Fuite de données

[3.14.RO]

Salut,

Le problème, c'est qu’actuellement, on doit gérer plus de mots de passe que ce qui est gérable par notre mémoire... et que tous les moyens d'assistances sont aussi des failles.

Pour moi il n'y a rien de plus stupide qu'un mot de passe que l'on a du mal à retenir et surtout du mal à saisir de manière fluide.
Et quand on vous oblige d'avoir au moins une majuscule, un chiffre, un caractère spécial, c'est autant d'indications pour celui qui veut craquer.
Il est assuré qu'au moins un des caractères est un caractère spécial, au moins un est un chiffre et au moins un est une majuscule ce qui réduit pour au moins 3 caractères le panel possible. Donc une réduction du nombre de combinaisons mais aussi du nombre de combinaisons ordonnées. Qui plus est souvent un utilisateur mettra la majuscule sur le premier caractère et le craquage de mot de passe c'est aussi une question de statistique.

Je tiens à préciser que je ne suis pas un parano des mots de passe, mais sur des connexions sensibles il vaut mieux se prémunir... et finalement on a peu de connexions vraiment sensibles si on les traite comme telles et donc pas dans le flux des autres connexions.

@+

[te popaa iti]

Je sais le dernier post date un peu, mais avec ma grande gueule je ne peux m'empêcher

Et quand on vous oblige d'avoir au moins une majuscule, un chiffre, un caractère spécial, c'est autant d'indications pour celui qui veut craquer.
Il est assuré qu'au moins un des caractères est un caractère spécial, au moins un est un chiffre et au moins un est une majuscule ce qui réduit pour au moins 3 caractères le panel possible. Donc une réduction du nombre de combinaisons mais aussi du nombre de combinaisons ordonnées.

C'est totalement faux. Au contraire ça multiplie les possibilités. En incluant les chiffres et les caractères spéciaux ça oblige ceux qui craquent à piocher dans une grille de caractères bien plus vaste.
Perso, pour les codes j'ai une méthode pas mal. Je fais une phrase évidente en rapport avec le compte à protéger. Par exemple pour le forum ça pourrait être "j'aime l'ukulele". Avec les critères des codes (majuscule, pas d'espace, caractères spéciaux) ça donnerait "J'<3-l'ukulele"
Là, impossible d'oublier mon code d'accès au forum.

[bartleby]

Oui cela démultiplie les possibilités et donc demande au programme pirate beaucoup plus de temps

[3.14.RO]

Salut,

Je sais le dernier post date un peu, mais avec ma grande gueule je ne peux m'empêcher C'est totalement faux. Au contraire ça multiplie les possibilités. En incluant les chiffres et les caractères spéciaux ça oblige ceux qui craquent à piocher dans une grille de caractères bien plus vaste.
Perso, pour les codes j'ai une méthode pas mal. Je fais une phrase évidente en rapport avec le compte à protéger. Par exemple pour le forum ça pourrait être "j'aime l'ukulele". Avec les critères des codes (majuscule, pas d'espace, caractères spéciaux) ça donnerait "J'<3-l'ukulele"
Là, impossible d'oublier mon code d'accès au forum.

Dire que c'est totalement faux est totalement faux, mais je m'explique :
Tu n'as pas compris ce que j'ai dit !
Je n'ai pas dit qu'il ne fallait pas inclure de caractères spéciaux mais qu'il ne fallait pas les rendre obligatoires.

Si il faut forcément un caractère spécial, un chiffre et une majuscule alors les combinaisons qui en sont dépourvues sont forcément mauvaises, donc à ne pas tester.
Donc on sait qu'il y a forcément au moins un caractère qui est dans la liste des caractères spéciaux, au moins un qui est un des 10 chiffres et au moins un qui est dans la liste des 26 majuscules.
Même si la force brute n'est plus d'actualité pour craquer un mot de passe, sur le principe on donne des indications.

Une petite démo :
Imaginons qu'il y ait 15 caractères spéciaux (je n'ai pas compté, mais environ), et que les codes fassent tous 8 caractères.
Imaginons aussi que l'on veut trouver les caractères présents de manière non ordonnée et que l'on va chercher l'ordre ensuite.
Nous avons pour chaque caractère un choix de 1 parmi 77 (15 + 10 + 26 + 26). Soit 77⁸ = 1 235 736 291 547 681
Dans la cas des obligations on réduit le choix pour 3 caractères à 15 pour le caractère spécial, 10 pour le chiffre et 26 pour la majuscule.
Soit 77⁵ x 15 x 10 x 26 = 10 556 458 212 300.
On a donc un nombre de combinaisons qui représente moins de 1% (0.85% pour être précis) de celui sans l'obligation.
CQFD.

De plus la majuscule, quand elle est obligatoire, est souvent mise en début de mot de passe (cf ton exemple). Il n'est pas rare que les chiffres soit mis à la fin et correspondent à une année ou un département...
Quand on oblige les gens à choisir ces types de caractères ils font "au plus vite" et donc adoptent des comportements plus prévisibles.

@+

[Plouf]

Imaginons qu'il y ait 15 caractères spéciaux (je n'ai pas compté, mais environ), et que les codes fassent tous 8 caractères.
Imaginons aussi que l'on veut trouver les caractères présents de manière non ordonnée et que l'on va chercher l'ordre ensuite.
Nous avons pour chaque caractère un choix de 1 parmi 77 (15 + 10 + 26 + 26). Soit 77⁸ = 1 235 736 291 547 681
Dans la cas des obligations on réduit le choix pour 3 caractères à 15 pour le caractère spécial, 10 pour le chiffre et 26 pour la majuscule.
Soit 77⁵ x 15 x 10 x 26 = 10 556 458 212 300.
On a donc un nombre de combinaisons qui représente moins de 1% (0.85% pour être précis) de celui sans l'obligation.
CQFD.

Ca, c'est oublier que chacun des caractères spéciaux peut être à une place ou à une autre. Donc pour certains caractères il y a moins de possibilités, mais pour chaque position il y a davantage de possibilités puisque chaque caractère peut être soit un chiffre, soit une lettre majuscule, soit une lettre minuscule, soit un caractère spécial.

De plus la majuscule, quand elle est obligatoire, est souvent mise en début de mot de passe (cf ton exemple). Il n'est pas rare que les chiffres soit mis à la fin et correspondent à une année ou un département...

Ah ? Quelle drôle d'idée ! en ce qui me concerne je n'ai aucun mot de passe ainsi constitué qui ait une majuscule en tête et aucun chiffre ne correspond à une année ou un département. Au contraire, plus c'est compliqué et plus on sort des sentiers battus pour constituer son mot de passe.
Houps ! J'ai dit qu'il n'y avait pas de majuscule en début du mien, encore un indice pour retirer 26 possibilités pour ce qui constitue le premier caractère !! Il n'y a plus de quelques milliards de combinaisons possibles ! 

Quand on oblige les gens à choisir ces types de caractères ils font "au plus vite" et donc adoptent des comportements plus prévisibles.

Alors que quand on les laisse libre de choisir 6 ou 8 chiffres ils choisissent leur date de naissance ! 

[3.14.RO]

Ca, c'est oublier que chacun des caractères spéciaux peut être à une place ou à une autre. Donc pour certains caractères il y a moins de possibilités, mais pour chaque position il y a davantage de possibilités puisque chaque caractère peut être soit un chiffre, soit une lettre majuscule, soit une lettre minuscule, soit un caractère spécial.

Ben non ! Car tout indice sera exploité.... si besoin est. Mais bon vu que tu es sur le mode mauvaise foie (comme souvent d'ailleurs) :

Ah ? Quelle drôle d'idée ! en ce qui me concerne je n'ai aucun mot de passe ainsi constitué qui ait une majuscule en tête et aucun chiffre ne correspond à une année ou un département. Au contraire, plus c'est compliqué et plus on sort des sentiers battus pour constituer son mot de passe.
Houps ! J'ai dit qu'il n'y avait pas de majuscule en début du mien, encore un indice pour retirer 26 possibilités pour ce qui constitue le premier caractère !! Il n'y a plus de quelques milliards de combinaisons possibles ! 


Alors que quand on les laisse libre de choisir 6 ou 8 chiffres ils choisissent leur date de naissance ! 

Je crois donc comprendre que tu considère la plupart des gens comme étant beaucoup moins intelligent que toi !
Mais cette attitude est celle qui est attendue... en effet la première erreur en sécurité est de penser que l'on est mieux protégé que les autres !

Allez... au-revoir

[Plouf]

Ton calcul est faux.

Dans la cas des obligations on réduit le choix pour 3 caractères à 15 pour le caractère spécial, 10 pour le chiffre et 26 pour la majuscule.
Soit 77^5 x 15 x 10 x 26 = 10 556 458 212 300

Il n'est vrai que dans le cas où tu as 77 possibilités pour certains caractères et 15 pour un autre dont la place est déterminée et 10 pour un autre encore que tu as identifié et 26 enfin pour un troisième caractère dont tu connais la place.

Mais entre un mot de passe de "8 caractères avec majuscules et minuscules" et un mot de passe de "8 caractères avec majuscules et minuscules et chiffres et caractères spéciaux" (il y en a 27 différents : ~ ! @ # $ % ^ & * ( ) – _ = + [ ] { } ; : , . < > / ? ), la différence est suffisamment importante pour que la contrainte que l'un au moins, sans qu'on sache lequel, soit parmi les 26, ou les 27, ou les 10, est tout à fait négligeable.

Que des lettres : 52^8 = 53 459 728 531 456 possibilités

Avec aussi des chiffres : 62^8 =  218 340 105 584 896 combinaisons

Avec aussi des caractères spéciaux : 89 ^ 8 =  3 936 588 805 702 081 combinaisons. 4 000 milliards !

Alors effectivement, certaines combinaisons ne sont pas possibles, mais si peu au regard des possibilités.

Et contraindre à avoir au moins un chiffre et au moins un caractère spécial et au moins une minuscule et au moins une majuscule réduit (un peu) les possibilités.
Mais ne pas contraindre revient à avoir 95% des mots de passe qui n'utilisent que 26 ou 36 (avec lettres et chiffres) caractères possibles, soit au mieux 2 821 109 907 456 combinaisons. Et même beaucoup moins si, comme tu le prétends, chacun va mettre une année ou un département et donc deux chiffres à la fin (30 891 577 600).

Bref...

[Olive Thom]

Je travaillais à La Banque Postale en service informatique, et comme dans toute boite sérieuse nos MDP devaient aussi contenir chiffre(s) et caractère(s) spéciaux. Je ne pense pas que les ingénieurs du service de sécurité informatique national étaient sots, comme d'ailleurs tous ceux de toutes grandes entreprises mondiales.

[3.14.RO]

  https://votreargent.lexpress.fr/consommation/la-banque-postale-apres-l-incident-quelles-consequences-pour-les-clients_1586440.html

[Olive Thom]

Article de 2013... Je ne vois pas trop le rapport entre un incident applicatif ou technique, et le sujet de sécurité des mots de passe dont on parlait... Sinon toutes les banques connaissent un jour ou l'autre ce genre de soucis, personne n'est parfait, ça se serait. 

[Plouf]

Je ne vois pas trop le rapport

Fais un effort Olive !


Avoir eu un problème informatique un jour discrédite de fait la société toute entière pour les siècles à venir y compris pour des questions qui n'ont aucun rapport comme sur sa politique des mots de passe !

C'est quand même assez évident !

 

[BB9]

eh bien que de sueurs pour un mot de passe dont on ne se rappelle jamais.

Le plus marrant c'est quand on a besoin de modifier un mot de passe dont on ne souvient plus, qu'on ne peut donc pas se connecter, qu'on demande à récupérer son compte sur un autre compte mail, mais là, comme on est à l'étranger il y a un petit message qui vous dit qu'il faut un moyen de récupération. Mais là manque de bol le mot de passe oublié, c'était le pin du téléphone, et pour le réinitialiser à partir d'un autre téléphone depuis l'étranger, on vous redemande confirmation avec un test ADN, mais là pas de bol, votre pass sanitaire est sur votre smartphone, c'est mort pour rentrer à la maison 

bref ce n'est pas grand chose d'imposer des caractères spéciaux ni des majuscules. A juste titre cela n'est pas pour les gens qui sécurisent leurs comptes mais justement pour ceux qui ne le font pas. L'imposer force les gens à choisir des mots de passes plus difficiles à hacker. On parle d'ailleurs de "forcer la sécurité des mots de passe". Après si aucune mesure n'est prise contre les attaques brute force, cela ne change pas grand chose. Les robots travaillent très bien pour ça.

Après des moyens de hacker un compte il en existe une multitude (enregistrement de la saisie clavier par exemple - c'est pour ça que certains mots de passes ou codes sont sur des claviers qui changent les caractères de position à chaque connexion et saisissables par clic : du coup plus besoin de combinaisons de caractères, des chiffres suffisent), et il n'y a pas que par le mot de passe.

Les moyens de hacker un site aussi. Il y a des failles, le plus risible étant qu'elles sont rendues publiques au moment de la publication des mises à jour. les hacker n'ont donc pas besoin de trop se creuser la tête. Plus besoin de chercher à l'aveugle des failles, il suffit de regarder où il en existe, puis de lancer des petits robots qui vont les tester partout, jusqu'à ce qu'ils trouvent une porte d'entrée.

Pour ma part si je dis ça c'est parce que des sites hackés, j'en voie passer régulièrement, et la plupart du temps le propriétaire du site (souvent des gens sérieux dans leur profession) ont mis des mots de passe bidons.

Et très clairement majuscules + minuscules + caractères spéciaux + chiffres avec un minimum de 8 caractères, le mec qui veut le casser, il faut déjà qu'il soit sérieusement motivé. Ajouté à ça des mesures contre le brute force (la base) et cette porte d'entrée est fermée (mais ça ne ferme pas les autres)

Et croyez moi, pour avoir travaillé avec un boîte de sécurité en informatique, quelqu'un (qui en a les compétences, heureusement ils ne sont pas si nombreux) qui veut hacker un compte ou un site, il finit par y arriver.