La protection par mot de passe est un échec

[RSSBot]

Michael Schrage, co-directeur de l'initiative e-markets du Media Lab du Massachusetts Institute of Technology, rappelle pour la Technology Review, que la protection par mots de passe que nous connaissons aujourd'hui fonctionne mal et offre bien peu de sécurité aux utilisateurs. Pourtant, celle-ci est dominante, ennuyeuse et malcommode et fait bien moins pour la protection des données que pour l'accablement des utilisateurs. Et...{br}{br}Cliquez-ici pour lire l'article{br}

[.:Spip:.]

le fait de mettre un pass de 8 carazcteres au moins du style Z&85loth est plus securitaire qu'un pass du style prenom, login, nom du chien etc ...

ps mettez un pass commencant par les dernieres lettrees de l'alphabet, car les brutesforces comences par la lettre A

[martini_bird]

le fait de mettre un pass de 8 carazcteres au moins du style Z&85loth est plus securitaire qu'un pass du style prenom, login, nom du chien etc ...

ps mettez un pass commencant par les dernieres lettrees de l'alphabet, car les brutesforces comences par la lettre A

Sauf que si tout le monde fait ça, ils prendront l'alphabet à rebours...

[.:Spip:.]

d'ici ce temps la on s'adaptera et on peut dores et deja enticiper par une lettre L ou P...

[A voir en vidéo sur Futura]

[keul]

un délai (augmentant) entre ler periodes d'autentification annule tout bruteforce. Sauf que c'est généralement rarement implenté.

ps mettez un pass commencant par les dernieres lettrees de l'alphabet, car les brutesforces comences par la lettre A

Bah, si tout le monde décide de ne pas l'utiliser, ils la feront sauter et gagnerons du temps.

Sauf que si tout le monde fait ça, ils prendront l'alphabet à rebours...

pour ca qu'il faut prendre un mot de passe aléatoire homogène.

dans ce cas, ca s'apelle du bruteforce ciblé/attaque par dictionnaire.

Le but d'un bruteforce n'est pas de trouver les mot de passe par A, quelqu'un qui lance un bruteforce sait pertinnement qu'il devra se taper en moyenne la moitiée de toutes les possibilitées.
Ton raisonement reviens au voleur de velo qui essayerait de faire sauter le cadenas à code à 3 chiffres par exemple, et qui parce que le code ne commencerait pas par 0, abandonnerait au bout de 99, sauf que dans le cas de l'informatique, quand on est pressé, on fait une attaque par dictionnaire...
Et vu que celui qui fait l'attaque n'a rien à faire que lancer le soft, il ne va pas se lasser au bout de la 99, il laissera mouliner son logiciel...

[jean claude06]

Bonjour.

Vos réponses m'interessent:
Vous connaissez e-carte bleue.
La banque vous donne un logitiel a installer sur votre Pc et grace a un mot de passe un numero provisoire de carte pour un seul paiement est delivré.

Bien, mais que se passe t'il si un Keyloger releve mon mot de passe ? le pirate pourra alors generer des numeros provisoirs et utiliser mon compte comme bon lui semble....
J'ai dit cela a mon Banquier qui n'a pas répondu à cette eventualité....
Merci de commenter.

salutations.

JC

[moijdikssékool]

il existe des moyens plus sécuritaires: la moitié du mot de passe par internet et l'autre moitié par téléphone
vous pouvez aussi l'écrire une bonne fois pour toute sur un texte écris sur le disk dur et de faire un copié collé (à moins qu'il existe des spywares qui regardent l'état du presse papier) ou alors vous écrivez votre mot de passe avec des lettres en trop et vous enlevez ensuite les lettres en trop avec la souris
le mieux ce serait que la banque avant d'autoriser tout achat par le net vous envoie un courrier (postal voire mail) de confirmation

[jean claude06]

Merci pour votre réponse.

Je rappele ce qui m'a été expliqué par ma banque:

- Le principe est de tapper son mot de passe sur son PC et ce grace au logitiel fourni par la banque.

- La somme est indiquée, avec une tolerance de depassement limitée.

- Le numero provisoire de carte est alors fourni et l'on peut le communiquer au commercant qui n'aura droit qu'à un seul debit.

Pour moi tout cela ne protege en rien le fait que si le mot de passe est intercepté par un "Keylogger" alors le simple fait d'avoir installé ce genre de logitiel sur son PC devient une porte ouverte aux escrocs.

J'arrive à la conclusion qu'il ne faut pas installer de logitiel de ce genre qui ne protegent en fait que contre un commerçant qui facturerait plusieurs fois pour une seule commande...

Me tromperais-je ???


salutations et merci pour commentaires

JC

[martini_bird]

Salut,

il me semble que la responsabilité de la transaction revient néanmoins à la banque et qu'à défaut, c'est elle qui peut prendre à sa charge le montant détourné.

Cependant il est certain que si l'adresse de livraison coïncide avec celle du client, c'est susceptible d'éveiller quelques soupçons...

Cordialement.

[jean claude06]

Merci pour vos réponses sur un sujet qui deviendra tous les jours plus important à résoudre.

Mon probleme est par exemple le renouvellement de mon antivirus ou achat de musique ou quoi que ce soit.

J'entendais une emission radio ou l'on signalait que les utilisateurs d'internet commencent a en avoir marre de tous ces pieges, virus, troyens etc etc.

Il y aurait meme une tendance à la baisse des ouvertures de contrat et de la consommation d'heures de connection.

Bon surf quand meme et salutations a vous tous.

jean claude06

[xleto2]

Beaucoup d'inquiétude pour la sécurisation des données...

D'un côté c'est normal, étant donné qu'aucun système de cryptage, de mot de passe etc n'est sûr à 100%

Même le cryptage quantique, je crois qu'il est possible de le pirater, du moins dans certaines conditions (qui seront créés par le pirate).

Seulement, j'ai bien l'impression c'est l'industrie qui a un problème de sécurité, et comme toujours ils essaient d'en faire une priorité du public, afin que celui-ci finance la recherche de solution. Comme le haut débit sur internet, à 90% inutile (dans sa légalité) pour les particuliers, mais payé par eux.

[invite765732342432]

Comme le haut débit sur internet, à 90% inutile (dans sa légalité) pour les particuliers, mais payé par eux.

je m'insurge !
Le haut débit te permet: la téléphonie sur IP, la réception de chaines TV, l'écoute de WebRadio, un confort de surf à toute épreuve, l'accès à la culture (MP3 gratuits et légaux sur divers sites comme Jamendo ou les sites scientifiques comme celui sur lequel nous sommes (en 56K, il y a de nombreux sujets que je ne lirais pas)), etc...