Journal Une idée fausse et des idées persos sur les mots de passe

Posté par  (site web personnel) .
Étiquettes : aucune
0
18
jan.
2005
Des fois, le cerveau ne donne pas les bonnes "dimensions". Je viens de me delester d'un doute : un mot de passe de 7 caractères composé de minuscule est meilleur qu'un mot de passe de 5 caractères composé de minuscule, majuscule et de chiffres ...

Comme quoi un petit peu de math permet parfois d'enlever une idée faussée par la grandeur des chiffres à manipuler de tête ... (Si vous arrivez à faire ce genre de comparaison de tête, 26^7 inférieur ou supérieur à 62^5, je suis très heureux pour vous !)

En dessous le tableau du nombre de possibilité de composition d'un mot de passe en fonction du nombre de caractères et des caractères utilisés :



               min            min+chif            min+maj         min+maj+chif

1               26                 36                  52                   62

2              676              1 296               2 704                3 844

3           17 576             46 656             140 608              238 328

4          456 976          1 679 616           7 311 616           14 776 336

5       11 881 376         60 466 176         380 204 032          916 132 832

6      308 915 776      2 176 782 336      19 770 609 664       56 800 235 584

7    8 031 810 176     78 364 164 096   1 028 071 702 528    3 521 614 606 208

8  208 827 064 576  2 821 109 907 456  53 459 728 531 456  218 340 105 584 896


Bien entendu, 8 caractères avec des minuscules, des majuscules, des chiffres et des signes &"'-_=$*!:; : c'est encore mieux !

Avec un bémol pour le mot de passe ultime que même quand toi tu le connais tu peux pas te logger : lors des installations, de plus en plus de distribs proposent une installation localisée et dans la langue que l'on souhaite, lorsque vous choisissez un mot de passe root bien compliqué (accent, signes) et que vous rebootez avec un clavier non configuré car vous avez demandé une autre langue d'utilisation que la langue utilisée pour l'installation, c'est beaucoup plus dur de passer en administration ... Vraiment très dur ...

Sinon sur le net, je crée des mots de passe avec deux règles qui dépendent de l'adresse du site comme ça il est différent sur tous les sites. Site bancaires, achat, etc. une règle qui forme un mot de passe de 8 caractères avec minuscules, majuscules, chiffres et pour les sites moins "sensibles" une règle toute bête. On peut utiliser la deuxième lettre du TLD, le nombre de lettre de l'adresse, les initiales du nom du site, la troisième lettre de l'url du site -1, etc.
Pour les serveurs, c'est une autre règle ...
J'ai donc 3 règles à retenir plutôt que 500 mots de passe. Un inconvénient de cette méthode : quand il faut changer de mot de passe tous les mois par exemple ...

Et vous ? C'est le même partout ? Vous faites comment ?

  • # Non

    Posté par  . Évalué à 5.

    Le coup des majuscules, c'est parce que c'est en fait plus délicat à retenir, plus "vicieux" à observer en regardant quelqu'un taper sur un clavier. Enfin, c'est ce que je ressens moi avec un mot de passe à minuscules majuscules.

  • # Muhuhu

    Posté par  (site web personnel) . Évalué à 8.

    Vous faites comment ?
    Comme tout le monde, j'utilise "god" comme mot de passe pour tout.
    C'est plus simple.

    • [^] # Re: Muhuhu

      Posté par  (site web personnel) . Évalué à 2.

      ah ? moi mes mots de passe admin c'est toujours "123", incraquable, introuvable !

      • [^] # Re: Muhuhu

        Posté par  . Évalué à 4.

        moi c'est *****
        tellement con que personne ne peut y penser, en plus c'est ni des minuscules ni des majuscules ni des chiffres, bref ça déchire tout. Pour plus de sécurité on peut en mettre une cinquantaine. Le seul souci c'est si on le tape devant quelqu'un.

        • [^] # Re: Muhuhu

          Posté par  . Évalué à 8.

          Le seul souci c'est si on le tape devant quelqu'un.


          pourquoi donc ?
          parce que c'est le seul mot de passe ou le type peut lire ce que tu as tappé ?

      • [^] # Re: Muhuhu

        Posté par  (site web personnel) . Évalué à 1.

        pendant de nombreuses années, moi c'etait le nom de mon chien...
        Maintenant c'est ma date de naissance (fser pourra confirmer s'il lis ce thread)

        • [^] # Re: Muhuhu

          Posté par  . Évalué à 7.

          Tant que le nom de ton chien contient des chiffres, des caractères spéciaux et qu'il change toutes les semaines, je vois pas le problème :-)

  • # Une racine commune...

    Posté par  (site web personnel) . Évalué à 2.

    ..que je dérive selon la criticité du mdp.

    Ex:
    generalmachin
    gnrlmchn
    gnrl

    et voala.

  • # pwgen

    Posté par  . Évalué à 4.

    Description: Automatic Password generation
    pwgen generates random, meaningless but pronounceable passwords.
    These passwords contain either only lowercase letters, or upper
    and lower case mixed, or digits thrown in.
    Uppercase letters and digits are placed in a way that eases
    remembering their position when memorizing only the word.


    ... et ça marche bien, ils sont assez simples à mémoriser.

    Un exemple pour la route :

    $ pwgen
    Iengua2a ahghaT6n pouJi2yo Aiva2zou Oothieh4 oquael1V Zah2wiem Io7aeyei
    Uumu2woh Piijah7d Ahghaaf5 Oja6leih yie2Etei gaeZ1oot Aejoa4ro aaxaeRi6
    gae4Eiqu roh5Yeeb po2Etaeh Oitha6oh xieG6uth Aezee3yi Oomov0zo aiL3ouse
    Roosah7l ida6ohGh aTi2johr uPeeg4to Budai9oo heF9giic Ee0tootu ahliel6A
    ...

    • [^] # Re: pwgen

      Posté par  (site web personnel) . Évalué à 1.

      "pronounceable" ?? c'est du foutage de gueule !

      • [^] # Re: pwgen

        Posté par  (site web personnel) . Évalué à 2.

        En fait si... Prends-les chacun un par un, et essaye de les lire, tu verras qu'on peut les prononcer - ça forme des syllabes.
        C'est comme le mot de passe qui m'a été attribué pour le MdkClub. Je sais pas si c'est exprès, mais il est aléatoire (enfin, je pense...) ET prononçable. Du coup, je l'ai jamais changé.
        Sinon, pour le reste, j'ai bien sûr le même mot de passe pour tout, et aucun mot de passe pour les comptes root de mes PC de travail. Je passe tellement souvent en root (je passe mon temps à les bidouiller) que ça me fait ch-er de le retaper à chaque fois.

        • [^] # Re: pwgen

          Posté par  (site web personnel) . Évalué à 2.

          Pour ça, je trouve que sudo est de loin ce qu'il y a de plus efficace.

          • [^] # Re: pwgen

            Posté par  . Évalué à 2.

            Nan, pour une machine qu'on bidouille c'est lourd. J'ai une machine comme ca ou je me connecte tout le temps en root. Mais elle est faite pour être cassée et réinstallée régulièrement, donc c'est pas grave.

            • [^] # Re: pwgen

              Posté par  . Évalué à 1.

              sudo -s

              • [^] # Re: pwgen

                Posté par  . Évalué à 1.

                sudo su -

                • [^] # Re: pwgen

                  Posté par  . Évalué à 3.

                  Perso j'utilise plus "sudo su -", parceque ça m'enerve qu'il me mette dans /root, ce genre de trucs. J'utilise ça du coup, qui me sert à la fois de "sudo" tout court (si je passe des arguments) et de "sudo su -" (sans argument) pour avoir un shell mais au bon endroit : 
                  root() {
	local command="/bin/bash -l"
	if [ -n "${*}" ]; then
		command="${command} -c '{ cd \"${PWD}\" ;"
		# That mess is for quoting the command's arguments
		# (think of `root cat filename\ with\ spaces`)
		while [ -n "${*}" ] ; do
			command="${command} \"${1}\""
			shift
		done
		command="${command} ; }'"
	fi
	sudo su -c "${command}"
}
                  Bon ouais c'est un peu bourrin, faudrait peut-être simplement que je fasse "man sudo" un jour, qui sait...

            • [^] # Re: pwgen

              Posté par  (site web personnel) . Évalué à 0.

              Le problème, c'est que je passe mon temps à bidouiller _aussi_ les bécanes sur lesquelles je travaille tous les jours... C'est maladif. Faut toujours que j'installe un nouveau pilote, que j'essaye de compiler moi-même, de mélanger les bibliothèques, d'éditer des fichiers de conf, des séquences de démarrage...

              • [^] # Re: pwgen

                Posté par  . Évalué à 2.

                Ben .... Le jour ou tu peteras quelque chose .... tu arrêteras.

    • [^] # Re: pwgen

      Posté par  . Évalué à 3.

      ... et ça marche bien, ils sont assez simples à mémoriser.


      Il semblerait que tes facultés cognitives soient "différentes" des miennes.

  • # Diceware

    Posté par  . Évalué à 5.

    Le problème des mots de passe qu'on a choisis soi-même, c'est qu'ils ne sont pas si sûrs que ça (c'est à dire que l'entropie du mot de passe ne peut plus se calculer par « nombre de symboles par caractère puissance nombre de caractères dans le mot de passe », mais elle est réduite à néant par le fait que le mot de passe a été choisi, ce qui peut permettre de « facilement » le deviner ). Une des solutions à ce problème, c'est de générer son mot de passe d'une manière vraiment aléatoire (comme jeter des dés, ou mesurer le bruit thermal généré par certains composants électroniques) ; dans ce cas il faut évidemment réussir à se souvenir du mot de passe. C'est là que la méthode Diceware intervient : http://linuxfr.org/~mweber/15155.html(...)

    Et, oui, ça marche. J'arrive toujours à me souvenir du mot de passe de ma clef PGP (qui fait 22 caractères de long, lettres, chiffres et symboles), et pourtant je l'utilise moins d'une fois par mois.

  • # Par association d'idées

    Posté par  (site web personnel) . Évalué à 3.

    Je trouve mes mots de passe par association d'idées et bidouillage.

    Par exemple le mot de passe qui a duré mes quatre ans d'université malgré les tests de l'admin à été composé ainsi:

    * Je démarre avec le nom d'un groupe : radiohead
    * Je transofrme les lettres de façon classique: r@d10head
    * Je découpe le mot et traduit certaines parties: r@d10kop (kop = tête en néerlandais)
    * Je fais un mapping sur le clavier en prenant la lettre à gauche ou à droite du mot: ezs1°jpo

    Je trouve ça bien car il suffit de retenir une méthode pour tout un ensemble de mot de passe et qu'en plus à la fin, le mot obtenu n'a vraiment plus rien à voir avec le mot du début.

    • [^] # Re: Par association d'idées

      Posté par  . Évalué à 6.

      Et ton mapping sur le clavier peut etre un point faible.
      Non pas pour le découvrir, mais pour le retaper.
      En tout cas, pour moi ca le serait.
      Clavier US au boulot, jap sur le pda, francais chez moi et belge chez des potes ou sur mon portable... (le francais, c'est parce que j'ai pas fait gaffe à l'achat :( )
      J'te raconte pas les différences pour certaines ponctuations !! (genre "y avait quoi a coté de @ ?")

      • [^] # Re: Par association d'idées

        Posté par  . Évalué à 3.

        Et ton mapping sur le clavier peut etre un point faible.

        J'utilise souvent pour mes mots de passe le mapping du clavier : choisir un mot de passe non pas par rapport à une (absence de) signification, mais pour qu'il soit rapide à taper et vide de sens.
        - alternance des deux mains, pour éviter qu'on puisse l'espionner par-dessus l'épaule
        - utilisation aléatoire de majuscules pour la même raison
        - mis de chiffres et de caractères spéciaux en utilisant la première ligne du clavier, avec ou sans majuscules
        - di- ou trigraphes tapés très rapidement avec la même main. Voire même doublement de certains caractères.

        A incompréhensibilité et complexité du mdp équivalente, ca permet de le taper très vite, et de s'en souvenir "géographiquement" plutôt que sémantiquement.

        Vous me direz, et en cas de clavier différent ? J'utilise quotidiennement un qwerty et un azerty, il y a quand même pas mal de touches qui ne bougent pas. Mais à mon avis c'est encore meilleur d'avoir un mdp qui se tappe différemment selon le clavier, et il n'est pas si difficile de s'y adapter avec un peu d'habitude ...

  • # Lyrique :)

    Posté par  . Évalué à 4.

    J'utilise des chansons ou des poesies :
    L'oeil etait dans la tombe et regardait Cain. -> LoedlterC.
    (ou la deuxieme lettre, etc...) avec la ponctuation.
    C'est facile a retenir.

    • [^] # Re: Lyrique :)

      Posté par  . Évalué à 0.

      Le plus simple, c'est encore d'en créer un au pif du style :
      by$P87l°kb

      Ensuite tu les tapes des dizaines de fois, et tu le connais par coeur.

      Par contre, c'est vrai que c'est chaud quand à l'installation le clavier est mal configuré. Ce fut mon cas avec la ubuntu. C'est assez énervant.

      • [^] # Re: Lyrique :)

        Posté par  . Évalué à 2.

        Le probleme, c'est que se rappeler d'un mot de passe au pif ca va, mais dix ou vingt...
        alors que tu peux prendre un poeme, et utiliser chaque vers pour faire un mot de passe. Ainsi, tu ne t'embrouilleras pas. Et se rappeler des caracteres speciaux comme %, $, ), c'est plutot difficile ama.

    • [^] # Re: Lyrique :)

      Posté par  . Évalué à 2.

      En fait, avec la ponctuation, ce serait L'oedlterC.

  • # Un peu de poésie, quoi

    Posté par  . Évalué à 2.

    Moi, je prends un vers, une citation, et je prends la première lettre de chaque mot. Ca permet d'avoir un mot de passe très long, imbitable, et facile à retenir.

    Exemple (que je n'utilise pas, prendre des trucs quand même pas trop évidents) :
    "Les sanglots longs des violons de l'automne, blessent mon coeur d'une langueur monotone." => lsldvdlabmcdulm. Un peu extrême, celui-là. :-)

    Evidemment, c'est aussi facile de monter un dictionnaire d'attaque du coup. Mais savoir quelle attaque est la bonne...

    • [^] # Re: Un peu de poésie, quoi

      Posté par  (site web personnel) . Évalué à 3.

      Ce mot de passe génial est autoréférentiel et acronymique ! => Cm2pgeaea!

    • [^] # Re: Un peu de poésie, quoi

      Posté par  (site web personnel) . Évalué à 3.

      Moi aussi mais je complique. Je prend la première lettre et le nombre de lttre du mot. Je m'arrange pour que le vers contienne des noms propres (majuscules) et de la ponctuation, que je mets aussi.

      Exemple:
      "Albinoni jouait de sa musique, blême"
      Donne A8j6d2s2m7,b6

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

  • # Hum

    Posté par  (site web personnel) . Évalué à 6.

    Ya juste un truc qui me chagrine dans ton raisonnement : les valeurs calculées
    Tu raisonnes "logiquement", comme si le cracker de mot de passe savait la structure du mot de passe (minuscule, majuscule, etc)

    Mais si il ne la connait pas, il devra se farcir toutes les combinaisons possibles, car il n'est pas devin.

    Ainsi si je sais que le mot de passe a trouver est bien dans la plage chiffre-minuscule-majuscule, et que le mot de passe est "plop", alors même si il y a 26^4 combinaisons possible théorique d'après ton tableau, le programme se farcira quand même les majuscules et les chiffres, soit (26M + 26m + 10c) ^4 = 14 776 336 possibilités.

    Donc tes valeurs calculées dépendent fortement de l'algorithme utilisé, et de la possibilité de restreindre ce dernier à un domaine de recherche (ex. minuscule seulement)

    Bref, c'etait mon avis du moment.

    • [^] # Re: Hum

      Posté par  (site web personnel) . Évalué à 6.

      Moui, mais ça me paraîtrait logique dans une attaque de d'abord essayer la version avec minuscules (soit 456 976 possibilités), puis, si ça ne fonctionne pas, la version minuscules + chiffres (soit les 1 222 640 restantes), etc, etc.
      Si tu n'as que des minuscules, on va tomber plus vite sur ton mot de passe.

  • # Dans le genre

    Posté par  (site web personnel) . Évalué à 3.

    Dans le genre "dériver le mot de passe de l'URL du site", il y a des bonnes méthodes avec les hash crypto, par ex: http://www.venge.net/programs/twonz.html(...)

    L'idée c'est que tu as une passphrase, tu la concatènes avec l'URL du site et tu calcules le hash. Ça te fait un mdp différent pour chaque site à partir d'une seule passphrase.

    • [^] # Re: Dans le genre

      Posté par  (site web personnel) . Évalué à 1.

      8D

      C'est génial ce truc !

      Manque juste un plugin mozilla ou un mini projet avec gui minimaliste pour éviter d'avoir à retenir l'adresse :)

      • [^] # Re: Dans le genre

        Posté par  (site web personnel) . Évalué à 3.

        Bon bah j'viens de coder un mini script shell que jme suis empréssé de mettre dans mon path sous le sobre nom de md5pass
        Il y a une variable extrakey à regler selon ses envies pour personaliser un peu l'algorithme.
        Il génère des mots de passe de 8 caractères, mais c'est facilement changeable.


        #!/bin/sh
        extrakey="xuhazefiuhfezuh"
        echo "Veuillez saisir votre passphrase : "
        read pass
        clear
        echo "Veuillez saisir le nom du site (ex: linuxfr.org) : "
        read www
        md5=`echo $pass$www$extrakey | md5sum | cut -b 1,2,3,4,5,6,7,8`
        echo "Votre mot de passe est : $md5"

        • [^] # Re: Dans le genre

          Posté par  (site web personnel) . Évalué à 1.

          Parfait !

          Par contre, je vois pas trop à quoi sert extrakey ?
          Surtout que je viens de tester et ça facilite beaucoup la recherche dans /proc/kcore

          • [^] # Re: Dans le genre

            Posté par  (site web personnel) . Évalué à 2.

            bof, il sert pas a grand chose, c'est juste que j'm'etais dis que si quelqu'un tappe la meme passphrase que moi, mais qu'elle n'a pas le meme script, donc pas la meme extrakey, elle n'aura pas le meme mot de passe. Mais en y reflechissant bien c'est plutot inutile, autant mettre a ce moment, et si personne n'a accès a notre machine, le mot de passe en dur dans le script, comme ca pour générer un mot de passe on n'a plus qu'a tapper l'url du site...

            Mais bon, après chacun fait comme il veut, moi personnelement c'est ma dernière idée que je vais retenir, je vais mettre mon pass en dur, comme ca je n'aurai plus qu'a tapper le nom du site, et le script me donnera le mot de passe.

            Donc ou bien tu consideres que tu es le seul a utiliser le script, donc la passphrase ne sert a rien, tu peux la mettre en dur, et de ce fait très très longue et compliquée, ou alors tu vas la tapper a chaque fois, donc dans ce cas vaut mieux une passphrase simple, avec en arriere plan un extrakey compliqué qui complique le md5sum, meme si tu tappe "plop" comme mot de passe, et de prendre les précautions pour stocker l'extrakey dans un fichier non-readable pour tout le monde.

            Bref, plein de solution, et pas spécialement une meilleure que les autres.

            • [^] # Re: Dans le genre

              Posté par  (site web personnel) . Évalué à 1.

              Hum ... Une extrakey en 600 dans le $HOME, le script en partagé pour tous, faut juste un if pour ajouter l'extrakey à l'echo si il existe et ça permet un mdp court, j'aime bien :)

              Sinon pour éviter quand même le mot de passe en dur, tu rajoutes une boucle et tu lances dans un xterm qui traine toujours :) Comme ça, tu rentres la passphrase uniquement au lancement ...

            • [^] # Re: Dans le genre

              Posté par  (site web personnel) . Évalué à 1.

              Voilà, avec SHA-1 comme dans le lien mais avec un passage par base64 pour avoir minuscules, majuscules et chiffres. Je sais le shell, etc. mais moi je suis amoureux de python :) 
              #!/usr/bin/python

import getpass
import sha
import base64

passphrase = getpass.getpass("pass phrase : ")
location = raw_input("location : ")

print "password : "+base64.encodestring(sha.new(passphrase+location).digest())[0:8]
              et le one liner pour nos amis les mongeurs :) 
              import getpass, sha, base64;print "password : "+base64.encodestring(sha.new(getpass.getpass("pass phrase : ")+raw_input("location : ")).digest())[0:8]

            • [^] # Re: Dans le genre

              Posté par  (site web personnel) . Évalué à 1.

              En fait elle change quand même quelque chose puisque si on utilise un mdp comme toto la moulinette md5/sha/base64 reste basé sur toto !
              Il faut quand même que l'attaquant connaisse la méthode utilisé pour la transformation avant d'attaquer un brute force ou une attaque dico avec transformation

              Une passphrase statique + un petit mot de passe à retaper à chaque fois reste un bon compromis ...

        • [^] # Re: Dans le genre

          Posté par  . Évalué à 2.

          Salut, 
          read pass
clear
          mieux vaudrai un read -s pass

          • [^] # Re: Dans le genre

            Posté par  (site web personnel) . Évalué à 1.

            C'est chouette ça pour une version parano : 
            #!/bin/sh
echo -n "passphrase : "
read -s pass
echo -ne "\r            \rlocation : "
read -s www
echo -ne "\rmdp : `echo $pass$www | md5sum | openssl base64 | cut -b 1,2,3,4,5,6,7,8` (Enter)"
read -s
echo -ne "\r                      \r"

  • # md5, sha1 mes amis

    Posté par  . Évalué à 2.

    "Bien entendu, 8 caractères avec des minuscules, des majuscules, des chiffres et des signes &"'-_=$*!:; : c'est encore mieux !".

    Comme je connais cette règle de base et que je cherche souvent la complexité j'ai cherché un système pour me générer rapidement une chaîne de chiffres et lettres : les MD5sum. Comme tout le monde j'ai des milliers de fichiers sur mes disques donc je fais un MD5sum (ou un sha1) sur un fichier quelconque. J'obtiens une chaîne plutot longue de chiffres et de lettres. J'en choisi un ou plusieurs morceaux totalisant 5 à 10 caractères et j'y insère ici et la des caractères non alphanumériques. Résultat : un mot de passe pas facile à retenir d'un minimum de 8 caractères.

  • # apg rulez

    Posté par  (site web personnel) . Évalué à 3.

    Et vous ? C'est le même partout ? Vous faites comment ?

    alias apg='apg -a 0 -M sNCL -n 8 -x 12 -m 8 -E I1l0O\|\_ -t'

    et je me suis forcé à en retenir 70.

    Proverbe Alien : Sauvez la terre ? Mangez des humains !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.