plupart des limites idiotes comme de ne pas utiliser d'espaces ou d'accents. Également parce qu'il y a sur à peu près n'importe quelle machine, même sous Windows, des moyens simples d'encoder en base64 dans un terminal. Mais aussi parce que je n'ai même pas besoin de m'assurer qu'il y a, comme les sites le demandent souvent, au moins une minuscule, une majuscule et un chiffre. On peut facilement faire le calcul : en faisant l'approximation raisonnable que les 44 caractères du mot de passe sont des variables aléatoires uniformes indépendantes (c'est à dire que les caractères sont tirés au hasard, avec probabilité égale pour chaque lettre, sans lien entre les différents tirages), la probabilité de n'avoir aucune majuscule vaut $(1 - 26/64)^{44} ≈ 1.0 ⋅ 10^{-10}$ , la probabilité de n'avoir aucune minuscule est la même, et la probabilité de n'avoir aucun chiffre est $(1 - 10/64)^{44} ≈ 6 ⋅ 10^{-4} ≈ 0.06%$ . Quand à celle de n'avoir aucun caractère spécial, elle est de zéro, puisque le mot de passe finit toujours par le signe = (car un SHA256 a 32 octets, nombre qui n'est pas divisible par 3, et le base64 encode 3 bits en 4 caractères).

Pour pouvoir appliquer l'algorithme facilement depuis mon téléphone, je me suis créé une page HTML de 50 lignes avec un bout de JavaScript qui l'implémente. Cette page n'est accessible qu'en HTTPS, donc pas de risque d'interception (d'ailleurs, il paraît que sous Chrome, on ne peut pas utiliser l'API window.crypto.subtle.digest sur une connection HTTP plutôt que HTTPS).

Pourquoi un tel système n'est-il pas universel ? Je me le demande bien.

J'apprends qu'il existe depuis quelques années une norme WebAuthn, implémentée dans les navigateurs, qui fait quelque chose de plus ou moins similaire mais à base de cryptographie asymétrique. C'est une solution très naturelle d'oublier les mots de passe, et qu'à la place chaque utilisateur aie une paire clé privée/clé publique, et s'authentifie de la manière standard en cryptographie asymétrique, en résolvant à l'aide de la clé privée un problème dont la solution peut être vérifiée à l'aide de la clé publique. À partir de là, le mot de passe maître pourrait servir de clé privée, et on aurait quelque chose qui marche aussi bien que ce que j'ai fait. Cerise sur le gâteau, ce serait plus sécurisé que mon système, parce qu'avec la cryptographie asymétrique, il n'y a plus de vol de mot de passe possible du tout (alors que dans mon système, on peut me voler un mot de passe en m'arnaquant avec gooogle.com, simplement cela ne permettra pas à l'attaquant d'accéder aux autres sites, donc les dégâts restent localisés). Ce truc est pris en charge par les navigateurs principaux depuis 2019. Pourquoi diable est-ce que ce n'est pas déjà complètement habituel ? Je vais me mettre à lire https://blog.mozilla.org/en/mozilla/password-security-part-i/ qui a l'air d'expliquer les choses.

Mais le pire dans l'affaire, c'est qu'il m'a bien fallu 3 ou 4 heures pour convertir un à un tous mes mots de passe vers ce nouveau système. J'ai vu un certain nombre des règles à la noix sur les mots de passe, par exemple PayPal qui met une limite maximum de 20 caractères, Mes Services Étudiant qui se fait une idée particulière de ce qu'est un caractère spécial, ou la SNCF qui prétend accepter jusqu'à 50 caractères mais n'en accepte que 22 (et qui m'a insulté d'un « Suite à un incident technique, votre demande de changement de mot de passe n'a pas abouti »).

On conseille souvent de changer ses mots de passe régulièrement, mais qui le fait de sa propre initiative, sans y être contraint ? Personne, et il ne faut pas s'en étonner, car c'est si fastidieux. (En vérité, ce conseil fait partie des mille conseils qui sont sages en apparence mais dont chacun sait que personne ne peut les suivre tous, sauf à y passer tout son temps, de même que contrôler la pression de ses pneus tous les mois, se faire dépister pour n maladies chaque année, et toujours lire la documentation d'une fonction avant de s'en servir dans son code.)

Il est hélas relativement courant aujourd'hui de se faire pirater son adresse mail. Or, si cela m'arrivait, mon premier réflexe serait de changer tous mes mots de passe en des mots de passe aléatoires, avant que l'attaquant ne se connecte via « Mot de passe oublié ». C'est une opération qui devrait pouvoir se faire dans l'urgence en quelques minutes, comme mettre une carte bleue en opposition.

# C'est alléchant mais

Posté par Christie Poutrelle (site web personnel) le 11 février 2024 à 21:03. Évalué à 8 (+8/-1).

Y'a quelque chose qui tracasse avec cette méthode, c'est le besoin d'un mot de passe maître, si quelqu'un le trouve, t'es foutu.

Prenant en compte que la personne connaît l'algo, tout ce dont il a besoin c'est de bruteforce en appliquant le même algo, et en changeant à chaque fois que le maître, une fois qu'il a trouvé un mot de passe qui marche (hors accident de collision sha256 heureuse, et improbable) il a de nouveau tous tes mots de passe.

La solution du gestionnaire de mot de passe n'est pas idéale non plus, et sensible aussi au vol du mot de passe maître, mais configurée avec une 2FA, c'est déjà, je pense, plus sécure que ta méthode.

Après, je suis pas un spécialiste de la crypto, je peux me tromper.

Ça reste néanmoins une technique intéressante pour ceux qui veulent aller vite, et avoir quelque chose de plus sécure que leur séquence perso. C'est déjà je pense un progrès!

Répondre
- [^] # Re: C'est alléchant mais
  
  Posté par jeanas le 11 février 2024 à 22:28. Évalué à 6 (+5/-0). Dernière modification le 11 février 2024 à 22:29.
  
  C'est sûr qu'il faut que le mot de passe maître soit fort, puisque tout repose sur lui. En l'occurrence, dans le mot de passe que j'ai choisi, il y a 20 caractères alphanumériques essentiellement aléatoires, donc $(26 × 2 + 10)^{20} = 62^{20} ≈ 10^{35}$ possibilités. D'après Wikipédia, 2022 a marqué le franchissement de la barre des $10^{18}$ flops par un superordinateur. Si ce superordinateur cherchait une préimage de mon mot de passe haché à raison d'un essai par flop (vitesse hautement irréaliste, il faudrait plutôt quelques centaines de flops sans doute, mais on n'est pas à 2 ou 3 ordres de grandeur près dans ce genre de calcul), il lui faudrait autour de $10^{17}$ secondes pour tester toutes les possibilités. Par comparaison, une année fait dans les secondes. Il faudrait donc dans les dizaines de milliards d'années. Je pense qu'on est pas mal.
  
  Ce n'est pas pour rien qu'on utilise le SHA256 (et ses cousins comme le SHA512) en cryptographie. Trouver une préimage est complètement hors de portée à l'heure actuelle. Par exemple, Git est en train de passer au SHA256 pour calculer les identifiants des commits et autres (c'est SHA1 par défaut aujourd'hui, mais SHA1 a des vulnérabilités connues).
  
  Répondre
  - [^] # Re: C'est alléchant mais
    
    Posté par bahpfff le 12 février 2024 à 10:36. Évalué à 3 (+3/-0).
    
    Quel est l'avantage de rajouter x caractères à un mot de passe déjà suffisamment robuste ?
    
    Vu que tu rajoutes un sel qui peut être déduit du site cela n'apporte aucune sécurité supplémentaire.
    
    Au final, l'attaquant va simplement tester les possibilités en ajoutant la fonction de concaténation du mot de passe. Cela rajoute juste des étapes.
    
    Répondre
    - [^] # Re: C'est alléchant mais
      
      Posté par cosmocat le 12 février 2024 à 13:56. Évalué à 7 (+6/-1).
      
      Vu que tu rajoutes un sel qui peut être déduit du site cela n'apporte aucune sécurité supplémentaire.
      
      Oui et non ;)
      
      Le but d'un sel est d'invalider le plus possible l'usage de rainbow table (valeurs déjà pré-calculées par l'attaquant avant de vouloir s'attaquer au craquage de ton mot de passe)
      
      Que la valeur du sel soit connue n’empêche pas que cela invalide un bonne partie des valeurs de ces rainbows tables.
      
      Et plus les valeurs de sels sont grandes et aléatoires, plus ça a de chance d'invalider une partie de ces rainbow tables.
      
      C'est pourquoi outre le domaine du site web, je conseille très fortement, comme il ne peut pas générer un sel aléatoire car c'est l'opposé du but recherché par son outils, de quand même concaténer un sel constant assez long (plus il est long, mieux c'est).
      
      Si il peut le conserver secret, c'est mieux, bien évidemment mais default il peut être publique.
      
      Répondre
  - [^] # Re: C'est alléchant mais
    
    Posté par NicolasP le 12 février 2024 à 20:31. Évalué à 3 (+2/-0).
    
    Ce n'est pas pour rien qu'on utilise le SHA256 (et ses cousins comme le SHA512) en cryptographie. Trouver une préimage est complètement hors de portée à l'heure actuelle
    
    Oui SHA256 est utilisé en cryptographie. Oui il est résistant aux attaques de preimage.
    Mais non, ça n'en fait pas un algorithme idéal pour le hachage des mots de passe. Ce qui te sauve, c'est qu'en entrée, tu as une partie aléatoire avec une bonne entropie.
    
    Répondre
# Le problème du mot de passe déterminable par un seul mot de passe primaire...

Posté par Psychofox (Mastodon) le 11 février 2024 à 21:26. Évalué à 10 (+8/-0).

…c'est que si ton compte est pwné quelque part et/ou que tu dois/veux le changer sur un compte t'es bon pour aller changer le mot de passe de tous les comptes que tu as.

L'autre inconvénient c'est que pas tous les sites/systèmes/applis n'acceptent le même niveau de sécurité. Moi il y a des comptes pour lesquels j'ai 37 caractères par exemple alors que d'autres sont beaucoup plus limités.

Répondre
# Code source

Posté par rsn le 11 février 2024 à 21:40. Évalué à 3 (+3/-0).

Hello,

Merci du partage de cette réflexion !

Peut-on avoir le code source, même en brut, là, dans les commentaires ?

Répondre
- [^] # Re: Code source
  
  Posté par jeanas le 11 février 2024 à 22:34. Évalué à 10 (+13/-2). Dernière modification le 11 février 2024 à 22:34.
  
  Je ne comprends pas trop la question. Tu parles du code source de la page https://jean.abou-samra.fr/password.html ? Pourquoi ne pas faire « Clic droit > Code source de la page » ou équivalent dans ton navigateur (ou curl -O https://jean.abou-samra.fr/password.html dans un terminal) ? Je sais que c'est inhabituel en 2024, mais il existe encore des sites dans le monde où le HTML est écrit à la main et pas avec un générateur de site statique + npm + 500 dépendances JavaScript + feuilles de style SCSS 🙂
  
  Répondre
  - [^] # Re: Code source
    
    Posté par rsn le 14 février 2024 à 00:17. Évalué à 5 (+5/-0).
    Oui, et c'est très appréciable.
    
    Mais comme nombre de moules ici, je suis sur mobile et on n'a pas forcément tous Kiwi browser pour inspecter le code source ou Termux pour curl ta page.
    
    Du coup pour ceux-là et les feignasses comme moi, je pose ton code là:
```
<html><head>
    <title>SHA256-based password generator</title>
    <style>
      #result {
        user-select: all;
      }
    </style>
  </head>
  <body>
    <h1>SHA256-based password generator</h1>
    <noscript>This page relies on JavaScript.</noscript>
    <form>
      <div>
        <label for="domain">Domain name or mnemonic:</label>
        <input id="domain" type="text">
      </div>
      <div>
        <label for="password">Master password:</label>
        <input id="password" type="password">
      </div>
    </form>
    <p id="result"></p>
    <script>
      'use strict';
      function bufferToBase64(buffer) {
        return btoa(String.fromCodePoint(...new Uint8Array(buffer)));
      }
      async function sha256(text) {
        const bytes = new TextEncoder().encode(text);
        const digest = await window.crypto.subtle.digest("SHA-256", bytes);
        return bufferToBase64(digest);
      }
      const domain = document.getElementById("domain");
      const password = document.getElementById("password");
      const result = document.getElementById("result");
      async function update() {
        if (password.value) {
          result.textContent = await sha256(domain.value + "|" + password.value + "\n");
        } else {
          result.textContent = "No master password provided";
        }
      }
      domain.addEventListener("input", update);
      password.addEventListener("input", update);
    </script>


</body></html>
```
    Parce que 50 lignes, je pense que ça vaut le coup de les mettre en valeur. Autant pour l'idée, que je trouve excellente personnellement, que pour le code en soi, et malgré les limites évoquées en commentaire.
    
    Car remplacer une app type *pass* (et toutes ses variantes par plateforme) par 50 lignes de code "statique" avec une seule fonctionnalité simple et qui me plaise, je trouve ça beau.
    
    J'aurais aimé l'avoir eu plus tôt, car migrer tous mes comptes maintenant prendrait la vie des rats. Mais pour un geek même débutant qui se pose la question de quelle app choisir, je pense qu'il y a là une belle occasion de mêler le geek à la pratique… quotidienne.
    
    Voilà, merci!
    Répondre
# Bonne idée !

Posté par Grégory Paul (site web personnel) le 11 février 2024 à 22:02. Évalué à 8 (+8/-0).

C’est effectivement le principe de lesspass ou de UniquePasswordBuildder (dont je suis l’auteur). J’ai utilisé UniquePasswordBuilder pendant des années mais je suis passé sur un bitwarden auto-hébergé (VaultWarden) pour 2 raisons : le problème de règles (stupides) sur certains sites tels que décrit dans l’article et le fait que tous les mots de passes dépendent d’un mot de passe maître. S’il y a une fuite de donnée et donc le besoin de changer de mot de passe, il faut soit mémoriser un autre mot de passe maître pour ce site, soit changer tous les mots de passe… Ce qui est une plaie.

Enfin, une autre fonctionnalité très sympa de BitWarden/VaultWarden est le partage de mot de passe au sein d’une organisation ou famille.

Répondre
- [^] # Re: Bonne idée !
  
  Posté par jeanas le 11 février 2024 à 22:48. Évalué à 2 (+1/-0).
  
  Ah, je me disais bien que ça devait forcément exister, merci pour les liens !
  
  S’il y a une fuite de donnée et donc le besoin de changer de mot de passe, il faut soit mémoriser un autre mot de passe maître pour ce site, soit changer tous les mots de passe… Ce qui est une plaie.
  
  C'est vrai. Cela dit, pour un site important, je prendrais certainement un autre mot de passe maître fort (mais bon, je m'attends à ce qu'un site important comme ma mutuelle fasse vraiment attention aux fuites), et si ce n'est pas un site important, je ne me gênerai pas à changer bêtement le « apexdomaine » en « apexdomaine00 » ou quelque chose dans ce genre.
  
  Je verrai si ça fonctionne bien pour moi, on en reparle dans quelques années 🙂
  
  Répondre
  - [^] # Re: Bonne idée !
    
    Posté par jeanas le 11 février 2024 à 22:56. Évalué à 1 (+0/-0).
    
    pour un site important, je prendrais certainement un autre mot de passe maître fort (mais bon, je m'attends à ce qu'un site important comme ma mutuelle fasse vraiment attention aux fuites), et si ce n'est pas un site important, je ne me gênerai pas à changer bêtement le « apexdomaine » en « apexdomaine00 » ou quelque chose dans ce genre.
    
    Je ne sais pas pourquoi j'ai écrit ça, il suffit de changer « apexdomaine » en « apexdomaine1 » et regénérer, ou bien j'ai loupé une faille.
    
    Répondre
    - [^] # Re: Bonne idée !
      
      Posté par BAud (site web personnel) le 12 février 2024 à 00:20. Évalué à 9 (+7/-0).
      
      mais bon, je m'attends à ce qu'un site important comme ma mutuelle fasse vraiment attention aux fuites
      
      spa gagné :/
      cf. https://linuxfr.org/users/luc-skywalker/liens/vol-de-donnees-personnelles-la-moitie-des-assures-sociaux-concernee
      
      Répondre
- [^] # Re: Bonne idée !
  
  Posté par Gil Cot ✔ (site web personnel, Mastodon) le 11 février 2024 à 22:52. Évalué à 4 (+2/-0).
  
  Quand j’ai lu le passage : «
  
  Je pourrais, évidemment, choisir un gestionnaire autre que celui intégré à Firefox. Cependant, si le gestionnaire en question doit permettre l'accès depuis n'importe quelle machine connectée à Internet, il faut bien que les données soient stockées quelque part sur un serveur, que ce soit celui de l'association ou entreprise qui développe le gestionnaire, ou bien un service externe de stockage comme Dropbox ou Google Drive. Or, contrairement à Mozilla (et encore, malheureusement), je n'ai pas du tout envie de devoir faire confiance à la pérennité à long terme d'une telle organisation, et encore moins de stocker un fichier de mots de passe, même crypté, sur Google Drive.
  
  » Je me suis dit : « mais pourquoi ne pas héberger ton instance VaultWarden » et rester l’organisation dont tu dépends ? C’est ce que j’ai fini par faire pour la majorité des services en ligne (il y a quelques uns que je ne veux accéder que de ma machine et de mon réseau.)
  
  “It is seldom that liberty of any kind is lost all at once.” ― David Hume
  
  Répondre
  - [^] # Re: Bonne idée !
    
    Posté par jeanas le 11 février 2024 à 23:02. Évalué à 1 (+0/-0).
    
    Le hic, c'est que si je m'auto-héberge un VaultWarden… je dépends de mon hébergeur. Je n'ai pas envie / pas le temps de m'occuper d'un serveur chez moi accessible sur le réseau extérieur.
    
    Là, j'ai certes une page HTML sur le site qui est servi par mon hébergeur, mais c'est une simple commodité. Tant que la commande cksum existera, le système marchera toujours.
    
    Répondre
- [^] # Re: Bonne idée !
  
  Posté par cosmocat le 12 février 2024 à 05:00. Évalué à 7 (+5/-0).
  
  Et je peux ajouter (car j'ai été suis un contributeurs de UniquePasswordBuilder. Coucou Grégory !) que sha256 est plutôt un mauvais choix pour hasher un mot de passe car cette fonction est plutôt optimisée pour utiliser le moins de ressources possibles (mémoire et cpu) et n'est pas idéale contre le brute force.
  
  C'est pourquoi on a ajouté le support de argon2 qui lui est spécifiquement fait pour être lent et nécessiter pas mal de mémoire.
  
  Répondre
  - [^] # Re: Bonne idée !
    
    Posté par barmic 🦦 le 12 février 2024 à 23:55. Évalué à 3 (+1/-0). Dernière modification le 12 février 2024 à 23:55.
    
    sha256 est plutôt un mauvais choix pour hasher un mot de passe
    
    Quand il s'agit de les stocker oui, mais ici il me semble que ça n'est pas le problème. Sauf attaque très spécifique contre lui (vol ou achat d'une base puis attaque spécifique sur son mot de passe), il cherche surtout à se prémunir d'attaque en ligne et les attaques en ligne sont bien plus lente sans nécessité de fonctions de hash particulières.
    
    Je me trompe ? Ça ne compte pas bien chère de passer à argon2 évidemment
    
    https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
    
    Répondre
    - [^] # Re: Bonne idée !
      
      Posté par benja le 19 février 2024 à 23:51. Évalué à 1 (+0/-0).
      
      Oui je pense bien que tu te trompes. Il faut éviter que la connaissance d'un mot de passe permette de retrouver le secret maître. Une fois que l'on a un des mdp (leak, hack ou admin indélicat d'un seul des sites utilisés), rendre le brute force le plus coûteux possible est évidemment pertinent.
      
      Répondre
      - [^] # Re: Bonne idée !
        
        Posté par benja le 20 février 2024 à 00:02. Évalué à 1 (+0/-0).
        
        (L'algo, le seed et le hash étant connu, la sécurité ne repose que sur la difficulté à brute forcer le secret)
        
        Répondre
      - [^] # Re: Bonne idée !
        
        Posté par barmic 🦦 le 20 février 2024 à 00:11. Évalué à 2 (+0/-0).
        
        Tu brute force quoi ? Tu veux comparer à quoi tes tentatives ? Le hash qu'il utilise n'est jamais stocké tel quel.
        
        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
        
        Répondre
        
        [^] # Re: Bonne idée !
        
        Posté par benja le 20 février 2024 à 04:04. Évalué à 2 (+1/-0). Dernière modification le 20 février 2024 à 04:05.
        
        Tu brute force le secret, le MDP maître ! Le hash est connu par le site (hash == MDP deterministe obtenu par cette methode que tu donnes au site pour t'authentifier) , le salt aussi ("apex"). Donc avec cette méthode tu donnes la possibilité à n'importe quelle personne à qui tu as donné un hash de brute forcer le secret et de deviner tout tes logins présents et futures… En comptant 400MB/s par core pour hasher du sha256, tu as intérêt à avoir un secret solide.
        
        Répondre
        
        [^] # Re: Bonne idée !
        
        Posté par benja le 20 février 2024 à 04:18. Évalué à 2 (+1/-0). Dernière modification le 20 février 2024 à 04:21.
        
        Ceci dit, utiliser argon2 pour dériver le secret qui est ensuite hashe selon la méthode proposée ne rend pas la recherche significativement plus lente, simplement de s'assurer que le secret est assez long (donc que l'espace à brute forcer est assez large). Utiliser, en complément d'une dérivation du secret, argon2 ou autre à la place de sha semble significativement plus interessant. Ps: Je ne suis pas cryptologue.
        
        Répondre
        
        [^] # Re: Bonne idée !
        
        Posté par cg le 20 février 2024 à 23:02. Évalué à 4 (+2/-0). Dernière modification le 20 février 2024 à 23:02.
        
        Il me semble qu'un intérêt de argon2 est qu'il demande "beaucoup" de mémoire par essai, du genre 64MB, et que ça rend la recherche par forte brute sur GPU beaucoup plus lente, car ça coûte très cher d'avoir assez de RAM. Par exemple avec une carte 64GB tu ne peux faire que 1000 tests en parallèle, alors que les GPUs ont beaucoup plus de cœurs.
        
        Après je ne suis pas spécialiste du domaine non plus !
        
        Répondre
        
        [^] # Re: Bonne idée !
        
        Posté par barmic 🦦 le 21 février 2024 à 11:15. Évalué à 3 (+1/-0).
        
        argon2 est plus fou encore tu peux le paramétrer son usage :
        
        en mémoire
        
        en temps de calcul
        
        en parallélisme
        
        Et OWASP conseil de l'utiliser avec 19Mio de mémoire 2 itération et sans parallélisme (degrés de parallélisme à 1).
        
        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
        
        Répondre
        
        [^] # Re: Bonne idée !
        
        Posté par barmic 🦦 le 20 février 2024 à 07:05. Évalué à 2 (+0/-0).
        
        Si l'attaquant a déjà volé une base réussie à péter le mot de passe généré par cette méthode qui est considéré comme très fort alors, il peut se lancer dans ce genre de brute force.
        
        Il faudrait que le site ai vraiment mal fais son travail (possible) et que l'attaquant soit vraiment déterminé pour comprendre que ce mot de passe suit ce paradigme ou qu'il cible spécifiquement l'auteur.
        
        Je suis d'accord il y a bien une fragilité.
        
        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
        
        Répondre
- [^] # Re: Bonne idée !
  
  Posté par Glandos le 12 février 2024 à 18:13. Évalué à 4 (+2/-0).
  
  C'est aussi le cas de https://pfp.works/ créé par Wladimir Palant, l'auteur original de AdBlock Plus.
  
  Je ne sais pas qui est le premier…
  
  Répondre
# Spectre / Lesspass

Posté par Eric le 11 février 2024 à 22:33. Évalué à 4 (+3/-0). Dernière modification le 11 février 2024 à 22:35.

J'ai vu un certain nombre des règles à la noix sur les mots de passe, par exemple PayPal qui met une limite maximum de 20 caractères, Mes Services Étudiant qui se fait une idée particulière de ce qu'est un caractère spécial, ou la SNCF qui prétend accepter jusqu'à 50 caractères mais n'en accepte que 22 (et qui m'a insulté d'un « Suite à un incident technique, votre demande de changement de mot de passe n'a pas abouti »).

Ce problème semble résolu par l'application Spectre en jouant sur les paramètres.

Quant à Lesspass, qui est auto-hébergeable, il permet de sélectionner des options telles que la longueur, la casse, l'utilisation de chiffres ou de caractères spéciaux.

Répondre
# Tradition

Posté par Enzo Bricolo 🛠⚙🛠 le 12 février 2024 à 01:36. Évalué à 2 (+0/-0).

On peut pas dire "C'est bieng !" ou "C'est pas bieng !" … ça se fait, c'est la "tradition" !

Charles Bronson dans "Death Wish 4 - La revanche de l'homme à l'harmonica"

Répondre
# Mot de passe mail

Posté par Percherie le 12 février 2024 à 06:58. Évalué à 1 (+1/-0).

Le mail est l'un des point d'entrée de la forteresse, probablement le plus faible

Dans le dernier paragraphe tu indique qu'il est possible de modifier rapidement les mots de passe aléatoirement en quelques minutes mais par expérience cela me prends une bonne journée pour modifier les centaines de comptes qui sont stocké dans mon coffre.

Je ne comprend pas ce que tu souhaite partager dans ce dernier paragraphe, peut tu développer ?

Ps : en cas de crash informatique, pensez à imprimer vos MdP et vos clé TOTP. Un proche indélicats est moins fréquent que les tentatives d'intrusion… mais protégez tout de même ces documents

Répondre
- [^] # Re: Mot de passe mail
  
  Posté par Psychofox (Mastodon) le 12 février 2024 à 08:02. Évalué à 6 (+3/-0).
  
  Un proche indélicats est moins fréquent que les tentatives d'intrusion…
  
  Pas forcément dans les relations / familles les plus toxiques.
  
  Répondre
- [^] # Re: Mot de passe mail
  
  Posté par alkino le 12 février 2024 à 10:48. Évalué à 2 (+0/-0). Dernière modification le 12 février 2024 à 10:48.
  
  Je supprime de manière rigoureuse tous les comptes dont je n'ai plus besoin sur les sites qui le permettent (pas mal de sites européens le permettent, les autres c'est plus aléatoire).
  
  Répondre
- [^] # Re: Mot de passe mail
  
  Posté par jeanas le 12 février 2024 à 12:25. Évalué à 1 (+0/-0).
  
  Dans le dernier paragraphe tu indique qu'il est possible de modifier rapidement les mots de passe aléatoirement en quelques minutes mais par expérience cela me prends une bonne journée pour modifier les centaines de comptes qui sont stocké dans mon coffre.
  
  Relis le paragraphe en question :) J'ai dit que ça devrait être facile, pas que ça l'est (c'est bien le problème).
  
  Répondre
# Pas là où je vais saisir un mot de passe

Posté par GG (site web personnel) le 12 février 2024 à 08:27. Évalué à 9 (+7/-0).

Seulement voilà : qu'est-ce que je fais si je ne suis pas sur Firefox ? Dans une bibliothèque, chez des amis, dans un cybercafé, […]

Sincèrement, je ne consulterai pas mes emails (par exemple) depuis l'ordinateur d'une bibliothèque, celui d'un ami ou dans un cybercafé. Je n'ai absolument aucune confiance dans la manière dont l'équipement sera maintenu.

Si j'ai mon propre équipement, éventuellement via le Wifi, et encore…

Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

Répondre
- [^] # Re: Pas là où je vais saisir un mot de passe
  
  Posté par Toto le 12 février 2024 à 12:29. Évalué à 2 (+1/-0).
  
  Du coup, quel est ta procédure en cas de vol de ton portefeuille+équipement dans un pays étranger ?
  A un moment, tu vas être obligé de lire tes mails (réservation de vol/hotel, contacter X/Y ou Z) et du coup, cela doit faire parti de tes cas d'usage
  
  Sinon, je serais assez intéressé, car même si j'évite au maximum de tapper mes mdp dans des endroits peu sur, je n'arrive pas à me débarrasser du usecase "je suis obligé de le faire dans un environnement de non confiance avec une gestion du stress en plus"
  
  Répondre
  - [^] # Re: Pas là où je vais saisir un mot de passe
    
    Posté par GG (site web personnel) le 12 février 2024 à 12:42. Évalué à 4 (+2/-0).
    
    Déjà, c'est bien d'imprimer certains documents, comme les billets d'avions.
    
    Et, sinon, j'aurai quelques boîtes mails avec un mot de passe particulier, sans liens avec ces schémas de mots de passes existants, qui serviraient en cas de secours.
    D'ailleurs une version numérique de certains documents pourraient être dans une boîte mails dans un emails.
    
    Cela limiterait l'étendue des fuites possibles.
    
    Mais oui, ça demande une réflexion et une préparation, bien en avance.
    
    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
    
    Répondre
  - [^] # Re: Pas là où je vais saisir un mot de passe
    
    Posté par Psychofox (Mastodon) le 12 février 2024 à 12:56. Évalué à 4 (+1/-0).
    
    M'est avis que c'est plus intéressant de connaitre par coeur quelques numéro de téléphones de confiance, d'aller voir la police pour avoir reçu la plainte (pour les démarches avec l'ambassade/consulat) et trouver le kiosque western union le plus proche. Après une fois les sous en poche tu peux t'acheter un smartphone tout neuf avec une carte sim locale.
    
    Parce que bon je ne m'attends pas à ce que quelqu'un me réponde avant plusieurs heures par email.
    
    Après c'est vrai qu'à cause du spam, on a de moins en moins de gens qui décrochent un numéro inconnu, surtout avec un indicatif d'un autre pays. Mais bon si tu as un proche qui sait que tu es à l'étranger j'ose imaginer qu'il pourrait faire le rapprochement et décrocher exceptionnellement.
    
    Mais après oui il y a des cas d'usage où j'imagine qu'on diminue le niveau de sécurité.
    
    Soit-dit en passant quand on est à l'hôtel et pas en transit c'est pas mal de laisser des sous, des photocopies de ses papiers et une carte bancaire d'urgence dans le lock de la chambre d'hôtel.
    
    Répondre
# Profil

Posté par flagos le 12 février 2024 à 09:21. Évalué à 4 (+2/-0). Dernière modification le 12 février 2024 à 09:23.

Pour contourner le problème original avec Firefox une fois tous les 5 ans ou ce cas me serait utile, je créerais un profil temporaire sur firefox (puisque c'est la ou sont stockes les mots de passe), en suivant le guide: https://support.mozilla.org/fr/kb/gestionnaire-profils-creer-supprimer-changer-profils-firefox

Donc ca ferait:
- on va about:profiles
- on cree un profil, on lance un navigateur dessus
- on ne synchronise PAS de suite ses mots de passe
- on va dans les parametres ajouter un mot de passe maitre pour que ce soit chiffre sur le disque
- on active la synchro
- enjoy
- une fois termine, on dégage le profile, mais si on oublie c'est pas trop grave, le contenu est chiffre.

Évidemment je n'ai jamais fait cette manipe en vrai.

Répondre
# Piratage de mail

Posté par devnewton 🍺 (site web personnel) le 12 février 2024 à 10:47. Évalué à 5 (+2/-0). Dernière modification le 12 février 2024 à 10:48.
Pour limiter les dégâts en cas de piratage de mail, loue un nom de domaine :
1. si tu autohéberges, tu passes ton serveur au karcher et c'est reparti ;
2. si tu passes par un hébergeur, tu le préviens et tu vires les entrées mx/dkim/spf/… le temps que tout revienne en ordre.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
Répondre
# Mauvaise idée

Posté par cg le 12 février 2024 à 14:08. Évalué à 8 (+6/-0).
Merci pour le journal. Sans doute que ce premier outil t'as fait réfléchir à quelques problématiques, et te feras réfléchir à d'autres questions, et c'est super !

Mais en vrai, c'est une mauvaise idée. D'une manière générale, créer sa solution cryptographique sans très bien connaître le domaine mène à une situation risquée voire potentiellement catastrophique.

Le minimum, si tu calcules ton mot de passe, c'est d'ajouter un sel différent pour chaque mot de passe, ce qui revient à avoir un mot de passe maître qui change pour chaque mot de passe, et du coup ton logiciel ne fonctionne plus, sauf si tu stockes ces mots de passe maîtres… dans un gestionnaire de mots de passe :D.

Bref, utilises un gestionnaire agnostique du navigateur (Bitwarden, Lastpass…), mais qui s'intègre bien aux navigateurs et aux mobiles, et est dispo en https pour quand tu es "pas chez toi". Active la MFA pour accéder à ce coffre électronique et tu n'auras plus de problème.

On conseille souvent de changer ses mots de passe régulièrement

Plus tellement, on conseille surtout d'utiliser l'authentification multiple dès que possible¹. Webauthn le permet, TOTP a abaissé la barre en terme de facilité d'usage et de coût (avec Authy ou Google Authenticator), et les passkeys sont le véritable équivalent des paires de clés SSH pour le web. Un très grand intérêt de la double authentification est que le vol du mot de passe n'est pas suffisant pour accéder au compte et te laisse le temps de changer le mot de passe s'il s'avère que ton mot de passe a vraiment été divulgué/trouvé.
1. Et surtout sur le mail, Graal de la vie numérique moderne. ↩
Répondre
- [^] # Re: Mauvaise idée
  
  Posté par jeanas le 13 février 2024 à 21:08. Évalué à 4 (+3/-0).
  
  J'accepte la critique d'autodidaxie. Cela dit, on reste sur un système qui n'est utilisé que par moi et qui n'engage que moi, pas quelque chose que j'utiliserais dans une Web-application grand public (tiens, je devrais mettre un avertissement sur la page password.html).
  
  C'est vrai que j'aurais pu mettre un sel, c'est un peu bête de ma part. Cela dit, le mot de passe maître est plutôt long (20 caractères aléatoires), ce qui compense un peu. L'intérêt du sel est multiple, mais il permet en particulier d'éviter que les hashs ne soient matchés contre une base de données de mots de passe courants, et en l'occurrence ça ne va pas y être. Un autre intérêt, c'est d'éviter les collisions entre mots de passe qui se trouveraient être égaux, pour répartir le risque, mais tous mes mots de passe sont différents par construction (à cause de l'apex). Et il y a une question d'échelle qui joue aussi : si j'étais Facebook, il serait clairement essentiel d'associer à différents mots de passe des sels différents, parce qu'il y a tellement de mots de passe dans la DB et tellement de valeur à retirer d'un craquage — donc tellement d'enjeu — qu'il y a un risque évident, si on prend le même sel à chaque fois, que des gens investissent des ressources de calcul importantes pour créer une table géante des hashes des mots de passe courants concaténés avec ce sel particulier. Mais là, on parle d'une personne dans le monde avec cent pauvre mots de passe, et qui n'est pas non plus ciblée par la NSA. Je ne crois pas que changer le sel à chaque fois soit essentiel dans ce cas de figure.
  
  Et j'accepte aussi la critique d'avoir utilisé SHA256 et pas une fonction de hachage un peu dure à calculer. Mais l'API window.crypto.subtle.digest des navigateurs n'a que le SHA1 (pas sécurisé), le SHA256, le SHA384 et le SHA512. Je ne voulais pas introduire des dépendances JavaScript, d'abord je n'y connais rien au développement Web, et ça fait de la maintenance (et, paradoxalement, un risque de vulnérabilités si j'oublie de mettre à jour la dépendance…).
  
  Répondre
  - [^] # Re: Mauvaise idée
    
    Posté par cg le 13 février 2024 à 21:39. Évalué à 4 (+2/-0).
    
    Hello,
    
    en fait c'est surtout cette question :
    
    Pourquoi un tel système n'est-il pas universel ? Je me le demande bien.
    
    qui m'a faire répondre "mauvaise idée". Dans un cadre individuel, si tu es conscient des limites de ton système, tu fais bien ce que tu veux :p. Je suis pas blanc-blanc non plus, je ne vais pas donner des leçons :D.
    
    Mais j'y avais repensé, parce que je trouvais mon argument technique du sel un peu pourri…
    
    Je me suis dit qu'on pouvait le voir dans l'autre sens : l'apex est le sel, et le "mot de passe" est réutilisé sur tous les sites. Sauf que dans ce cas, ton sel est très simple à connaître (typiquement ebay, linuxfr, impots…). Reste le mot de passe qui est costaud, mais réutilisé partout.
    
    Si tu n'as pas de bol, et que tu tombes un jour sur une machine avec un keylogger ou un logiciel espion quelconque (genre chez le neveu qui rulez sur le darknet), ton mot de passe maître se retrouve compromis et le générateur n'est pas protégé par de la double authentification. Tu as donc tes fameuses 3/4 heures pour rechanger tes mots de passes partout, en compétition avec les amis de ton neveu. 3, 2, 1, partez ! Certes tu n'as peut-être pas le poids de Mark Zuckerberg, mais par contre ce sont tes données et c'est ça qui t'importe je crois :D.
    
    Avec la MFA active partout où c'est possible, c'est moins un problème, ceci dit.
    
    Répondre
    - [^] # Re: Mauvaise idée
      
      Posté par jeanas le 13 février 2024 à 21:59. Évalué à 2 (+1/-0).
      
      en fait c'est surtout cette question :
      
      Pourquoi un tel système n'est-il pas universel ? Je me le demande bien.
      
      qui m'a faire répondre "mauvaise idée". Dans un cadre individuel, si tu es conscient des limites de ton système, tu fais bien ce que tu veux :p. Je suis pas blanc-blanc non plus, je ne vais pas donner des leçons :D.
      
      Ah, merci pour la clarification. Mais quand je disais ça, je parlais du principe général, pas de l'algorithme exact. Il est évident qu'il ne faudrait pas qu'un outil utilisant un tel système devienne standard dans la population générale sans que des chercheurs en crypto se penchent très sérieusement sur les algorithmes exacts qui sont utilisés.
      
      Par ailleurs, un sel par personne, je ne crois pas que ce soit si pire par rapport à un sel par mot de passe, vu que tu n'as généralement pas deux comptes sur un même site. Ça continue de protéger de la tabulation de mots de passe courants et des collisions entre mots de passe dans une même DB. Mais je ne suis pas assez expert pour juger vraiment.
      
      En fait, je pense que le plus gros problème avec cette histoire, c'est que l'utilisateur moyen va avoir du mal à retenir le message qu'il ne faut jamais mettre son mot de passe maître dans quoi que ce soit dans lequel on n'a pas une confiance absolue. Je crois que voir la différence entre « je me connecte au site foobar en entrant mon mot de passe maître dans un widget de l'OS ou dans un site séparé, et en copiant le résultat sur foobar » et « le site foobar me demande mon mot de passe maître, je le rentre », c'est un peu trop demander à Madame Michu ☹
      
      Je me suis dit qu'on pouvait le voir dans l'autre sens : l'apex est le sel, et le "mot de passe" est réutilisé sur tous les sites. Sauf que dans ce cas, ton sel est très simple à connaître (typiquement ebay, linuxfr, impots…). Reste le mot de passe qui est costaud, mais réutilisé partout.
      
      Oui, je ne pense pas qu'on puisse vraiment parler de sel pour l'apex. C'est plutôt le mot de passe qui doit être suffisamment fort pour être équivalent à un mot de passe normal + un sel décent.
      
      Si tu n'as pas de bol, et que tu tombes un jour sur une machine avec un keylogger ou un logiciel espion quelconque (genre chez le neveu qui rulez sur le darknet), ton mot de passe maître se retrouve compromis et le générateur n'est pas protégé par de la double authentification. Tu as donc tes fameuses 3/4 heures pour rechanger tes mots de passes partout, en compétition avec les amis de ton neveu. 3, 2, 1, partez !
      
      Alors oui. Mais d'un autre côté… Si je tombe sur un keylogger et que je consulte ma boîte mail, j'ai perdu parce que le mail aujourd'hui est la clé d'accès à tout (outre que je n'ai pas envie qu'on lise mes mails perso). Donc je trouve que la sécurité n'est pas si différente du système usuel des mots de passe : après tout, le mot de passe de la boîte mail est une sorte de mot de passe maître. Le but n'était pas d'améliorer la sécurité du système « normal », plutôt d'améliorer l'utilisabilité à sécurité plus ou moins constante. Et je suis d'accord sur le fait qu'à défaut de WebAuthn, la MFA devrait se généraliser le plus possible, pour les sites à données sensibles (bon, honnêtement, seulement sur eux, parce que je n'ai pas spécialement envie d'avoir besoin d'un appareil pour MFA à portée de main dès que je me connecte sur le moindre forum ou blog sur lequel je veux commenter).
      
      Répondre
# un peu d'archéologie

Posté par octane le 12 février 2024 à 16:50. Évalué à 5 (+3/-0).

Bonjour « Nal » (d'où vient cette tradition ?),

Alors en vrai je n'en ai aucune idée, mais comme cette après midi l'ennui se marie avec mon désoeuvrement, donc j'ai googlé comme un gros sale le site linuxfr.

Bref, j'en vois une mention https://linuxfr.org/users/j_kerviel/journaux/de-lutilisation-contemporaine-des-titres-honorifiques qui date de novembre 2011 (eh beh), mais légèrement différente puisque l'interjection est:
"Monjour, Nal"

Ensuite, c'est devnewton (qui fait plein de petits jeux qui m'amusent bien, merci à lui) en décembre 2012, https://linuxfr.org/users/devnewton/journaux/making-off-un-nouveau-sprite-pour-newton avec la graphie habituelle: "Bonjour Nal".

Et pourquoi on utilise Nal?

Répondre
- [^] # un peu de mots mêlés
  
  Posté par Gil Cot ✔ (site web personnel, Mastodon) le 12 février 2024 à 19:10. Évalué à 6 (+4/-0).
  
  Le pourquoi tu l’as pointé : c’est l’autre partie de journal… Chose sur laquelle joue le premier lien que tu as déniché : « mon journal » ;) L’autre jeu de mot peut être vu comme une façon polie de vendre sa came : « bon journal » ;)
  
  “It is seldom that liberty of any kind is lost all at once.” ― David Hume
  
  Répondre
- [^] # Re: un peu d'archéologie
  
  Posté par Stéphane Ascoët (site web personnel) le 11 mars 2024 à 12:19. Évalué à 2 (+1/-0).
  
  En fait le premier pourrait bien plutôt être https://linuxfr.org/users/j_kerviel/journaux/humeur-fuck-the-fucking-manualwebect (Dix Septembre 2010)
  
  Bon du coup, ça fait encore un utilisateur (au pseudo qui m'interpelle !) qui va se rajouter à ma liste de ceux dont j'aimerais lire une partie des publications (mais n'aurais jamais le temps)
  
  Répondre
# intégré dans nextcloud

Posté par orfenor le 12 février 2024 à 18:29. Évalué à 4 (+2/-0).

Pour ceux qui préfèrent une solution simple, auto-hébergée, plus ou moins sécurisée (ça dépend de vous), on peut installer un gestionnaire de mots de passe dans Nextcloud. Et même son extension Firefox/Chrome.

Et Yunohost en propose d'autres.

Répondre
# Caractère spécial

Posté par Marotte ⛧ le 12 février 2024 à 18:30. Évalué à 5 (+2/-0). Dernière modification le 12 février 2024 à 18:34.

se fait une idée particulière de ce qu'est un caractère spécial

Ça m’a agacé un long moment avant que je n’ai plus rien à faire (enfin presque sinon je n’écrirais pas ce message ^^), mais un « caractère spécial » sans plus de précision ça ne veut absolument rien dire. Dans le contexte dont tu parles on l’entend souvent comme un caractère non-alphanumérique, soit, dans ce cas utilisons ce terme. _ est bien souvent considéré comme alphanumérique ceci dit (pour les regex par exemple). Ce qui fait sens quand on sait d’où il vient.

Est-il « spécial » en lui-même ? Évidemment ça n’a aucun sens.

Mais le concept de « caractère spécial » existe pourtant bel est bien. Oui, dans un contexte donné. Un caractère peut donc être spécial dans tel contexte et « normal » dans un autre.

Et cette habitude de forcer les utilisateurs à mettre au moins une lettre minuscule, une majuscule, un chiffre, un « caractère spécial » (utilisez un ^ ou un ~ si vous êtes joueur !) et utiliser entre 4 et 36 caractères, c’est censé obliger/inciter l’utilisateur à ne pas mettre le nom de son chat ou sa ville de naissance, seulement… dans l’absolu une telle règle ne fait que réduire le nombre de mots de passe possibles, et surtout, ça n’empêche personne d’utiliser un mot de passe tel que Aaaaaaaaa1.1234. Certains programmeurs malins imposent qu’un caractère ne soit pas répété, pas de souci, on réduit encore un peu l’entropie, je vais mettre Abcdefghijk9.4321 (notez le 9 à la place du 1 et l’ordre décroissant à la fin, pour renforcer la solidité…)

Puisque personne ne l’a encore fait :

Le 44 bit d’entropie est évidemment à relativiser si l’attaquant sais que cette méthode est utilisée, mais ça reste solide, surtout qu’on peut utiliser autre chose que des espaces, mettre des majuscules où l’on veut, etc…

Répondre
- [^] # Re: Caractère spécial
  
  Posté par Gil Cot ✔ (site web personnel, Mastodon) le 12 février 2024 à 19:47. Évalué à 4 (+2/-0).
  
  Dans le contexte dont tu parles on l’entend souvent comme un caractère non-alphanumérique, soit, dans ce cas utilisons ce terme.
  
  On demande aux gens d’utiliser « des chiffres (arabes dans le système décimal s’entend) » et « des lettres (de l’alphabet latin s’entend) » ; Et du coup les gens sont supposés comprendre que les caractères spéciaux sont tout ce qui n’entre pas dans ces deux catégories (i.e. chiffres et lettres) : « signes de ponctuations » et « blancs horizontaux » sont les premiers qui viennent à l}esprit, mais il y a aussi les divers symboles (mathématiques, monétaires, etc.) présents sur le clavier…
  Je ne sais pas si ça parlera à beaucoup de gens si on leur cause de « caractères non-alphanumériques » et si ça ne va pas semer la confusion chez nous autres de l’informatique (typiquement je me dis que si je mets une lettre accentuée c’est bon aussi…) Pas simple, mais je te rejoins : je préfèrerais ce vocable à celui de « caractères spéciaux » que je ne pige pas (voir plus bas.)
  
  (utilisez un ^ ou un ~ si vous êtes joueur !)
  
  Je les utilise souvent sans souci. Mais j’ai parfois envie de mettre des caractères de contrôle tant qu}à faire (c’est encore plus jouasse.)
  
  Mais le concept de « caractère spécial » existe pourtant bel est bien. Oui, dans un contexte donné. Un caractère peut donc être spécial dans tel contexte et « normal » dans un autre.
  
  Quand je vois « caractère spécial » je me dis aussi qu’on est dans un contexte où certains signes sont « méta » et ça me rend perplexe…
  
  “It is seldom that liberty of any kind is lost all at once.” ― David Hume
  
  Répondre
  - [^] # Re: Caractère spécial
    
    Posté par cosmocat le 12 février 2024 à 21:02. Évalué à 2 (+0/-0).
    
    (utilisez un ^ ou un ~ si vous êtes joueur !)
    
    Je les utilise souvent sans souci.
    
    Moi, j'ai eu quelques soucis ;)
    Il y a 2 façons de faire la caractère ^ sur un clavier azerty.
    J'avais l'habitude de le faire d'une des 2 façons et j'ai appris à la faire de l'autre façon (altgr+9) car la 1ère façon (^+espace) faisait freezer complètement (impossible de récupérer) ma machine lors du login pour une session KDE il y a quelques années. Je ne sais pas si c'est toujours le cas.
    
    Répondre
    - [^] # Re: Caractère spécial
      
      Posté par Marotte ⛧ le 13 février 2024 à 00:13. Évalué à 6 (+3/-0).
      
      J’ai toujours pensé que c’était pas judicieux de choisir des caractères comme ça pour un mot de passe, rapport à la saisie précisément, mais c’est vrai que normalement il n’y a pas de raison. Je devrais donc pouvoir utiliser … ou Ð pour un mot de passe. Faut juste que j’ai pas à devoir m’identifier sur l’ordi d’un tiers, ordi qui serait exploité par un OS pourri à la gestion du clavier antédiluvienne. ^^
      
      C’est comme pour le “baquespèce” j’ai l’impression que sur certains prompts on ne peut pas l’utiliser comme on veut, ça fait des ^?, du coup ça bousille le mot de passe, on a ce comportement sur des prompts frugaux, je pense à GRUB notamment, ou des consoles de VM en HTML5 à-la-con-je-ne-citerai-pas-de-nom.
      
      En tous cas moi j’ai trouvé la solution, mon mot de passe est invalide, comme ça, même si je l’oublie, n’importe quel ordinateur me le rappelle automatiquement quand je me trompe.
      
      Zut /o\ ! je l’ai dit, saperlipopette ! Comment on efface les messages de l’internet, aidez-moi ! urgent ! risque de pire ratage ! :|
      
      Répondre
    - [^] # Re: Caractère spécial
      
      Posté par Marotte ⛧ le 13 février 2024 à 00:30. Évalué à 4 (+1/-0). Dernière modification le 13 février 2024 à 00:31.
      
      1ère façon (+espace)
      
      Wut? J’ai toujours connu que AltGr+9 pour ma part. En fait pour ^ j’avais en tête la touche qui est juste à droite de la touche P sur un clavier azerty (un clavier qui en vaut deux ©®). Tout ce qui est touche de ce genre, qui se fait « en deux temps » (j’ai zappé le terme là…) ça doit pas être le premier choix pour un mot de passe.
      
      Jadis, quand Linux n’était pas encore prêt pour le desktop, il y a longtemps, j’avais fini par réfléchir à comment taper mon mdp si jamais le clavier était en qwerty pour une raison ou une autre. Faut pas oublier que la disposition qwerty pour un PC Linux c’est comme la locale "C", c’est le « truc par défaut » quand plus rien de fonctionne, ou quand ce qui doit fonctionner ne sait pas encore comment il doit fonctionner !
      
      Sûr qu’aujourd’hui sur un PC moderne on est plus trop emmerdé (quoi que, savez-vous comment est mappé votre clavier sous GRUB ?) mais si on a à se connecter à des matos réseaux, bref, n’importe quel truc aride, c’est mieux que le mot de passe puisse être entré même à l’aveuglette.
      
      Répondre
      - [^] # Re: Caractère spécial
        
        Posté par Gil Cot ✔ (site web personnel, Mastodon) le 13 février 2024 à 05:36. Évalué à 5 (+3/-0).
        
        Je vois d’où vient votre problème et pourquoi je ne le rencontre pas : j’ai toujours obtenu le circonflexe mort par « ⇧6 » ; je n’utilise pas le merdier qui en vaut deux…
        
        Tiens, c’est effectivement cette disposition qui pose souvent souci aux collègues dans la console VMgiciel et d’autres interfaces web/consoles. Pourtant c’est bien reconnu comme montre certains tests, sauf qu’il y a deux points à friction :
        
        Les touches mortes peuvent être mal gérées, et ça impacte toutes les dispositions (j’ai déjà subi la chose avec d’autres claviers qwerty qui en font usage : Brésil, Canada, etc.) Pour leur défense,
        
        D’une part, il n’a pas été prévu de scancode pour dire qu’on va envoyer une séquence à combiner (Unicode est arrivé hélas bien plus tard et personne n’a encore jugé utile la mise à jour avec un “set 4” ou juste de nouveaux codes comme ils l’ont fait pour les touches multimédia…)
        
        D’autre part, comme évoqué dans une autre enfilade, la touche de composition n’a pas été adoptée (avec un scancode standard, c’aurait été une bonne alternative qui aurait résolu simplement le souci —on me souffle dans l’oreillette qu’il y a bien 65 mais que petitmou, qui fait toujours de l’incompatible avec l’existant, en a fait un sandwich… bravo, encore une belle avancée…—)
        
        La bascule de groupes (« ⇨ » par ISO/IEC 9995-7 et CAN/CSA et DIN 2137-1 pour T2/T3, ou « Mod3 » sur Neo2) ainsi que la bascule de niveau 3 (« ⇮ » par ISO/IEC 9995-2 et CAN/CSA et DIN 2137-1, ou « Mod4 » sur Neo2, ou « AltGr » etc.) ne sont pas traités (de toute façon il s’agit souvent de « variations » traités par divers réglages du système d’exploitation et donc hors de portée, ou trop volumineux à réimplémenter) ; ce qui impacte toutes les dispositions aussi (on a la même problématique avec des variantes de qwerty comme US International ou UK Étendu par exemple.) Parfois ça passe si on utilise le bon contournement : comme ça tente de lire directement le scancode et n’a pas connaissance que cette touche est détournée pour faire le niveau 3, il faut utiliser manuellement la combinaison « Contrôle + Alt/Option » …
        
        Je suis un peu dans cette friction quand je veux utiliser un caractère de contrôle, sachant que beaucoup de systèmes d’exploitation qui ont cours malgré leurs limitations et la majorité des interfaces graphiques les interceptent pour leur usage. (quand il faut se mettre au service de la machine et non plus l’inverse…)
        Bref, c’est bien beau de vouloir saisir des mots de passes dans un cybercafé, mais même en situation de nomadisme il est important d’être dans un certain environnement (système d’exploitation éventuellement et disposition clavier équivalent surtout et autres) pour pouvoir rentrer les mots de passe à l’aveugle en toute confiance.
        
        (quoi que, savez-vous comment est mappé votre clavier sous GRUB ?)
        
        Certains ont relaté ici quelques soucis, avec cryptsetup par exemple, ou avec iBus, ou avec des applis Qt sous KDE avant, etc. ; mais pour GrUB ça sait intégrer la disposition que tu lui indiques.
        
        Ceci dit, qwerty-us (pas les autres variantes) est la base de l’informatique et cela transparait dans certains programmes ; ce n’est pas propre à GNU/Linux
        
        Faut pas oublier que la disposition qwerty pour un PC Linux c’est comme la locale "C", c’est le « truc par défaut » quand plus rien de fonctionne, ou quand ce qui doit fonctionner ne sait pas encore comment il doit fonctionner !
        
        J’ai souvenir de ce collègue qui a du emprunter en urgence mon second clavier (en fait le clavier fourni par l’entreprise reste dans le tiroir pour dépannage car je préfère utiliser mon TM) et n’a pas su saisir son mot de passe BIOS pour démarrer (quand je suis arrivé, il n’y avait pas de qui en vaut deux en stock et je devais attendre deux jours ; j’ai demandé qu’on me refile le qwerty qui prenais la poussière vu que de toute façon ça colle plus à la disposition qui sera configurée au niveau de ma session.) Pourtant les machines étaient sous fenêtre.
        
        “It is seldom that liberty of any kind is lost all at once.” ― David Hume
        
        Répondre
      - [^] # Re: Caractère spécial
        
        Posté par ted (site web personnel) le 17 février 2024 à 09:00. Évalué à 2 (+0/-0).
        
        Le coup du clavier mappé en Qwerty ça m'est arrivé avec une Debian (11 il me semble) et un système chiffré. Je ne sais pas pourquoi, dans cette configuration particulière le mot de passe était demandé par Grub et donc le clavier était en qwerty, c'était un peu chaud. Sur ma dernière install Bookworm je n'ai plus ce comportement.
        
        Un LUG en Lorraine : https://enunclic-cappel.fr
        
        Répondre
        
        [^] # Re: Caractère spécial
        
        Posté par Marotte ⛧ le 17 février 2024 à 23:22. Évalué à 3 (+0/-0). Dernière modification le 17 février 2024 à 23:23.
        
        C’est exactement pour ce genre de possible galère que je pense qu’il vaut mieux rallonger le mot de passe que mettre un caractère « exotique ». J’ai eu le soucis assez régulièrement par le passé, je sais maintenant où sont le w, le m, le z, et quelques diacritiques, ou que les chiffres nécessitent pas de Shift, avec une dispo qwerty.
        
        Il me serait jamais venu à l’idée d’utiliser un qwerty (en tant que français), les français qui font ça, c’est une question d’habitude ? Les premiers PC vendus en France avaient des claviers qwerty ? Ou bien vous utilisez une disposition qwerty sur un clavier qui est « physiquement » azerty ~~par snobisme~~ pour une bonne raison ?
        
        À ça peut s’ajouter encore un sur-couche de problème… Il y a quelques temps j’ai acquis un clavier à touches mécaniques, pour voir ce que ça donnait. Il se trouve qu’en plus d’avoir des touches mécaniques elles ont des loupiottes, ça aucun problème, mais c’est un clavier dit « de gamer », on peut donc, par exemple échanger les touches qzsd avec les flèches. Je l’ai appris par hasard suite à un appuis involontaire sur la « bascule » qui active ce réglage, bah je me suis trouvé con. Surtout que débrancher le clavier un moment (le temps de brancher un bon vieux clavier de merde avec des touches « caoutchouc » pour finir mon taf) et bien ça ne remet pas la configuration à zéro (oui c’est sûr c’est plutôt une feature je dis pas ^^). J’ai fini par trouver mais ce fût un peu laborieux.
        
        Au sujet des touches mécaniques : ya pas à dire le toucher est plus agréable, par contre j’ai certaines touches qui parfois ne s’activent pas. J’en ai déjà remplacé quelques une (le clavier était livré avec quelques mécanismes de remplacement…) mais c’est le genre de truc qui ne m’étais jamais arrivé avec des claviers normaux à 10 balles… Ceci dit je ne suis pas capable de dire pourquoi ça déconne précisément, vu qu’il y a un tas de raisons possible, alors je suppose que c’est une conjonction de toutes :
        
        C’est pas le premier prix mais quand je vois les prix qu’atteignent les claviers mécaniques je sais que j’ai pas le top
        
        Je suis un bourrin et les touches prennent cher, ces bêtes là sont probablement plus délicates que les claviers classiques
        
        Les poils d’animaux ont tout l’espace nécessaire pour aller se foutre où il ne faut pas (j’ai déjà ôté toutes les touches (enfin les « capuchons », les mécanismes c’est assez relou à sortir…) pour dégager les poils, mais je vais pas faire ça tout le temps.
        
        N’ayant jamais eu une motricité fine très développée et le temps passant, mes doigts ne frappent plus forcément là où mon cerveau s’attend à ce qu’ils frappent avec une précision suffisante. ^^
        
        Répondre
        
        [^] # Re: Caractère spécial
        
        Posté par Gil Cot ✔ (site web personnel, Mastodon) le 20 février 2024 à 21:26. Évalué à 3 (+1/-0).
        
        Il me serait jamais venu à l’idée d’utiliser un qwerty (en tant que français), les français qui font ça, c’est une question d’habitude ?
        
        C’est l’usage de l’azerty qui est une moche habitude que l’on s’impose. Il y a plein de pays, francophones[1] ou pas[2], où l’on écrit en français (ou dans une autre langue latine posant les mêmes soucis de diacritiques[3] et ligatures ou autres symboles) sans devoir se farcir l’inefficacité de l’azerty.
        
        Faudra que tu fasse un tour : au Luxembourg, en Suisse, au Québec, etc.
        
        Y a de nombreuses personnes (et parfois de fortes communautés françaises) qui écrivent quasi quotidiennement en français (et avec moins de fautes souvent) depuis : les États-Unis d’Amériques, les constituantes du Royaume Unis, etc.
        
        Le portugais (avec quelques langues autochtones du Brésil) et le vietnamien n’ont rien à envier au français…
        
        Surtout que débrancher le clavier un moment (le temps de brancher un bon vieux clavier de merde avec des touches « caoutchouc » pour finir mon taf) et bien ça ne remet pas la configuration à zéro
        
        Ça veut dire que le clavier ne fait pas sa popote par dessus les réglages du système mais a juste envoyé une série de codes plus ou moins standardisés que le système a reconnu et changé de mode en conséquence.
        Quoique, il est possible aussi que ce soit une tambouille du clavier par dessus le système et ce fut transparent parce-que les bons pilotes sont installés et bien configurés.
        
        Les poils d’animaux ont tout l’espace nécessaire pour aller se foutre où il ne faut pas
        
        Qu’importe le clavier (même ceux même pas à dix balles), ça fait pas bon ménage avec : les poils d’animaux, la fumette (ça permet de générer autant de dégâts que de la poussière sur dix à cent fois plus de temps), les miettes diverses (inévitables même quand on pense manger proprement devant son matériel) et les liquides (parfois quelques gouttes dans le tissus nettoyant)
        
        Je suis un bourrin et les touches prennent cher, ces bêtes là sont probablement plus délicates que les claviers classiques
        
        Normalement un clavier mécanique n’est pas fait pour être effleuré. Mais même avec un clavier à membrane, il faut choisir quelque chose dont on apprécie le toucher et d’autres paramètres (longueur d’activation, butée, etc.)
        
        “It is seldom that liberty of any kind is lost all at once.” ― David Hume
        
        Répondre
        
        [^] # Re: Caractère spécial
        
        Posté par barmic 🦦 le 21 février 2024 à 11:21. Évalué à 4 (+2/-0).
        
        C’est l’usage de l’azerty qui est une moche habitude que l’on s’impose. Il y a plein de pays, francophones[1] ou pas[2], où l’on écrit en français (ou dans une autre langue latine posant les mêmes soucis de diacritiques[3] et ligatures ou autres symboles) sans devoir se farcir l’inefficacité de l’azerty.
        
        Parler de l'inefficacité de l'azerty pour mettre en avant le qwerty c'est l’hôpital qui se fou de la charité. Ce n'est que l'habitude et les goûts qui fais en préférer sur l'autre. Si on veut parler d'efficacité c'est dvorak et bépo qu'il faut aller regarder (je viens de remarquer que je n'ai aucune idée de commenter écrire Dvořák avec une disposition dvorak).
        
        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
        
        Répondre
        
        [^] # Re: Caractère spécial
        
        Posté par Psychofox (Mastodon) le 21 février 2024 à 12:42. Évalué à 6 (+3/-0). Dernière modification le 21 février 2024 à 12:44.
        
        Disons que rien que pour l'accès aux chiffres, l'Azerty perd un point si tu n'as pas un clavier large avec pavé numérique. Il en perd un deuxième pour n'importe qui faisant du code, utilise le shell ou les raccourcis claviers principaux par le simple fait que la plupart des langages de programmations, OS et même applications ont été écrits par des gens utilisant des variantes du qwerty et ont fait des choix influencés par le mapping clavier utilisé.
        
        Du coup sans être une panacée, à mon sens le qwerty alt-international reste plus comfortable à utiliser que l'azerty pour plein de choses y compris le français.
        
        Répondre
        
        [^] # Re: Caractère spécial
        
        Posté par Gil Cot ✔ (site web personnel, Mastodon) le 22 février 2024 à 00:23. Évalué à 3 (+1/-0).
        
        Voilà, mon propos n’était pas de taper sur A pour mettre en avant Q ; mais bien de pointer le fait que Q n’étant déjà pas terrible à la base il se trouve que A fait pire. Les autres dérivés de Q n’ont pas nombre des problèmes posés A qui du coup ne peut pas mieux se classer.
        
        “It is seldom that liberty of any kind is lost all at once.” ― David Hume
        
        Répondre
        
        [^] # Re: Caractère spécial
        
        Posté par barmic 🦦 le 22 février 2024 à 01:07. Évalué à 2 (+0/-0).
        
        Et je ne suis pas d'accord. Ce n'est qu'une question de goût. C'est une préférence en programmation j'utilise par exemple moins les chiffres (qui hors du 1 et du 0 sont peu utile) que pas mal de caractères comme _-(). Parler des problèmes de raccourcis quand il y a 5 lettres de différentes entre les 2 dispositions c'est ridicule.
        
        Les 2 n'ont pas d'avantage intrinsèque objectifs et ce n'est pas bien grave le meilleur layout c'est celui qui convient à l'utilisateur pas celui qui est réputé le meilleur du monde et au delà.
        
        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
        
        Répondre
        
        [^] # Re: Caractère spécial
        
        Posté par cosmocat le 22 février 2024 à 08:58. Évalué à 2 (+0/-0).
        
        Si on veut parler d'efficacité c'est dvorak et bépo qu'il faut aller regarder
        
        Apparemment il y a mieux: "Ergo‑L est meilleur que Bépo pour le Français, meilleur que Dvorak pour l’Anglais et meilleur que Qwerty pour la programmation !"
        https://ergol.org/
        
        Répondre
        
        [^] # Re: Caractère spécial
        
        Posté par barmic 🦦 le 22 février 2024 à 10:17. Évalué à 2 (+0/-0).
        
        Jamais essayé, je ne peux pas dire.
        
        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
        
        Répondre
        
        [^] # Re: Caractère spécial
        
        Posté par Marotte ⛧ le 21 février 2024 à 15:42. Évalué à 3 (+0/-0). Dernière modification le 21 février 2024 à 15:44.
        
        il est possible aussi que ce soit une tambouille du clavier par dessus le système
        
        Je pensais plutôt à ça, avec quelques condensateurs pour que le réglage persiste un moment. Côté driver je n’ai rien de spécial me semble-t-il, mais je ne suis pas très sûr (je suis même passablement largué je dois dire…). C’est "usbhid, hid_generic, hid" qui gère ça non ?
        
        Mais faudrait que je check, tu as p-e raison.
        
        Qu’importe le clavier (même ceux même pas à dix balles), ça fait pas bon ménage avec : les poils d’animaux, la fumette (ça permet de générer autant de dégâts que de la poussière sur dix à cent fois plus de temps), les miettes diverses (inévitables même quand on pense manger proprement devant son matériel) et les liquides (parfois quelques gouttes dans le tissus nettoyant)
        
        je sais bien mais je n’avais jamais observé ce genre de problème avec ceux à membrane. Ceci dit c’est peut-être juste une question que je m’habitue. Le toucher est vraiment différent. Et nettement plus agréable et confortable malgré ces « ratés ».
        
        (longueur d’activation, butée, etc.)
        
        Oui j’ai vu ça, il y a même un code couleur pour les mécanismes et ces paramètres je crois. C’est un domaine très riche, dont la disposition, par exemple n’est qu’un des aspect. Le clavier reste encore l’interface par excellence pour interagir avec un ordinateur. En attendant un moyen de connecter directement l’activité électrique du cerveau. ^^ La voix par exemple ce n’est pas inintéressant mais sûrement pas encore ni assez fiable ni assez versatile. Les dispositifs de pointage aussi bien sûr complètent utilement le clavier (l’infographie au clavier c’est pas ouf par exemple).
        
        Sur AZERTY je crois que le plus surprenant c’est la touche pour ù, lettre utilisée dans un seul mot du français (un mot très important certes, mais bon…) !
        
        Répondre
        
        [^] # Re: Caractère spécial
        
        Posté par barmic 🦦 le 22 février 2024 à 01:16. Évalué à 2 (+0/-0).
        
        Oui j’ai vu ça, il y a même un code couleur pour les mécanismes et ces paramètres je crois. C’est un domaine très riche, dont la disposition, par exemple n’est qu’un des aspect.
        
        Maintenant tu as des mécanismes dis analogiques, tu n'a pas de barrière de retour avant de pouvoir réactiver la touche. Dis autrement quand tu as activé une touche, pour la réactiver tu n'a pas à la faire véritablement remonter le moindre relâchement permettra de la réactiver. Ça ne sert que dans le jeu vidéo. Comme le fais de pouvoir appuyer sur plus de 3 touches à la fois, utile par exemple pour jouer à 2 sur un même clavier
        
        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
        
        Répondre
        
        [^] # Re: Caractère spécial
        
        Posté par Gil Cot ✔ (site web personnel, Mastodon) le 22 février 2024 à 01:20. Évalué à 3 (+1/-0).
        
        avec quelques condensateurs pour que le réglage persiste un moment.
        
        Condos sur le clavier pour de la persistance sur celui-ci…
        Ou alors ils sont sur le connecteur de la arte-mère pour que ça persiste avec un autre clavier.
        
        C’est "usbhid, hid_generic, hid" qui gère ça non ?
        
        Oui, c’est les scan codes étendus et améliorés. À la fois simple et complexe, élégant et fouillis avec ordre.
        
        Sur AZERTY je crois que le plus surprenant c’est la touche pour ù, lettre utilisée dans un seul mot du français (un mot très important certes, mais bon…) !
        
        C’est un exemple de place gâchée là où les autres dispositions utilisent juste une touche morte « ` » qui permet d’écrire également à/è/ò/ì/ù/ỳ/ẁ/etc. …et leurs majuscules !
        Sinon, hormis « où » et « oùsque », on peut importer : « ankoù », « ayoù », « Cantù », « Carrù », « Cefalù », « festoù-noz », « ioù », « Montù Beccaria », « Palù del Fersina », « Patù », « Rùm », « saùng gauk s », « siù s », « Temù », « tiramisù », « Viggiù », « Viù », « xârâcùù s ».
        Ce qui est surprenant est qu’il n’y ait pas de touche pour « æ » et « œ » qui sont présent dans plus de mots et que d’autres dispositions non azerty permettent d’obtenir (bon, X avec oss et Mac sont l’exception) : encore un mauvais point…
        
        “It is seldom that liberty of any kind is lost all at once.” ― David Hume
        
        Répondre
- [^] # Re: Caractère spécial
  
  Posté par NicolasP le 12 février 2024 à 20:40. Évalué à 3 (+2/-0).
  
  Le 44 bit d’entropie est évidemment à relativiser si l’attaquant sais que cette méthode est utilisée
  
  L'entropie est de 44 bits si l'attaquant sait que cette méthode est utilisée, qu'il connaît la liste de mots initiale et le nombre de mots choisis.
  
  Ce qui est discutable, c'est si 44 bits suffisent ou pas. Mais cet algorithme s'adapte bien, il suffit de prendre une plus grande liste de mots et/ou plus de mots pour augmenter l'entropie jusqu'à la valeur désirée.
  
  Répondre
  - [^] # Re: Caractère spécial
    
    Posté par Marotte ⛧ le 21 février 2024 à 16:15. Évalué à 4 (+1/-0).
    
    L'entropie est de 44 bits si l'attaquant sait que cette méthode est utilisée, qu'il connaît la liste de mots initiale et le nombre de mots choisis.
    
    Tu as sûrement raison, j’avoue ne pas comprendre d’où viennent les chiffres de 2²⁸ (dans le premier cas) et 2⁴⁴ (dans le second). En tous cas une chose est sûre, me semble-t-il, c’est que dans les deux cas l’entropie est plus faible qu’un mot de passe de la même longueur utilisant le même ensemble de caractères et qui serait vraiment aléatoire. Si on prend par exemple erotic flower stapled ouragan, qu’on fait l’hypothèse que sont utilisé 26 lettres minuscules + espace, qu’il y a comme ici 29 caractères, disons entre 20 et 40, si on sait qu’il s’agit de trois, quatre ou cinq mots de la langue anglaise séparés par des espaces, en terme d’entropie on est bien de deçà de ce qu’on peut atteindre avec les seuls éléments "longueur" et "nombre de figures" si on ne se fixe pas une règle de ce genre, on peut éventuellement avoir un 'xmafhxdgv hcpmmbc f fgsiegnxqw'. Idem pour le premier exemple si on s’abstient de partir d’un mot existant: c0qui!!4g3 vs. vv59yd!c4j. Mais bien sûr c’est là le point du XKCD, on est dans le compromis entre "entropie" et "mémorisabilité".
    
    On devrait peut-être enseigner les méthodes de choix d’un mot de passe vers le CE2-CM1. C’est sûrement aussi, voire plus utile comme compétence que de savoir poser une division ou distinguer un complément d’objet d’un attribut du sujet…
    
    Répondre
    - [^] # Re: Caractère spécial
      
      Posté par NicolasP le 27 février 2024 à 20:21. Évalué à 3 (+2/-0).
      
      j’avoue ne pas comprendre d’où viennent les chiffres de 228 (dans le premier cas) et 244 (dans le second).
      
      Ce n'est pas évident mais c'est plus ou moins expliqué dans la 1ère bulle. Chaque petit carré correspond à un bit. Et la position du carré donne une indication d'où ça vient.
      
      Pour le premier cas :
      - L'utilisateur choisit un mot peu commun => 16 bits. Ici Randall suppose donc une liste de 65536 mots dans laquelle on choisit.
      - L'utilisateur choisit de mettre la 1ère lettre en majuscule ou non => 1 bit
      - Pour chaque lettre où c'est faisable, l'utilisateur choisit d'écrire en leet ou pas => 3 bits (le calcul est un peu simpliste ici car les 3 bits dépendent en fait du mot initial)
      - L'utilisateur rajoute un caractère spécial => 4 bits (donc dans une liste de 16 caractères)
      - L'utilisateur rajoute un chiffre => 3 bits (c'est un peu plus, mais c'est arrondi)
      - L'utilisateur peut choisir d'inverser le caractère spécial et le chiffre => 1 bit
      
      Au total, on retrouve bien les 28 bits module quelques approximations.
      
      Dans le deuxième cas :
      - L'utilisateur choisit un mot commun => 11 bits. Ici Randall suppose cette fois une liste plus réduite de 2048 mots
      - Il répète 4 fois => 44 bits
      
      Un point important des 2 méthodes, c'est que les choix doivent tous être des choix au hasard (donc pas l'utilisateur qui sort de sa tête un mot). Sinon, l'entropie diminue fortement.
      
      En tous cas une chose est sûre, me semble-t-il, c’est que dans les deux cas l’entropie est plus faible qu’un mot de passe de la même longueur utilisant le même ensemble de caractères et qui serait vraiment aléatoire
      
      Oui complètement. On parle souvent pour simplifier de l'entropie d'un mot de passe, mais en vrai on devrait parler de l'entropie d'une méthode de génération de mot de passe. Je ne rentre pas dans les détails, car il faudrait un journal pour ça, mais l'idée c'est de la mesurer dans le pire des cas, en supposant que l'attaquant connaisse parfaitement la méthode de génération et les biais de l'humain qui l'utilise. Ça permet d'avoir une idée de la robustesse d'une méthode qu'on communique massivement pour être appliquée par un grand monde.
      Et du coup, si ta méthode c'est de générer un mot de passe de la même longueur qu'un des précédents, oui ton entropie va être beaucoup plus importante, même si théoriquement tu pourrais retomber sur les même mots de passe.
      
      On devrait peut-être enseigner les méthodes de choix d’un mot de passe vers le CE2-CM1.
      
      Il faudrait surtout enseigner qu'un mot de passe, même très robuste, ce n'est pas la panacée, et que le minimum pour protéger un service non trivial c'est du MFA.
      
      Répondre
      - [^] # Re: Caractère spécial
        
        Posté par Marotte ⛧ le 27 février 2024 à 22:37. Évalué à 3 (+0/-0). Dernière modification le 27 février 2024 à 22:38.
        
        Je savais bien qu’il était impossible que les chiffres soient aléatoire ! ^^. Merci pour cette explication, dont les exactitudes potentielles me semblent incontestables
        
        C’est bien le genre de méthode d’évaluation approximative de l’entropie qui devrait être la référence incontournale l’objet d’une section et quelque dans la définition de la norme pifométrique. La définition de granularité pas mal, voire la définition avec des grumeaux.
        
        Un point important des 2 méthodes, c'est que les choix doivent tous être des choix au hasard (donc pas l'utilisateur qui sort de sa tête un mot). Sinon, l'entropie diminue fortement.
        
        On peut sortir de sa tête un mot au pseudo-hasard. Cependant, en effet, comme tu le dis pas trop vaguement, on doit alors se questionner sur l’entropie de son subconscient et mener une auto-analyse orientée vers son expérience de l’école primaire.
        
        Pour être un peu moins sérieux, MFA oui, mais ce n’est pas toujours disponible, le mot-de-passe reste un fondamental. D’ailleurs je ne connais pas de système MFA dont l’un des facteurs n’es pas un mot de passe. Ça reste fondamentale. Mais ta remarque est je vais le faire inclure dès le débu du CM1.
        
        Répondre
- [^] # Re: Caractère spécial
  
  Posté par cg le 12 février 2024 à 21:51. Évalué à 8 (+6/-0).
  
  Ça devrait t'aider à passer une nuit blanche : https://neal.fun/password-game/
  
  Répondre
  - [^] # Re: Caractère spécial
    
    Posté par Marotte ⛧ le 17 février 2024 à 23:26. Évalué à 4 (+1/-0). Dernière modification le 17 février 2024 à 23:29.
    
    ROFL
    
    plop June VII V Pepsi again belleck dbfen 4 FY777
    
    Rule 11 j’abandonne :)
    
    Répondre
    - [^] # Re: Caractère spécial
      
      Posté par barmic 🦦 le 17 février 2024 à 23:51. Évalué à 3 (+1/-0).
      
      La règle 14 demande à résoudre un geoguesser
      
      https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
      
      Répondre
      - [^] # Re: Caractère spécial
        
        Posté par Marotte ⛧ le 17 février 2024 à 23:59. Évalué à 3 (+0/-0).
        
        Je sais pas plus ce que c’est qu’est un geoguesser qu’un wordle _o_
        
        Répondre
        
        [^] # Re: Caractère spécial
        
        Posté par barmic 🦦 le 18 février 2024 à 08:09. Évalué à 2 (+0/-0).
        
        Wordl est un motus en ligne. Tu dois trouver un mot en faisant des tentatives qui te permettent d'avoir des indices¹
        
        Geoguesser est un jeu créé à partir de Google street view, la fonctionnalité de navigation virtuelle dans les rues. Tu dois déterminer où tu es en navigant.²
        
        https://linuxfr.org/users/steph1978/journaux/sur-le-fonctionnement-du-jeu-wordle ↩
        
        https://fr.m.wikipedia.org/wiki/GeoGuessr ↩
        
        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
        
        Répondre
- [^] # Re: Caractère spécial
  
  Posté par eingousef le 13 février 2024 à 12:08. Évalué à 10 (+8/-0).
  
  Zenitram il a un caractère spécial.
  
  *splash!*
  
  Répondre
  - [^] # Re: Caractère spécial
    
    Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) le 13 février 2024 à 13:46. Évalué à 4 (+1/-0). Dernière modification le 13 février 2024 à 13:47.
    
    Ouais mais il n'a pas numéro de code Unicode !
    
    « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
    
    Répondre
# ~~#ç ←®

Posté par Marotte ⛧ le 12 février 2024 à 20:13. Évalué à 5 (+2/-0).

Je ne sais pas si ça parlera à beaucoup de gens si on leur cause de « caractères non-alphanumériques »

C’est ce qui m’emmerde un peu, que l’on parte du principe que si « les gens » pourraient ne pas comprendre alors il faut simplifier « rendre accessible ». Suivre cette logique n’est clairement pas ce qui pourra nous sortir d’affaire, « nous », les gens, dans lesquels je m’inclue.

Comme si aujourd’hui il était mal venu de maintenir un certain niveau parce que c’était potentiellement désagréable à des personnes, à leur Legos. Des personnes qui pourraient se sentir larguées et pourraient de ce fait devenir chafouines.

Comme si c’était nuire à l’inclusivité et le pire des pêchés. La flatterie hissé en valeur. Abreuvez-moi de termes savants et de raisonnements subtiles qui me sont hors d’atteinte bordel de merde !

Répondre
- [^] # Re: ~~#ç ←®
  
  Posté par Gil Cot ✔ (site web personnel, Mastodon) le 12 février 2024 à 20:43. Évalué à 2 (+2/-2).
  
  On est hélas passé d’une époque où il fallait hisser les gens à un ère où on préfère niveler par le bas. (du moins, c’est ce que je ressens parfois, mais j’espère avoir tort.)
  
  “It is seldom that liberty of any kind is lost all at once.” ― David Hume
  
  Répondre
  - [^] # Re: ~~#ç ←®
    
    Posté par Thomas Douillard le 12 février 2024 à 21:09. Évalué à 5 (+2/-0).
    
    Est-ce niveler par le bas le niveau de communication pour une personne émettant un message d’essayer d’être compréhensible pour son public et de pas être trop jargonnant ? Dans le cas précis des caractères alphanumériques je sais pas, mais dans le cas du jargon juridique ou administratif avec des tas d’acronymes, il parait sage de ne pas supposer que le receveur n’est pas supposé tout comprendre et que c’est pas du nivellement par le bas pour un avocat d’expliquer des trucs avec des mots plus communs à ses clients.
    
    Répondre
    - [^] # Re: ~~#ç ←®
      
      Posté par Marotte ⛧ le 13 février 2024 à 02:03. Évalué à 2 (+0/-1).
      
      Est-ce niveler par le bas le niveau de communication pour une personne émettant un message d’essayer d’être compréhensible pour son public et de pas être trop jargonnant ?
      
      Évidemment. Je déplore, à partir de mon impression, peut-être erronée, qu’on penche trop souvent vers la volonté d’être le plus compréhensible possible, au détriment de la conservation de la pertinence et de la qualité.
      
      Si tu prends un groupe de cent personnes, si seulement quinze peuvent comprendre ce que tu dis, tu as clairement besoin d’adapter ton message pour qu’il diffuse un peu plus. Maintenant, si tu as quatre-vingt douze personnes sur cent qui comprennent, faut-il réellement adapter ton discours pour être inclusif auprès des huit personnes qui ne suivent pas ?
      
      Je ne crois pas pour ma part. Et je vais même plus loin : ce n’est pas leur rendre service. Sachant que sur ces huit personnes il y en a peut-être une et demie qui va exprimer un grief relatif à cet aspect de ta communication. Six n’en auront rien à foutre, et deux seront en désaccord, qu’ils comprennent ou pas, parce que c’est leur nature, leur droit à la différence, et ils ont soufferts, et ils s’aplatiront jamais devant l’oppresseur intellectuel que tu es.
      
      Répondre
      - [^] # Re: ~~#ç ←®
        
        Posté par gUI (Mastodon) le 13 février 2024 à 07:44. Évalué à 6 (+3/-0).
        
        C'est pas trop pour cette raison que je pense qu'il faut toujours garder dans la communication l'explication technique.
        
        Pour moi c'est plutôt : La partie de la population qui ne comprend pas pourra toujours se faire expliquer par un enfant/collègue/ami qui a compris. C'est quand même la base de notre vie sociale merde ! Et en plus ce sera mille fois plus efficace contre les conspirationnistes de tout bord.
        
        Du coup une simple communication comme "pour renforcer un mot de passe vous pouvez toujours rajouter des caractères non alphanumériques (comme la parenthèse, la virgule ou le point d'exclamation, mais il y en a tant d'autres !)" devrait permettre à tout le monde de comprendre, d'apprendre, et d'être plus autonome. Ou de demander de l'aide si besoin.
        
        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
        
        Répondre
        
        [^] # Re: ~~#ç ←®
        
        Posté par Gil Cot ✔ (site web personnel, Mastodon) le 13 février 2024 à 08:13. Évalué à 4 (+2/-0).
        
        Dans les communications que je fais, j’ai l’habitude de juste utiliser « les autres sortes de caractères, comme les ponctuations. »
        J’aime beaucoup cette formulation aussi :
        
        des caractères non alphanumériques (comme la parenthèse, la virgule ou le point d'exclamation, mais il y en a tant d'autres !)
        
        “It is seldom that liberty of any kind is lost all at once.” ― David Hume
        
        Répondre
      - [^] # Re: ~~#ç ←®
        
        Posté par Thomas Douillard le 13 février 2024 à 08:36. Évalué à 3 (+0/-0). Dernière modification le 13 février 2024 à 08:36.
        
        Si tu tiens à mourrir sur la colline de absolument dire "alphanumérique" et pas "chiffre ou lettre", pourquoi pas ! Après c'est pas vraiment plus court a dire. C'est pas le plus compliqué des jargons non plus.
        
        Répondre
# Mise à jour

Posté par jeanas le 14 février 2024 à 02:26. Évalué à 4 (+3/-0).

J'ai mis à jour la page https://jean.abou-samra.fr/password.html avec des explications et des remarques issues des commentaires (merci à tous !). J'ai aussi mis un avertissement clair de « à vos risques et périls ».

J'ai rajouté également un peu de CSS. (Mais franchement, c'est plus pour me forcer à apprendre un minimum de CSS qu'autre chose. D'ailleurs je suis sûr que je m'y prends comme un pied et qu'il y a des Web-devs dans le coin qui vont voir mes erreurs, ne vous gênez pas, j'aime apprendre. Et je pourrais ranter sur le fait les navigateurs ne rendent pas une page HTML simple sans CSS avec avec un thème suffisamment lisible par défaut pour qu'il n'y ait pas besoin de systématiquement rajouter du CSS, mais c'est pour un autre journal.)

Répondre
- [^] # Re: Mise à jour
  
  Posté par hocwp (site web personnel) le 14 février 2024 à 09:00. Évalué à 6 (+5/-0).
  Merci beaucoup pour l'idée ! J'étais à la recherche d'une telle solution.
  Comme remarque, peut-être ajouter un sel global :
```
sha256(globalSalt + domain.value + "|" + password.value + "\n");
```
  Comme ça chacun peut reprendre le code et changer le sel. Les mots de passes générés par ton site ne seront pas les mêmes sur les autres sites. Et chacun peut héberger sa page de génération de mots de passes.
  Aussi mettre une licence sur le code pour lever les ambiguïtés.
  Encore merci pour l'idée !
  Répondre
  - [^] # Re: Mise à jour
    
    Posté par hocwp (site web personnel) le 15 février 2024 à 10:19. Évalué à 2 (+1/-0). Dernière modification le 15 février 2024 à 10:19.
    
    Et évidement, ton sel doit être vide pour ne pas casser les mots de passes déjà générés.
    Avec un commentaire qui incite à le modifier (ou pas) si on duplique la page sur un autre site.
    
    Répondre
# en fait le soucis

Posté par fearan le 14 février 2024 à 20:25. Évalué à 5 (+2/-0).

C'est qu'en cas de fuite de données et d'un temps de calcul assez long, le mot de passe maitre est en clair.

Par contre si tu hash 2x, ça devient compliqué de le retrouver, et donc la technique pour l'obtenir est cachée.

Il ne faut pas décorner les boeufs avant d'avoir semé le vent

Répondre

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.