• # c'est bien, mais pas suffisant

    Posté par  . Évalué à 7 (+5/-0).

    Je suis toujours mitigé face à ces tableaux. Celui-ci précise le hashage utilisé, bcrypt (mais seulement 10 rounds? De mémoire je crois que c'est vraiment le minimum acceptable). On a également la carte graphique utilisé, c'est bien.

    Maintenant, on a juste un cassage en bruteforce. Encore une fois, c'est bien, maaaaaaais c'est pas suffisant. Par exemple, le mot de passe "Soleil123" est considéré cassable en 3000 ans. (c'est faux)

    Premier cas: j'utilise un mdp sur un site on-line qui limite le nombre de tentatives de connexions, tu n'auras jamais cassé mon mdp en + de 3000 ans.

    Second cas: tu as à dispo la base de hash, un dico, et des règles, le mdp se casse en quelques secondes/minutes.

    Bref, les mots de passe, c'est nul, c'est pourri, ça a plein de défauts, mais on a du mal à s'en passer. Sooner or later, tu utilises un mot de passe.

    • [^] # Re: c'est bien, mais pas suffisant

      Posté par  (site web personnel, Mastodon) . Évalué à 6 (+3/-0). Dernière modification le 05 mai 2025 à 16:33.

      Je pense que ce genre d'article et d'essais, outre que c'est un marronnier, est une bonne façon de faire parler de soi :-)

      Après, le mot de passe, malgré ses défauts reste tout le même le truc le plus pratique et le plus facile à modifier.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: c'est bien, mais pas suffisant

        Posté par  . Évalué à 4 (+2/-0).

        Je pense que ce genre d'article et d'essais, outre que c'est un marronnier, est une bonne façon de faire parler de soi :-)

        oui, si tu veux parler de sécu info (et qu'on t'écoutes), t'as qu'a parler des mots de passe.

        Après, le mot de passe, malgré ses défauts reste tout le même le truc le plus pratique et le plus facile à modifier.

        ouais, mais par quoi le remplacer? Ca devient vraiment n'importe quoi. Tu changes de société on te file un téléphone d'entreprise, et vla le défilé:
        - quel mdp pour la SIM
        - quel mot de passe pour le déverrouillage
        - quel mot de passe pour gmail
        - quelles questions de sécurité?
        - quel mot de passe pour ton appli métier
        - quel mot de passe pour ton accès distant d'entreprise
        - quel mot de passe pour la messagerie d'entreprise outlook
        - quel mot de passe pour authenticator
        - quel mot de passe pour le site corpo

        Au bout de 25 minutes on t'a demandé tellement de mot de passes que je défie quiconque de ne pas en avoir oublié un ou de ne pas avoir mis le même partout

    • [^] # Re: c'est bien, mais pas suffisant

      Posté par  . Évalué à 3 (+1/-0). Dernière modification le 05 mai 2025 à 17:30.

      le mot de passe "Soleil123"

      Ce n'est pas pour défendre l'article ou Hive Systems (que je ne connais pas) mais ils précisent tout de même que si ton mot de passe contient des mots du dictionnaire, même avec 18 caractères il sera cassé instantanément.

      • [^] # Re: c'est bien, mais pas suffisant

        Posté par  (site web personnel) . Évalué à 2 (+0/-0).

        Même si il contient le mot « a » ou « À » ?

        Adhérer à l'April, ça vous tente ?

      • [^] # Re: c'est bien, mais pas suffisant

        Posté par  (site web personnel) . Évalué à 4 (+2/-0).

        Donc la stratégie de mettre une liste de mots aléatoires n'est pas bonne du tout ? Cf: https://xkcd.com/936/

        • [^] # Re: c'est bien, mais pas suffisant

          Posté par  . Évalué à 4 (+2/-0).

          1 mot du dictionnaire, ça se trouve facilement.
          4 mots ça devient extrêmement compliqué (explosion combinatoire).

          La méthode de XKCD est bonne :-)

          • [^] # Re: c'est bien, mais pas suffisant

            Posté par  . Évalué à 2 (+0/-0). Dernière modification le 06 mai 2025 à 09:55.

            J'ai l'impression qu'elle est bonne seulement si l'attaquant n'a pas une stratégie dédiée à ce type de mots de passes.
            Sinon je ne sais pas trop ce qu'elle vaut.

            Si je prends 100000 mots pour la langue française (j'ai cherché un peu et ça me semble être un ordre de grandeur correct)
            On pourrait dire qu'on a, pour 4 mots (comme l'exemple de XKCD) (10⁵)⁴ possibilités, soit 10²⁰.

            Avec un algo qui priorise la fréquence des mots, on peut quand même espérer dans la plupart des cas tomber sur les bons mots au début de la recherche, ce qui réduit tout de même de quelques ordres de grandeur l'espace de recherche.

            Bien sûr mon raisonnement ne vaut que si l'attaquant connait la stratégie utilisée pour le mot de passe et tente un algorithme spécifique.

            • [^] # Re: c'est bien, mais pas suffisant

              Posté par  . Évalué à 3 (+1/-0).

              J'ai l'impression qu'elle est bonne seulement si l'attaquant n'a pas une stratégie dédiée à ce type de mots de passes.

              Il vaut mieux considérer que l'attaquant est intelligent. Si l'attaquant est bête, alors n'importe quel mot de passe est bon.

              Avec un algo qui priorise la fréquence des mots, on peut quand même espérer dans la plupart des cas tomber sur les bons mots au début de la recherche,

              intéressant. Après, il faut certes pas mettre linuxordinateurclaviermotdepasse, mais je pense que tartiflettegratinpatatepurée est moins fréquent.

              Bien sûr mon raisonnement ne vaut que si l'attaquant connait la stratégie utilisée pour le mot de passe et tente un algorithme spécifique.

              Oui. On peut passer des jours entiers à dériver les mots de passe du dictionnaire et passer à côté d'un mot de passe avec 4 lettres et 2 chiffres. Et ce qui est évident pour certaines personnes l'est moins pour d'autres. Et des stratégies dépendent de paramètres étranges: par exemple john the ripper a une stratégie qui consiste à décaler les lettres d'un cran sur le clavier physique: le z devient un a, le k devien un j, le n devient un b etc… Il suffit d'utiliser un clavier fr au lieu de us pour que cette règle de john ne trouve pas ton mdp :-)

              Ce qui nous ramène toujours au même problème: qu'est ce qu'un bon mot de passe? :-)

              • [^] # Re: c'est bien, mais pas suffisant

                Posté par  (site web personnel) . Évalué à 3 (+1/-0).

                Un mot de passe évoquant un trait d’esprit ingénieux, souvent humoristique.

                Adhérer à l'April, ça vous tente ?

              • [^] # Re: c'est bien, mais pas suffisant

                Posté par  . Évalué à 4 (+2/-0).

                Savoir ce qu'est un bon mot de passe, c'est clairement compliqué :).

                Si tu n'as jamais à le taper ni à le retenir, c'est le truc le plus long possible accepté par le système, tu t'en fous, c'est le gestionnaire de mot de passe qui s'en occupe. Si la longueur maxi est 42 caractères, ie5yomingu7eiquah5kee#m0zai0ugo peut convenir.

                Si tu dois le taper mais pas le retenir, mieux vaut faire un peu plus long qu'avoir des alternances de I, l 1 O et 0 et des symboles qu'on met 3 plombes à trouver sur le clavier.

                Si tu dois le taper et le retenir… La méthode XKCD est presque bonne : il ne faut pas choisir les mots. Il faut inventer l'histoire après, sinon l'histoire de fréquence de mots devient valable. Et quatre mots c'est un peu juste niveau entropie si pas de limitation du nombre d'essais ou de MFA pour compléter.

                Je me suis fait un dico de mots qui se tapent pareil sur clavier azerty, qwerty et qwertz. Il y a autour de 48000 mots anglais dedans (en Français ça ne faisait pas assez de mots !). Ça donne des trucs comme orthopneic-kittle-postspinous-sinuousness-cubhood-tritonoid. Au quotidien, je ne dirais pas que c'est un bon mot de passe d'ouverture de session %-).

                Au final, sur un système ou tu n'as que trois essais par heure, un mot de passe comme "Et le champignon pourri se transforma en prince charmant" n'est peut-être pas si mal ?

                • [^] # Re: c'est bien, mais pas suffisant

                  Posté par  (site web personnel) . Évalué à 2 (+0/-0).

                  tu t'en fous, c'est le gestionnaire de mot de passe qui s'en occupe. Si la longueur maxi est 42 caractères, ie5yomingu7eiquah5kee#m0zai0ugo peut convenir.

                  perso, si la limite de longueur est grande (ce qui devrait être le cas partout), je ne mets que des minuscules.
                  Dans le cas d'une limite de 42, je fais 39 lettres générées par le gestionnaire de mot de passe (autour de 160 bits). Et si on me demande des caractères spéciaux, j'ajoute ".1A".

                  J'ai donc la conversation suivante avec le site :

                  • choisissez votre mot de passe
                  • zgtoiawpmundthubtxrwmtucnmexyxfwcmebvno
                  • trop faible
                  • zgtoiawpmundthubtxrwmtucnmexyxfwcmebvno.1A
                  • excellent !

                  Sinon, il n'y a en principe que 2 mots de passe à retenir : celui de déchiffrement du disque (même que celui de la cession) et celui du gestionnaire de mot de passe.

      • [^] # Re: c'est bien, mais pas suffisant

        Posté par  (site web personnel) . Évalué à 2 (+1/-0).

        Arrêtez de citer mon mot de passe !

    • [^] # Re: c'est bien, mais pas suffisant

      Posté par  . Évalué à 2 (+1/-0). Dernière modification le 05 mai 2025 à 18:15.

      En fait, il y a des hash qui fuitent sur le net, donc on peut la brute force pour deviner ton mot de passe, et le tester sur d'autre site.

    • [^] # Re: c'est bien, mais pas suffisant

      Posté par  (site web personnel) . Évalué à 10 (+9/-0).

      J'ai bien aimé cet article qui offre justement un point de vue plus nuancé sur ce marronier. Il date de 2023 et est toujours d'actualité, pfiou. Par contre, c'est moins vendeur qu'un tableau accompagné d'un petit résumé lapidaire.

  • # entropie

    Posté par  . Évalué à 3 (+1/-0).

    KeepassXC affiche l'entropie du mot de passe. Je ne sais pas comment c'est calculé. j'imagine que c'est juste par rapport à une recherche en force brute combinatoire et que ça peut induire en erreur si le mot de passe est composé de mots du dictionnaire.

    • [^] # Re: entropie

      Posté par  . Évalué à 1 (+0/-0).

      Si tu choisis de ne mettre que des lettres, ça doit assez souvent former des mots courts.

      • [^] # Re: entropie

        Posté par  . Évalué à 2 (+0/-0).

        Pourquoi ? Avec une bonne méthodologie on s'en sort très bien avec des mots longs. Coup d'oeil sur certains des miens :

        • 10 + 11 + 2 + 3
        • 5 + 2 + 6 + 4 + 3 + 6
        • 8 + 6 + 2 + 2 + 8 + 5

        On peut facilement inventer des mots (free a utilisé du faux latin sur les freebox).
        Et par mot j'entend une unité de mémoire, comme "acuetur64"

      • [^] # Re: entropie

        Posté par  . Évalué à 2 (+0/-0).

        Si tu choisis de ne mettre que des lettres, ça doit assez souvent former des mots courts.

        Je n'ai pas compris le rapport avec mon commentaire.

    • [^] # Re: entropie

      Posté par  . Évalué à 2 (+0/-0). Dernière modification le 07 mai 2025 à 07:44.

      Cette page explique comment est calculée l'entropie d'un mot de passe : https://acceis.github.io/EntroCalc/

      Pour faire court :

      L = longueur d'unités dans le mot de passe
      R = nombre de valeurs possible pour chaque unité (ton vocabulaire, en gros)

      Et la formule : log2(R^L)

      Dans le cas ou tu as les lettres de l'alphabet en minuscules et majuscules, les chiffres et des symboles, chaque unité est un de ces trucs. Il y a peu de valeurs possibles pour chaque unité, donc le mot de passe va être long en unités (genre 15 à 20 unités).

      Dans le cas ou tu vas chercher des mots dans un dictionnaire, chaque unité est un mot de ce dictionnaire. Il y a plein de mots, donc 7 unités suffiront pour avoir un mot de passe avec une entropie suffisante. À taper, ce sera plus long, car chaque unité sera un mot du dico, et au final ça fera 40 à 60 caractères. Mais en vrai tu t'en fiches, car c'est ton gestionnaire de mot de passe qui le tapera la majorité du temps :), et il sera relativement facile à mémoriser.

      Le xkcd cité plus haut est juste, à ceci près qu'avec 4 mots d'un dictionnaire courant, tu as une entropie insuffisante. En 2025, il faut viser 100 bits d'entropie au moins. Dans le générateur de KeepassXC, ça fait 7 mots du dico, ou un mot de passe de 16 caractères minimum.

      Un truc du genre :).

      • [^] # Re: entropie

        Posté par  . Évalué à 3 (+1/-0).

        avec 4 mots d'un dictionnaire courant

        Un moyen pas trop compliqué d'augmenter l'entropie serait de multiplier les dictionnaires, non ? C'est ce que j'avais voulu proposer là mais je me suis emmêlé le clavier en disant alphabet plutôt que dictionnaire… Même en mélangeant juste français et anglais, ça doit monter pas mal. Tu rajoutes kouign-amann ou koléséré ou autre expression de ton patois ou de celui du voisin et voilà ce n'est pas plus difficile à retenir que correct battery horse staple.

  • # Et si on utilise Unicode pour ses mots de passe ?

    Posté par  (site web personnel) . Évalué à 2 (+0/-0).

    En mélangeant chinois, hangul, lithuanian et cherokee, on doit obtenir un bon mot de passe, non ?
    Fondamentalement, tant qu'on n' a pas à saisir le mot de passe manuellement, ça doit être pas mal. Ou alors on se fait une clef USB/faux clavier qui tape l'unicode à notre place ?

    • [^] # Re: Et si on utilise Unicode pour ses mots de passe ?

      Posté par  (site web personnel, Mastodon) . Évalué à 3 (+0/-0).

      Si un truc est codé en Unicode, les mots de passe sont forcément des caractères Unicode. Quand on saisit un truc sur LinuxFr par exemple, c'est de l'Unicode, même si on se limite aux seuls caractères reconnus par ASCII.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: Et si on utilise Unicode pour ses mots de passe ?

        Posté par  (site web personnel) . Évalué à 3 (+1/-0).

        Oui, mais non.

        Le fait est qu'utiliser n'importe quel caractère unicode est improbable du point de vue de l'attaquant, car difficile du point de vue de l'utilisateur.

        En pratique, je doute que les attaques par force brute mobilisent tous les caractères Unicode mais se limitent aux caractères associés à la langue de la plateforme ou des utilisateurs.

        • [^] # Re: Et si on utilise Unicode pour ses mots de passe ?

          Posté par  (site web personnel, Mastodon) . Évalué à 3 (+0/-0).

          Ce que je te dis c'est que tout est caractère Unicode (ou pas) et qu'il n'existe pas une catégorie à part qui serait des caractères Unicode avec, à côté des caractères qui ne le seraient pas (au hasard l'alphabet latin réduit à sa plus simple expression). Bref qu'il est impropre de parler de caractères Unicode, ça n'existe pas en soi, c'est un codage (ou un encodage).

          Après on peut imaginer ce qu'on veut, quelqu'un qui utiliserait des émoji dans un mot de passe si la zone de saisie du mot de passe permet ce type de saisie.

          « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: Et si on utilise Unicode pour ses mots de passe ?

      Posté par  (site web personnel) . Évalué à 2 (+0/-0). Dernière modification le 06 mai 2025 à 17:20.

      Même si tu ne le saisis pas, il faut être sûr que la façon de le transmettre ne va pas faire une normalisation quelconque qui change la séquence d'octets.

      Et si tu as à le saisir… aye dans certains cas.

      Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

    • [^] # Re: Et si on utilise Unicode pour ses mots de passe ?

      Posté par  . Évalué à 3 (+1/-0).

      En tout cas, Linuxfr a accepté que je mette de l'Unicode dans mon mot de passe, et Bitwarden a bien mis à jour et restitué le bon mot de passe à la reconnexion.

      C'est plutôt positif, qui pourrait croire que mon mot de passe contient une pelote de laine et une pinte de bière (entre autres) ?

  • # copier-coller interdit sur champ de confirmation

    Posté par  . Évalué à 3 (+1/-0). Dernière modification le 07 mai 2025 à 06:44.

    Quelle est la logique sous-jacente (si tant est qu'il y en ait une) des sites qui interdisent le copier-coller dans le champ de confirmation du mot de passe ?

    • [^] # Re: copier-coller interdit sur champ de confirmation

      Posté par  . Évalué à 4 (+2/-0).

      que tu dois le rentenir. Si tu peux copier coller, tu risques de faire une erreur: tu veux taper "password123" tu écris "pzssword123", tu copies-colles dans le 2 champ, ton mdp est créé. Tu fermes la session, le lendemain tu tapes avec attention "password123" et ça marche pas… Si y'a 2 champs, c'est pour valider l'un par rapport à l'autre, c'est pas pour vérifier si tu sais copier-coller.

      C'est la seule raison vaguement valable que j'ai entendu, et je la trouve pourrie.

      Autorisez le copier coller, ou mieux, ne demandez qu'une fois un mdp à la création

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.