En ce basant sur un dictionnaire de 2048 mot in a une entropie de 44 bits.
Un mot de passe de 8 Maj+min+num+sym a une entropie de 49 (47 avec les contraintes évoquées).
Mais surtout, je ne crois pas une seconde que les gens vont se répartir équitablement les 2048 mots. Il va y avoir un énorme biais statistique. On va se retrouver avec les 256 mots les plus communs et donc 32 bits d'entropie.
Si ton générateur de mot de passe [..] un gestionnaire de mot de passe qui lui aussi peut être troué […]
Avec des si …
Et si tu as deux cents mots de passe à te souvenir, bon courage avec la méthode du 'correct horse battery staple'.
Ton raisonnement me paraît bon et je retrouve le résultat pour 8
P=8# password sizeT=70**P# Total combinationsU=(70-26)**P# no upper case combinationsL=U# no lower case positionsN=(70-10)**P# no numbers combinationsS=(70-8)**P# no special chars combinationsF=U+L+N+S# forbiddenR=T-F# total with rulesT/R# 3.5567199807533645
Cependant pour 4 - on est d'accord que je peux créer un bon paquet de mots de passe du genre lUn? ; je dirai même qu'il y en a 26*26*10*8*4! = 1'297'920. Si je fais le calcul ci-dessus, je trouve:
P=4# password sizeT=70**P# Total combinations = 24,01E+06U=(70-26)**P# no upper case combinationsL=U# no lower case positionsN=(70-10)**P# no numbers combinationsS=(70-8)**P# no special chars combinationsF=U+L+N+S# forbidden = 35,23E+06R=T-F# total with rules = -11,22E+06 !!T/R# -2.139446655869337
Et j'ai aussi des nombres aberrant pour 5 et 6.
Et je me dis qu'on en enlève trop car un combinaison sans nombre peut aussi être une combinaison sans majuscule. Donc on compte des choses en double ou triple.
Un comptage correct ne ferai qu'aller dans le sens de l'argument: l'entropie ne baisse pas tant que ça. Pour 8 on doit avoir une bonne approximation on va dire …
C'est subjectif donc faisons un peu de dénombrement.
Sur un mot de passe de 8 caractères, si on prend 26 LETTRES + 26 lettres + 10 ch1ffr3s + 8 "caractères spéciaux" (je suis gentil, faudrait voir ce que les gens choisissent en vrai).
Sans règles tu es à 70^8 = 576'480'100'000'000 combinaisons possibles.
Avec une règle "au moins un chiffre, un caractère spécial, une majuscule et une minuscule" tu es à 10*8*26*26*(26+26+10+8)^4 = 1'298'460'800'000 combinaisons possibles.
C'est à dire (70^4)/(10*8*26*26) ~= 444x moins d'entropie. Mais si statistiquement les gens utilisent principalement le mm caractère spéciale, on passe à 3552x moins.
tu vas empêcher les attaques sur les mdp avec faible entropie
En effet car sans règle, il est probable que les gens ne mettraient que des minuscules par exemple. Ce qui nous donne 26^8 = 208'827'064'576 combinaisons et donc 2760x moins d'entropie.
la solution ?
ne pas laisser les gens créer des mots de passe, utiliser un générateur de mot de passe, un gestionnaire de mots de passe et du MFA quand c'est critique.
ça marche pour la page du moteur de recherche mais pas pour la barre de recherche. la barre de recherche, elle fait ce que lui dit la config du module de recherche, pas ce qui est stocké dans le cookie du site du moteur.
Ceci est partiellement faux, en tout cas pour Searx.
Dans Searx, l'element qui permet d'ajouter le moteur à FF est :
Cependant, si le module a été ajouté alors qu'il était en POST, le fait de changer pour le site ne changera pas pour le module FF. Peut être en le supprimant et en le recréant.
D'autre part cette fonctionnalité a été implémenté en octobre 2020. Avant cette date, le module était configuré pour faire du POST.
Mais le moteur souvent réglé pour faire du POST (privacy oblige). Or, mois je veux du GET pour que mon navigateur se rappelle ce que j'ai tapé dans la barre d'adresse.
Cela peut être changé avec une petite bidouille:
aller dans about:profiles et noter le chemin de stockage du profile FF : /home/guest/.mozilla/firefox/gtserg6hh.default
⚠️ quitter FF, sinon, perte de données
ouvrir un terminal
aller dans le dossier profile cd /home/guest/.mozilla/firefox/gtserg6hh.default
décompresser le fichier de conf des moteurs de recherche mozlz4a -d search.json.mozlz4 search.json
idéalement, faire un pretty-print du json pour ne pas tout avoir sur une seule ligne ; ça peut se faire avec un jq '.' search.json | sponge search.json
ouvrir le fichier décompressé dans un éditeur de text
chercher votre moteur de recherche, ex: CTRL+F tuxcloud
modifier le block URL pour remplacer les POST par des GET
Le droit à la copie privée, c'est pour faire la copie d'une œuvre que tu as acheté.
Télécharger un film en P2P, ce n'est pas exercer son droit à la copie privée, c'est juste du piratage. Faut appeler un chat un chat.
Donc c'est copier un Blueray que tu as chez toi, par exemple. Sauf que si tu y parviens c'est que tu as contourné le DRM placé dessus, ce qui est illégale.
Donc en pratique, le droit à la copie privée, tu ne peux pas vraiment l'exercer. C'est donc une belle arnaque.
Mais @Glandos a eu une bonne remarque, c'est une "exception à la copie privée", pas une droit opposable. Donc si je comprends bien, tu ne peux pas réclamer aux voleurs éditeurs la possibilité de le faire;
Posté par steph1978 .
En réponse au lien Comment installer linux.
Évalué à 10.
Dernière modification le 13 octobre 2023 à 12:11.
ça revient à dire que Microsoft quoi qu'ils fassent c'est des méchants.
Oui
À aucun moment ils n'ont prévu d’œuvrer pour le bien commun. C'est une pur entreprise capitaliste qui utilise tous les moyens pour arriver à ses fins : gagner du pognons et continuer à gagner du pognon.
Et ils y parviennent, malgré des produits toujours très médiocres, mais grâce à une force de lobbyistes, de juristes, d'avocats, de commerciaux et de marketeux phénoménale.
Ça m'a rappelé une reportage TV sur le même sujet (très engagé sur les problème de notre société donc). Et il me semblait qu'il y avait un jeu de mot avec Spiderman.
Il y a bien une
Speed Hair Women
et un
Speed'hair Man
!!
PS: pour des recherches rapides, reprendre le snippet de mon premier commentaire et passer ça dans fzf: curl -fsS '...' | jq -r '.data.features[].properties.nom' | fzf
Je confirme, tu ne peux pas changer le contenu du fstring à l'exécution. Le fstring est "compilé" en code pythonconverti en ASTcompilé en bytecode au moment du chargement du script.
Pas simple de savoir exactement quels paramètres de l'url permettent le tracking.
Les UTM c'est un classique, mais je dirai que c'est utilisé par le moins méchants.
Regardez ce que met un Amazon dans les URL des produits pour savoir que madame Michu partage avec des liens avec monsieur Martin. Ça représente trois quart des paramètres, qui peuvent être retirés sans perdre le lien vers la page article.
Je dirai que les liens appartiennent à ceux qui les postent et que ceux qui cliquent n'ont qu'à pas cliquer n'importe où.
Les fournisseurs privés ont tendance à mettre bien en avant leur solution maison d'app mobile (GoldenJail Authenticator) ou le numéro de mobile (SMS) comme nécessaire au 2FA.
Parce que cela leur permet de collecter une donnée privée très intéressante.
Mais en cherchant bien dans le formulaire, il traîne toujours un "autre moyen" qui permet d'accéder au TOTP.
Le TOTP n'étant finalement qu'un générateur pseudo-aléatoire initialisé par une "graine" (seed), c'est très facile à implémenter avec un petit script et un gestionnaire de mot de passe classique.
[^] # Re: caractéristiques d'un langage qui dure
Posté par steph1978 . En réponse au lien Hare : un langage pour les 100 ans à venir. Évalué à 6.
Moi aussi je suis choqué, j'écris du Awk presque tous les jours avec bonheur.
# trop de langages pour ma petite tête
Posté par steph1978 . En réponse au lien Hare : un langage pour les 100 ans à venir. Évalué à 5.
J'ai confondu avec Haxe qui transpile en PHP et Hack le PHP compilé de FB.
Du coup je pensais voir un truc ressemblant à du PHP. Et en fait non. Ça ressemble pas mal à du Go.
Mais alors est ce que ce serait pas Go le langage pour les 100 ans à venir ?
[^] # Re: Godwin
Posté par steph1978 . En réponse au lien Hare : un langage pour les 100 ans à venir. Évalué à 10.
À supposer que notre civilisation industriello-numérique basée sur le consumérisme et les énergies fossiles perdurent jusqu'à cette date…
[^] # Re: Pas tout compris
Posté par steph1978 . En réponse au lien Collection de sites qui ont des consignes de mots de passe à la noix . Évalué à 5.
Le login est bien souvent l'email auquel tu dois pouvoir être joint par le service. donc très peu de variabilité.
J'ai 1200 logins dans mon navigateurs et environ 150 dans mon keypass. Ça va être chaud de me rappeler où j'ai mis les agrafes.
Justement non puisque j'utilise un générateur de mots de passe il n'a pas de préférence entre les caractères contrairement à un humain avec des mots.
[^] # Re: Pas tout compris
Posté par steph1978 . En réponse au lien Collection de sites qui ont des consignes de mots de passe à la noix . Évalué à 4.
En ce basant sur un dictionnaire de 2048 mot in a une entropie de 44 bits.
Un mot de passe de 8 Maj+min+num+sym a une entropie de 49 (47 avec les contraintes évoquées).
Mais surtout, je ne crois pas une seconde que les gens vont se répartir équitablement les 2048 mots. Il va y avoir un énorme biais statistique. On va se retrouver avec les 256 mots les plus communs et donc 32 bits d'entropie.
Avec des si …
Et si tu as deux cents mots de passe à te souvenir, bon courage avec la méthode du 'correct horse battery staple'.
[^] # Re: Pas tout compris
Posté par steph1978 . En réponse au lien Collection de sites qui ont des consignes de mots de passe à la noix . Évalué à 3.
Bien vu
Je me suis vautré sur les positions.
Ton raisonnement me paraît bon et je retrouve le résultat pour 8
Cependant pour 4 - on est d'accord que je peux créer un bon paquet de mots de passe du genre
lUn?
; je dirai même qu'il y en a26*26*10*8*4! = 1'297'920
. Si je fais le calcul ci-dessus, je trouve:Et j'ai aussi des nombres aberrant pour 5 et 6.
Et je me dis qu'on en enlève trop car un combinaison sans nombre peut aussi être une combinaison sans majuscule. Donc on compte des choses en double ou triple.
Un comptage correct ne ferai qu'aller dans le sens de l'argument: l'entropie ne baisse pas tant que ça. Pour 8 on doit avoir une bonne approximation on va dire …
[^] # Re: Pas tout compris
Posté par steph1978 . En réponse au lien Collection de sites qui ont des consignes de mots de passe à la noix . Évalué à 4.
C'est subjectif donc faisons un peu de dénombrement.
Sur un mot de passe de 8 caractères, si on prend 26 LETTRES + 26 lettres + 10 ch1ffr3s + 8 "caractères spéciaux" (je suis gentil, faudrait voir ce que les gens choisissent en vrai).
Sans règles tu es à
70^8 = 576'480'100'000'000
combinaisons possibles.Avec une règle "au moins un chiffre, un caractère spécial, une majuscule et une minuscule" tu es à
10*8*26*26*(26+26+10+8)^4 = 1'298'460'800'000
combinaisons possibles.C'est à dire
(70^4)/(10*8*26*26) ~=
444x moins d'entropie. Mais si statistiquement les gens utilisent principalement le mm caractère spéciale, on passe à 3552x moins.En effet car sans règle, il est probable que les gens ne mettraient que des minuscules par exemple. Ce qui nous donne
26^8 = 208'827'064'576
combinaisons et donc 2760x moins d'entropie.la solution ?
ne pas laisser les gens créer des mots de passe, utiliser un générateur de mot de passe, un gestionnaire de mots de passe et du MFA quand c'est critique.
[^] # Re: déjà vu
Posté par steph1978 . En réponse au lien Bloquons le démarchage téléphonique (par Gee). Évalué à 3.
J'ai mis que une "*" à la fin et cela bloque bien par préfixe.
Testé hier. Premier blocage à peine 15 minutes après l'insall….
[^] # Re: Explication de l'exemple ?
Posté par steph1978 . En réponse au lien ChatGPT décortiqué : du token à l'escargot, les secrets dévoilés. Évalué à 2.
En mode complétion (pas chat), il me donne
Note que j'ai mis un "t" car il partait sur le mot "bref" sinon.
En mode chat, comme il n'y a pas vraiment de début de conversation, le résultat n'est pas pertinent.
D'autre part le mode completion est plus brut de fonderie alors que le mode chat a été beaucoup rééduqué.
[^] # Re: astuce pour firefox
Posté par steph1978 . En réponse au lien zoTop, instance SearXNG de Zaclys (moteur de recherche sans pistage) - sebsauvage. Évalué à 2. Dernière modification le 29 octobre 2023 à 12:26.
ça marche pour la page du moteur de recherche mais pas pour la barre de recherche. la barre de recherche, elle fait ce que lui dit la config du module de recherche, pas ce qui est stocké dans le cookie du site du moteur.Ceci est partiellement faux, en tout cas pour Searx.
Dans Searx, l'element qui permet d'ajouter le moteur à FF est :
Et en effet si on change Préférences - Onglet "Vie Privée" - Méthode HTTP => GET
La ligne se change en :
Cependant, si le module a été ajouté alors qu'il était en POST, le fait de changer pour le site ne changera pas pour le module FF. Peut être en le supprimant et en le recréant.
D'autre part cette fonctionnalité a été implémenté en octobre 2020. Avant cette date, le module était configuré pour faire du POST.
# astuce pour firefox
Posté par steph1978 . En réponse au lien zoTop, instance SearXNG de Zaclys (moteur de recherche sans pistage) - sebsauvage. Évalué à 4. Dernière modification le 20 octobre 2023 à 18:31.
Comme tout bon moteur de recherche, searx propose de s'ajouter à la liste des moteurs de recherche de firefox.
Mais le moteur souvent réglé pour faire du POST (privacy oblige). Or, mois je veux du GET pour que mon navigateur se rappelle ce que j'ai tapé dans la barre d'adresse.
Cela peut être changé avec une petite bidouille:
about:profiles
et noter le chemin de stockage du profile FF :/home/guest/.mozilla/firefox/gtserg6hh.default
cd /home/guest/.mozilla/firefox/gtserg6hh.default
mozlz4a -d search.json.mozlz4 search.json
jq '.' search.json | sponge search.json
CTRL+F tuxcloud
en
mozlz4a search.json search.json.mozlz4
[^] # Re: moi je moi je
Posté par steph1978 . En réponse au lien zoTop, instance SearXNG de Zaclys (moteur de recherche sans pistage) - sebsauvage. Évalué à 3.
Oui y un peu de ça
Mais en vrai je tape un peu au pif. Et quand une instance commence à piquer du nez, j'en change.
# moi je moi je
Posté par steph1978 . En réponse au lien zoTop, instance SearXNG de Zaclys (moteur de recherche sans pistage) - sebsauvage. Évalué à 5.
moi j'utilise l'instance https://searx.tiekoetter.com au quotidien sur mon FF perso et l'instance https://searxng.nicfab.eu/ sur mon FF pro.
mais surtout, il y a pleins d'instance live !
[^] # Re: bonne idée
Posté par steph1978 . En réponse au lien Les PC taxés sur la copie privée ? L’industrie musicale se fait pressante. Évalué à 2.
Le droit à la copie privée, c'est pour faire la copie d'une œuvre que tu as acheté.
Télécharger un film en P2P, ce n'est pas exercer son droit à la copie privée, c'est juste du piratage. Faut appeler un chat un chat.
Donc c'est copier un Blueray que tu as chez toi, par exemple. Sauf que si tu y parviens c'est que tu as contourné le DRM placé dessus, ce qui est illégale.
Donc en pratique, le droit à la copie privée, tu ne peux pas vraiment l'exercer. C'est donc une belle arnaque.
Mais @Glandos a eu une bonne remarque, c'est une "exception à la copie privée", pas une droit opposable. Donc si je comprends bien, tu ne peux pas réclamer aux
voleurséditeurs la possibilité de le faire;[^] # Re: bonne idée
Posté par steph1978 . En réponse au lien Les PC taxés sur la copie privée ? L’industrie musicale se fait pressante. Évalué à 4.
Petit malin !
Tu oublies qu'il y a la taxe sur la copie privée mais aussi l'interdiction de contourner les DRM.
Donc tu payes pour un droit que tu ne peux pas exercer.
[^] # Re: Les choses changent ! Et dans le bon sens !
Posté par steph1978 . En réponse au lien Comment installer linux. Évalué à 10. Dernière modification le 13 octobre 2023 à 12:11.
Oui
À aucun moment ils n'ont prévu d’œuvrer pour le bien commun. C'est une pur entreprise capitaliste qui utilise tous les moyens pour arriver à ses fins : gagner du pognons et continuer à gagner du pognon.
Et ils y parviennent, malgré des produits toujours très médiocres, mais grâce à une force de lobbyistes, de juristes, d'avocats, de commerciaux et de marketeux phénoménale.
# I knew it
Posté par steph1978 . En réponse au lien Coordonnées des enseignes de Coiffure comportant des jeux de mots cocasses dans leur appellation. Évalué à 4. Dernière modification le 13 octobre 2023 à 10:19.
Ça m'a rappelé une reportage TV sur le même sujet (très engagé sur les problème de notre société donc). Et il me semblait qu'il y avait un jeu de mot avec Spiderman.
Il y a bien une
et un
!!
PS: pour des recherches rapides, reprendre le snippet de mon premier commentaire et passer ça dans fzf:
curl -fsS '...' | jq -r '.data.features[].properties.nom' | fzf
# inutile et donc tellement indispensable
Posté par steph1978 . En réponse au lien Coordonnées des enseignes de Coiffure comportant des jeux de mots cocasses dans leur appellation. Évalué à 6.
donc en gros 60% jeu de mot avec "hair".
[^] # Re: &tricking=4321
Posté par steph1978 . En réponse à l’entrée du suivi Supprimer automatiquement les paramètres de tracking des liens. Évalué à 2 (+0/-0). Dernière modification le 05 octobre 2023 à 10:52.
J'aime bien "avertir", ça a le mérite d'être pédagogique.
[^] # Re: Faille ?
Posté par steph1978 . En réponse au lien 2 octobre 2023 - Sortie de Python 3.12. Évalué à 6.
Je confirme, tu ne peux pas changer le contenu du fstring à l'exécution. Le fstring est
"compilé" en code pythonconverti en ASTcompilé en bytecode au moment du chargement du script.[^] # Re: correction du lien…
Posté par steph1978 . En réponse au lien la France va mal, et la liberté de la presse en souffre. Évalué à 0.
il y a une extension FF pour ça : https://addons.mozilla.org/en-US/firefox/addon/clearurls/
# &tricking=4321
Posté par steph1978 . En réponse à l’entrée du suivi Supprimer automatiquement les paramètres de tracking des liens. Évalué à 1 (+0/-0).
Pas simple de savoir exactement quels paramètres de l'url permettent le tracking.
Les UTM c'est un classique, mais je dirai que c'est utilisé par le moins méchants.
Regardez ce que met un Amazon dans les URL des produits pour savoir que madame Michu partage avec des liens avec monsieur Martin. Ça représente trois quart des paramètres, qui peuvent être retirés sans perdre le lien vers la page article.
Je dirai que les liens appartiennent à ceux qui les postent et que ceux qui cliquent n'ont qu'à pas cliquer n'importe où.
[^] # Re: MFA sans téléphone
Posté par steph1978 . En réponse au journal Importer des "issues" GitHub dans des "tickets" Trac. Évalué à 10.
Les fournisseurs privés ont tendance à mettre bien en avant leur solution maison d'app mobile (GoldenJail Authenticator) ou le numéro de mobile (SMS) comme nécessaire au 2FA.
Parce que cela leur permet de collecter une donnée privée très intéressante.
Mais en cherchant bien dans le formulaire, il traîne toujours un "autre moyen" qui permet d'accéder au TOTP.
Le TOTP a l'avantage de ne pas nécessiter d'application privée - moi j'utilise Aegis Authenticator - et de fonctionner en mode avion.
Le TOTP n'étant finalement qu'un générateur pseudo-aléatoire initialisé par une "graine" (seed), c'est très facile à implémenter avec un petit script et un gestionnaire de mot de passe classique.
[^] # Re: demande clarification
Posté par steph1978 . En réponse au journal Nouveau serveur "Revolt Linux Fr" vient d'ouvrir ces portes sur le réseau open source "Revolt".. Évalué à 4.
Et au final, c'est quoi ?
# je peux lire à l'envers
Posté par steph1978 . En réponse au journal IG-nobel 2023. Évalué à 0.
Je gagne quelque chose ?