Bof, quand on utilises un password manager ce qui compte c'est le nombre de caractères, pas le fait que ce soit une passphrase ou un truc inintelligible. Des passphrases, si tu en as une pour chaque site/app, tu ne vas de toute façon pas t'en rappeler.
Ben là, en l'occurrence, c'est la philosophie inverse : dans l'exemple d'XKCD, en quatre mots courants, tu atteins 26 caractères. C'est nettement moins difficile qu'un mot de passe à 10 caractères arbitraires.
C'est le principe de la passphrase : ça doit avant tout être une phrase. Dans le sens où il vaut mieux un phrase qu'un mot, certes, mais également dans le fait qu'elle est censée être construite. Pas simplement une trame inhabituellement longue.
Ce à quoi j'ai répondu qu'il n'y a pas de solution « facile à retenir pour chacun ».
Pour une fois, je suis surpris que XKCD n'ait pas immédiatement refait surface.
Comme indiqué au pied de l'image : « En 20 ans d'efforts, nous avons réussi à former tout le monde à utiliser des mots de passe qui sont difficiles à retenir pour les humains mais faciles à devenir par les ordinateurs ». La généralisation des passphrases serait peut-être le premier conseil à donner avant d'essayer de trouver des solutions plus techniques.
Tenir un cahier papier avec des mots de passe n'est pas une si mauvaise pratique : il faut mieux faire ça que mettre un mot de passe simple partout.
Tenir un fichier avec des mots de passes dedans est une très mauvaise pratique. À Éviter à tout prix. (Sauf si c'est un logiciel recommandé par quelqu'un de recommandable.)
Un carnet de mot de passe papier « moins mauvaise » pratique qu'un fichier ? La seule raison que je peux trouver à cela est une intrusion à distance dans la machine concernée, sinon c'est idiot : c'est généralement là qu'on va y mettre le mot de passe qui permet justement d'ouvrir une session sur son poste. En plus, ça peut se faire « emprunter » ou perdre par accident, même si l'ordinateur est éteint.
Des mots de passes sauvegardés. Comme ça on n'a plus à s'en souvenir. Pour les sécuriser, il faut un « mot de passe maître ». Celui là on le choisi fort et mémorisable et c'est le seul qu'on retient. Par exemple le mot de passe « turlututu: ChapeauPointu ! » est plus fort et plus mémorisable que le mot de passe « 53CR3T », et beaucoup plus fort que « maga2020 ».
Voilà, c'est en substance ce qui est décrit au dessus et il n'y a pas de raison d'utiliser d'autres formats… sauf si on nous les impose !
Un mot de passe compliqué partout. Généré automatiquement. Firefox propose désormais la génération des mots de passe, il faut utiliser ça.
Ça par contre, selon moi, c'est vraiment la « fausse bonne idée » par excellence. Quand on a un gestionnaire de mot de passe, c'est bien mais ça nous oblige à le trimballer et/ou le synchroniser partout et se souvenir où il y en a des copies. Sinon, on ne peut plus se loguer ailleurs que depuis le poste concerné et à ce compte-là, autant utiliser des certificats SSL (si c'est possible). Par contre, des mots de passe « trop » compliqués partout, c'est des coups à les oublier et à se les faire renvoyer par mail, ce qui pour le coup fait vraiment chuter la sécurité à un niveau très faible (même si c'est un simple lien de réinitialisation).
Ensuite, trop de sécurité tue la sécurité : faire changer son mot de passe à une personne tous les mois, par exemple, c'est prendre le risque qu'elle utilise « toto1, toto2, toto3, toto4… » en incrémentant chaque mois. Et en dehors de ça, la sécurité a un coût. Il vaut mieux avoir des choses officiellement publiques quand elles peuvent l'être et ne garder un œil que sur ce qui est réellement important plutôt qu'essayer de tout fortifier, au risque de ne plus rien avoir de fiable.
Personnellement, je me suis construit une petite image disque à coup de dd, je l'ai montée et je l'ai formatée comme partition chiffrée avec une grosse passphrase. Et depuis, j'utilise un petit script pour la monter automatiquement avec cryptsetup (LUKS). Je mets ce qui est confidentiel dedans sans être dépendant d'un logiciel particulier.
Un truc qui serait sympa (si ça n'existe pas déjà) serait de publier une RFC qui définisse une norme réseau qui indique une manière simple de générer un hash d'une chaîne à partir du contenu d'un champ et du nom de domaine du serveur ou du site auquel on est connecté, ainsi qu'un attribut à rajouter à la balise HTML du champ pour indiquer que l'on souhaite prendre en charge ce format (qui pourrait même être automatiquement activé pour les champs de type="password"). Comme ça, le hash serait forcément différent d'un site à l'autre.
Du coup, c'est le navigateur client qui prendrait cette tâche à sa charge, et plus le bon vouloir du site distant : le navigateur afficherait une icône discrète à côté du champ pour indiquer que la fonctionnalité est active, et enverrait directement le hash calculé plutôt que le mot de passe en clair.
Ce ne serait toujours pas une raison pour utiliser un même mot de passe partout car si quelqu'un le devine, la fonctionnalité ci-dessus deviendrait inutile, mais ça limiterait déjà beaucoup ce type d'attaque sans que l'utilisateur ait à faire le moindre effort.
En fait, « Cicéron » est un surnom. Les romains avaient en gros un prénom, un nom de famille, et un surnom, le surnom pouvant être hérité, c’est un surnom de famille… « César » et « Auguste » font partie de ces surnoms célèbres, que l’on peut associer pour plus de swag : César Auguste, ça en jette !!!
Pour la partie exploration graphique, j'utilise gitg mais je suis sûr qu'il existe des outils graphiques moins GNOME et plus puissants que ce dernier.
Moi j'utilise tig, en ligne de commande. C'est utilisable dans un terminal et c'est plus pratique qu'un simple git log --graph. Et je confirme qu'il faut au minimum un outil de ce genre pour être efficace avec un SCM… surtout quand on apprend !
L'avantage de celui-ci est qu'il agit comme un front-end pour Git et qu'on peut lui passer toutes les options que l'on utiliserait avec l'outil original, par exemple --first-parent.
Si vous avez des dépôts mercurial chez eux, il faudra donc envisager une migration, soit vers une autre forge, soit vers git et rester chez bitbucket. Je ne crois pas qu'ils aient développé d'outils spécifique pour migrer facilement un dépôt chez eux (ce qui énerve d'autant plus quantité de développeurs, surtout ceux qui payent et qui se sentent encore plus lésés).
C'est bien ça le pire, je crois.
J'ai moi-même encore un dépôt Mercurial là-bas, après être moi-même passé à Git pour tous mes autres projets pour et mes versionings en local de mes documents, parce que c'est une collaboration de longue date avec une personne qui est encore sous Mercurial et parce que je l'utilisais aussi au moment où j'ai ouvert le dépôt. C'est même ça qui m'a conduit vers BitBucket.
Quand ils en ont annoncé la fin, j'en ai simplement pris acte à titre personnel. Comme dit plus haut, ça faisait longtemps que je ne l'utilisais plus ailleurs. Par contre, je m'attendais à avoir la même chose qu'ailleurs, à savoir un gros bouton « je migre mon dépôt vers Git », que ce soit fait en une fois et que l'on n'en parle plus.
J'ai été assez surpris de ne pas trouver immédiatement de référence vers la procédure à suivre, et assez agacé de me rendre compte, au bout de quelques pages de lecture, que leurs recommandations se résumaient en gros à « bah démerdez vous, je crois qu'il existe un truc par là pour le faire mais pas sûr… ». Du coup, s'il faut se débrouiller soi-même pour tout migrer et qu'il faut rouvrir un nouveau dépôt à la main, aucun intérêt en particulier de rester chez eux plutôt qu'ailleurs.
Seule exception à ce dernier point : la possibilité d'avoir un dépôt privé. C'est utile quand on collabore à développer des choses qui s'appuient sur des ressources non libres. Mais la politique des autres hébergeurs a évolué également depuis cette époque et même Github propose des dépôts privés gratuits jusqu'à trois collaborateurs.
J'ai déjà mal au crâne à la lecture de ton post, mais je crois que le plus insupportable sur le web aujourd'hui, ce n'est plus les titres putaclic mais :
« Le respect de votre vie privée est notre priorité. (Accepter / Refuser) ».
La personne qui a imposé ça à l'Europe entière mérite d'être condamnée à aller elle-même valider chacune des ces notifications à chaque fois qu'elles apparaissent. :-)
J'ai pris le temps de relire le fil en entier en prenant en compte toutes tes interventions et je reconnais que j'ai posté un peu vite… :-)
Certes, on ne mesure pas la performance d'un codeur à la vitesse à laquelle il livre (et ce n'est pas mon chef qui me contredira…). Ça ne se mesure pas non plus en « nombre de lignes de code » livrées. C'est comme « e=mc² » : ça tient en cinq caractères, mais ça représente huit ans de travail, un prix Nobel (bon d'accord, pas directement là dessus) et le fondement de la physique du 20ème siècle (bon, là aussi, ça représente bien plus que ces cinq caractères).
Par contre, je m'inscris farouchement contre le concept de « pisseur de code », comme on dit. Surtout quand c'est en assembleur. Je ne peux laisser personne croire qu'un codeur arrive en « fin de ligne » quand quelqu'un a pensé la chose pour lui.
La performance d'écriture d'un code en soit je ne sais pas trop qui sa passionne. Ça donne des effets pour le quidam, mais faut le mettre en balance avec la qualité qui est produite par exemple pour que ça ait du sens.
Précisément. Un codeur conçoit TOUJOURS ce qu'il fait. Je ne connais personne — même du temps des pupitreurs — qui n'ait été qu'un « traducteur passif » entre une machine et un bureau d'études. Au contraire, je ne pense pas qu'on puisse être bon architecte logiciel sans avoir pratiqué.
Pour un autre domaine que je connais bien, c'est comme si pour faire comprendre la qualité d'athlète de Teddy Riner, on énonçait le nombre de pompes qu'il peut enchainer parce qu'expliquer que gagner des championnat du monde sur une technique différente à chaque combat c'était trop compliqué.
Justement. J'ai bien compris que tu faisais référence aux différentes activités pratiquées à un moment donné, mais présenter la chose de cette façon laisse croire qu'il y a d'un côté des personnes judoka et d'autres des faiseurs de pompes.
Dans le premier cas, je pense qu'on ne peut pas faire l'un sans l'autre. Dans le second, on peut faire des pompes sans être judoka et réciproquement mais dans tous les cas, un « gros faiseur de pompe » ne peut pas ne pas être considéré comme sportif…
"quasiment tous les bug reports que j'ai fait sur le tracker Fedora sont restes sans réponses pour être fermes automatiquement par le bot de fin de vie…"
Le « bot de fin de vie » !
La meilleure métaphore qui soit depuis la Grande Faucheuse… :-)
[^] # Re: La drogue
Posté par Obsidian . En réponse au journal Trump == Hitler. Évalué à 4.
… m'voyez !
[^] # Re: Il y a un XKCD pour ça
Posté par Obsidian . En réponse au journal Résolution de l'année 2021 : changez votre mot de passe !. Évalué à 1.
Ben là, en l'occurrence, c'est la philosophie inverse : dans l'exemple d'XKCD, en quatre mots courants, tu atteins 26 caractères. C'est nettement moins difficile qu'un mot de passe à 10 caractères arbitraires.
C'est le principe de la passphrase : ça doit avant tout être une phrase. Dans le sens où il vaut mieux un phrase qu'un mot, certes, mais également dans le fait qu'elle est censée être construite. Pas simplement une trame inhabituellement longue.
# Il y a un XKCD pour ça
Posté par Obsidian . En réponse au journal Résolution de l'année 2021 : changez votre mot de passe !. Évalué à 4.
Pour une fois, je suis surpris que XKCD n'ait pas immédiatement refait surface.
Comme indiqué au pied de l'image : « En 20 ans d'efforts, nous avons réussi à former tout le monde à utiliser des mots de passe qui sont difficiles à retenir pour les humains mais faciles à devenir par les ordinateurs ». La généralisation des passphrases serait peut-être le premier conseil à donner avant d'essayer de trouver des solutions plus techniques.
Un carnet de mot de passe papier « moins mauvaise » pratique qu'un fichier ? La seule raison que je peux trouver à cela est une intrusion à distance dans la machine concernée, sinon c'est idiot : c'est généralement là qu'on va y mettre le mot de passe qui permet justement d'ouvrir une session sur son poste. En plus, ça peut se faire « emprunter » ou perdre par accident, même si l'ordinateur est éteint.
Voilà, c'est en substance ce qui est décrit au dessus et il n'y a pas de raison d'utiliser d'autres formats… sauf si on nous les impose !
Ça par contre, selon moi, c'est vraiment la « fausse bonne idée » par excellence. Quand on a un gestionnaire de mot de passe, c'est bien mais ça nous oblige à le trimballer et/ou le synchroniser partout et se souvenir où il y en a des copies. Sinon, on ne peut plus se loguer ailleurs que depuis le poste concerné et à ce compte-là, autant utiliser des certificats SSL (si c'est possible). Par contre, des mots de passe « trop » compliqués partout, c'est des coups à les oublier et à se les faire renvoyer par mail, ce qui pour le coup fait vraiment chuter la sécurité à un niveau très faible (même si c'est un simple lien de réinitialisation).
Ensuite, trop de sécurité tue la sécurité : faire changer son mot de passe à une personne tous les mois, par exemple, c'est prendre le risque qu'elle utilise « toto1, toto2, toto3, toto4… » en incrémentant chaque mois. Et en dehors de ça, la sécurité a un coût. Il vaut mieux avoir des choses officiellement publiques quand elles peuvent l'être et ne garder un œil que sur ce qui est réellement important plutôt qu'essayer de tout fortifier, au risque de ne plus rien avoir de fiable.
Personnellement, je me suis construit une petite image disque à coup de
dd, je l'ai montée et je l'ai formatée comme partition chiffrée avec une grosse passphrase. Et depuis, j'utilise un petit script pour la monter automatiquement aveccryptsetup(LUKS). Je mets ce qui est confidentiel dedans sans être dépendant d'un logiciel particulier.Un truc qui serait sympa (si ça n'existe pas déjà) serait de publier une RFC qui définisse une norme réseau qui indique une manière simple de générer un hash d'une chaîne à partir du contenu d'un champ et du nom de domaine du serveur ou du site auquel on est connecté, ainsi qu'un attribut à rajouter à la balise HTML du champ pour indiquer que l'on souhaite prendre en charge ce format (qui pourrait même être automatiquement activé pour les champs de type="password"). Comme ça, le hash serait forcément différent d'un site à l'autre.
Du coup, c'est le navigateur client qui prendrait cette tâche à sa charge, et plus le bon vouloir du site distant : le navigateur afficherait une icône discrète à côté du champ pour indiquer que la fonctionnalité est active, et enverrait directement le hash calculé plutôt que le mot de passe en clair.
Ce ne serait toujours pas une raison pour utiliser un même mot de passe partout car si quelqu'un le devine, la fonctionnalité ci-dessus deviendrait inutile, mais ça limiterait déjà beaucoup ce type d'attaque sans que l'utilisateur ait à faire le moindre effort.
# Raccourci
Posté par Obsidian . En réponse au message Firefox : ré-allonger le menu des marque-pages en 2020. Évalué à 2.
D'ici à ce que l'extension soit au point, voici déjà un raccourci pour les personnes intéressées :
gEditItemOverlay._folderTree.height = 430pour porter la hauteur de 150 à 430;[^] # Re: le liberalisme
Posté par Obsidian . En réponse au journal Le câblage enterré innovant. Évalué à 2.
Ça s'appelle du FTTS (Fiber To The Sewer) :-)
[^] # Re: serveurs compromis
Posté par Obsidian . En réponse au message horloge et bug au démarrage de l'ordinateur. Évalué à 2.
Avec Windows aux débuts du web, ce n'était pas certain… :-)
[^] # Re: JSON? YAML?’
Posté par Obsidian . En réponse au journal En finir avec CSV ou Excel pour échanger des données. Évalué à 6. Dernière modification le 07 octobre 2020 à 02:09.
En gros, Cicéron, c'est pas carré, quoi.
# C'est le progrès
Posté par Obsidian . En réponse au journal Le câblage enterré innovant. Évalué à 10.
Une blague qui date du temps du télégraphe :
— Pff, c'est pas marrant d'enterrer tous ces câbles…
— Ça c'est rien ! Attends un peu qu'on enterre les poteaux !
# Aérien
Posté par Obsidian . En réponse au journal Le câblage enterré innovant. Évalué à 10.
Ils sont juste en train d'enterrer les câbles WiFi. C'est normal.
# Problème de transmission
Posté par Obsidian . En réponse au journal Dans son barillet, l'écureuil ne met pas des noisettes.. Évalué à -5. Dernière modification le 30 juin 2020 à 17:11.
C'est sans doute un problème similaire à celui-ci :
https://www.youtube.com/watch?v=cZkAP-CQlhA
[^] # Re: auteur ?
Posté par Obsidian . En réponse au journal StopCovid : inefficace, dangereux, totalitaire. Évalué à 4.
Il aurait confondu « Compte-Sponville » et « StopCovid » ? Ce n'est pas impossible…
[^] # Re: Pires inventions à mon avis
Posté par Obsidian . En réponse au journal Mon Top 5 des inventions geeks des 20 dernières années. Évalué à 2.
'faudrait les réconcilier devant Bomber X !
[^] # Re: Pires inventions à mon avis
Posté par Obsidian . En réponse au journal Mon Top 5 des inventions geeks des 20 dernières années. Évalué à 2.
Attention, ils viennent d'annoncer une restriction du débit de Youtube et Netflix !
Donc ce sera ça ou une explosion des amendes pour rupture du confinement (parce que là, les gens vont vraiment devenir dingues :)
[^] # Re: Pires inventions à mon avis
Posté par Obsidian . En réponse au journal Mon Top 5 des inventions geeks des 20 dernières années. Évalué à 6.
Et on sait d'ailleurs que Marcel Gottlieb n'en faisait pas partie… :-)
[^] # Re: Serveur git?
Posté par Obsidian . En réponse au journal Bitbucket abandonne les utilisateurs de Mercurial. Évalué à 2.
Moi j'utilise tig, en ligne de commande. C'est utilisable dans un terminal et c'est plus pratique qu'un simple
git log --graph. Et je confirme qu'il faut au minimum un outil de ce genre pour être efficace avec un SCM… surtout quand on apprend !L'avantage de celui-ci est qu'il agit comme un front-end pour Git et qu'on peut lui passer toutes les options que l'on utiliserait avec l'outil original, par exemple
--first-parent.# Migration
Posté par Obsidian . En réponse au journal Bitbucket abandonne les utilisateurs de Mercurial. Évalué à 8.
C'est bien ça le pire, je crois.
J'ai moi-même encore un dépôt Mercurial là-bas, après être moi-même passé à Git pour tous mes autres projets pour et mes versionings en local de mes documents, parce que c'est une collaboration de longue date avec une personne qui est encore sous Mercurial et parce que je l'utilisais aussi au moment où j'ai ouvert le dépôt. C'est même ça qui m'a conduit vers BitBucket.
Quand ils en ont annoncé la fin, j'en ai simplement pris acte à titre personnel. Comme dit plus haut, ça faisait longtemps que je ne l'utilisais plus ailleurs. Par contre, je m'attendais à avoir la même chose qu'ailleurs, à savoir un gros bouton « je migre mon dépôt vers Git », que ce soit fait en une fois et que l'on n'en parle plus.
J'ai été assez surpris de ne pas trouver immédiatement de référence vers la procédure à suivre, et assez agacé de me rendre compte, au bout de quelques pages de lecture, que leurs recommandations se résumaient en gros à « bah démerdez vous, je crois qu'il existe un truc par là pour le faire mais pas sûr… ». Du coup, s'il faut se débrouiller soi-même pour tout migrer et qu'il faut rouvrir un nouveau dépôt à la main, aucun intérêt en particulier de rester chez eux plutôt qu'ailleurs.
Seule exception à ce dernier point : la possibilité d'avoir un dépôt privé. C'est utile quand on collabore à développer des choses qui s'appuient sur des ressources non libres. Mais la politique des autres hébergeurs a évolué également depuis cette époque et même Github propose des dépôts privés gratuits jusqu'à trois collaborateurs.
[^] # Re: Addition
Posté par Obsidian . En réponse au journal Blagues Friday. Évalué à 4.
Oui, mais le logarithme népérien pour attendre…
[^] # Re: Comparer des pommes et des oranges
Posté par Obsidian . En réponse au journal [HS] Quand les français votent avec leur argent. Évalué à 6.
« Tout le monde », ça ne veut pas dire « N'importe qui ».
[^] # Re: Enfin !
Posté par Obsidian . En réponse au journal Rachat de Public Interest Registry (.org) par Ethos Capital. Évalué à 10.
… et qu'on pourra s'authentifier avec Facebook ! :-)
[^] # Re: Relativisons...
Posté par Obsidian . En réponse au journal Les compagnies informatiques le détestent. Évalué à 9. Dernière modification le 02 novembre 2019 à 20:45.
J'ai déjà mal au crâne à la lecture de ton post, mais je crois que le plus insupportable sur le web aujourd'hui, ce n'est plus les titres putaclic mais :
« Le respect de votre vie privée est notre priorité. (Accepter / Refuser) ».
La personne qui a imposé ça à l'Europe entière mérite d'être condamnée à aller elle-même valider chacune des ces notifications à chaque fois qu'elles apparaissent. :-)
[^] # Re: Relativisons
Posté par Obsidian . En réponse à la dépêche Portrait de Ken Thompson. Évalué à 2.
J'ai pris le temps de relire le fil en entier en prenant en compte toutes tes interventions et je reconnais que j'ai posté un peu vite… :-)
Certes, on ne mesure pas la performance d'un codeur à la vitesse à laquelle il livre (et ce n'est pas mon chef qui me contredira…). Ça ne se mesure pas non plus en « nombre de lignes de code » livrées. C'est comme « e=mc² » : ça tient en cinq caractères, mais ça représente huit ans de travail, un prix Nobel (bon d'accord, pas directement là dessus) et le fondement de la physique du 20ème siècle (bon, là aussi, ça représente bien plus que ces cinq caractères).
Par contre, je m'inscris farouchement contre le concept de « pisseur de code », comme on dit. Surtout quand c'est en assembleur. Je ne peux laisser personne croire qu'un codeur arrive en « fin de ligne » quand quelqu'un a pensé la chose pour lui.
Précisément. Un codeur conçoit TOUJOURS ce qu'il fait. Je ne connais personne — même du temps des pupitreurs — qui n'ait été qu'un « traducteur passif » entre une machine et un bureau d'études. Au contraire, je ne pense pas qu'on puisse être bon architecte logiciel sans avoir pratiqué.
Justement. J'ai bien compris que tu faisais référence aux différentes activités pratiquées à un moment donné, mais présenter la chose de cette façon laisse croire qu'il y a d'un côté des personnes judoka et d'autres des faiseurs de pompes.
Dans le premier cas, je pense qu'on ne peut pas faire l'un sans l'autre. Dans le second, on peut faire des pompes sans être judoka et réciproquement mais dans tous les cas, un « gros faiseur de pompe » ne peut pas ne pas être considéré comme sportif…
[^] # Re: Relativisons
Posté par Obsidian . En réponse à la dépêche Portrait de Ken Thompson. Évalué à 3.
Tu n'es pas en train de nous dire que c'est mutuellement exclusif, quand même ?
[^] # Re: Photos cultes
Posté par Obsidian . En réponse au journal [HS][Nécrologie] L'ancien président français Jacques Chirac est bronsonnisé.. Évalué à 5.
Il ressemble presque à un James Bond sur ces photos ! Ou au moins un OSS 117… :-)
[^] # Re: Réactivité sur le bug tracker
Posté par Obsidian . En réponse à la dépêche Fedora 31 bêta peut être testé. Évalué à 3.
Le « bot de fin de vie » !
La meilleure métaphore qui soit depuis la Grande Faucheuse… :-)
[^] # Re: Tel Lazare...
Posté par Obsidian . En réponse au journal Les temps changent !! Qui l'aurait cru il y a 20 ans ?. Évalué à 4.
Tu veux probablement dire « Hurd/Xenix » ?