Votre mot de passe est-il solide?

[yoda1234]

Bonjour
une partie de la réponse a cette question ici.
C'est en anglais, mais pas difficile a comprendre.
Pour un des miens, il faudrait 15heures dans le pire des cas ou 169 ans dans le meilleurs des cas; et vous ?
-----

[invite275db609]

Bonjour yoda1234,

merci pour ce petit lien sur les probabilités de 'pétage' de mot de passe ...

Je pensais que vous donneriez quelques-une des techniques pour avoir un mot de passe solide ... si ca interesse quelqu'un, je peux partager mes maigres techniques, mais qui me permettent au minimum 20h et au maximum 238 années selon le type d'attaque.

Remarque : il suffit de bien observer les probabilités pour vite se rendre compte de 'comment faire'

@u plaisir

[JPL]

À mon avis un des problèmes provient du fait que l'administrateur système s'appelle toujours Administrateur sous Windows (même si on peut créer d'autres comptes avec des droits d'administrateur) et root sous Unix et ses dérivés (dont Linux). S'il était possible de changer ce nom cela doublerait la sécurité, parce qu'actuellement tout pirate sait quel compte il doit attaquer pour avoir des droits d'administrateur.

[yoda1234]

Bonjour
j'ai lu quelque part qu'il était possible de le changer.
Je ne me souviens ou...mais il me semble me souvenir que c'était dans "outils d'administration". Comme je n'ai pas XP, je ne peux poursuivre plus loin.

[A voir en vidéo sur Futura]

[invitee07a1737]

il s'appelle root parce que tu veux bien lui donner ce nom. Sous linux, tu peux appeler l'administrateur système comme tu le veux... Et ce n'est absolument pas difficile d'obtenir les users d'un OS, même en remote (plusieurs techniques différentes). Donc à mon avis, ce n'est pas une bonne idée.

Par contre, on peut facilement construire des mots de passes très robustes facilement.
Une simple technique est de prendre une phrase "Salut Jean-Paul, comment vas-tu ?" et de prendre les 1ères lettres et signes en faisant attention à la casse:

SJ-P,cv-t?

On arrive à des choses très compliquées comme ça...

++

[invite765732342432]

Entre 60 Heures et 692 ans... ça va...

Mais rappellons que la meilleure protection contre ce genre d'attaques reste du coté application: un délai minimum de 1s (ou même 10ms) entre chaque tentative de connection et le plus simple mot de passe n'est plus forçable (enfin, il me semble)

[invitee07a1737]

Un système de blacklist (à la snort) est très bon aussi.

Par contre, pour brute-forcer un pass, ça dépend beaucoup de l'algo utilisé. Il est clair que du MD5 se crackera bcp plus facilement qu'une clé 1024bits RSA. Pour donner un ordre d'idée, un md5 (non-salted) de 8 chiffres/lettres se casse en environ 1 minute avec de bonnes rainbow tables.

[invite597d4991]

À mon avis un des problèmes provient du fait que l'administrateur système s'appelle toujours Administrateur sous Windows (même si on peut créer d'autres comptes avec des droits d'administrateur) et root sous Unix et ses dérivés (dont Linux). S'il était possible de changer ce nom cela doublerait la sécurité, parce qu'actuellement tout pirate sait quel compte il doit attaquer pour avoir des droits d'administrateur.

Ouais, enfin il est quand même pratique d'avoir un minimum de normes à ce niveau, il faut comprendre que le nom d'utilisateur n'a pas pour but d'être une sécurité.
De plus pour les techniques les plus communes (BoF ...) que root s'apelle toto, maurice ou robert ça ne change pas grand chose, ce qui compte c'est '#'

[inviteec67ec14]

Entre 60 Heures et 692 ans... ça va...

Mais rappellons que la meilleure protection contre ce genre d'attaques reste du coté application: un délai minimum de 1s (ou même 10ms) entre chaque tentative de connection et le plus simple mot de passe n'est plus forçable (enfin, il me semble)

j ai vu un doc de canal + sur l espionnage éconnomique , la dst ou dgse essaye de proteger les grosses firmes francaise
en leur donnant des conseil pour les mot de pase du genre : g|-lmp]@+ , compliqué quoi et un informaticien de la dst casse ou brise en 3 ou 4 seconde le mot de passe d un portable d un pdg , baleze ? ou desinformation ?

[JPL]

j ai vu un doc de canal + sur l espionnage éconnomique , la dst ou dgse essaye de proteger les grosses firmes francaise
en leur donnant des conseil pour les mot de pase du genre : g|-lmp]@+

Oui, et c'est comme ça que les gens l'écrivent sur un petit bout de papier qu'ils laissent traîner, quand ce n'est pas sur un post-it collé sur l'écran, parce qu'il est totalement imposible de mémoriser ce genre de choses, surtout si le serveur force le changement du mot de passe tous les mois.
Donc, quand il y a de réels enjeux, ce qui n'est pas le cas de l'ordinateur familial de m. Dupont, il faut rester pessimiste. Bien sûr, il y a la biométrie, mais cela pose d'autres problèmes (par exemple l'ingénieur système qui se fait écraser le pouce dans un accident... adieu l'empreinte !).

[kryok]

Bonjour
Un texte tres utile sur les mots de passe
par Vazkor ,ex modérateur d'assiste .com (et ancien Officier des services secrets Belges)
ne trouvant plus le lien je le met in extenso (n'est pas trop long..)
-----------------------------

Vous pouvez utiliser un générateur de mots de passe et choisir un qui à l'heur de vous plaire, mais ce mot de passe sera complètement aléatoire et vous serez obligé de le noter quelque part, ce qui est une autre faille dans votre sécurité.

--Si vous devez noter des mots de passe, faites le dans un carnet (pas sur feuilles volantes) que vous rangez quelque part, de préférence pas à côté du PC et sous clé si nécessaire. Et profiter de ce même carnet pour y noter les coordonnées, login et mot de passe utilisés sur différents sites et les codes des programmes que vous avez payés, tant que vous y êtes.

--Certains programmes permettent de conserver ces mots de passe sur votre PC en les cryptant et en protégeant le tout par un seul mot de passe. C'est très bien, sauf si vous avez un crash et que vous n'y avez plus accès. Même une disquette peut être impossible à relire. Rien ne remplace donc le papier, le crayon et la gomme, ce qui permet de corriger/modifier/supprimer sans raturer.

Revenons à nos moutons, comment choisir un mot de passe à la fois solide mais facile à retenir?

Vous savez sûrement que pour être solide un mot de passe doit être composé d'un minimum de 8 caractères et ne pas être facile à deviner ou trouver dans un dictionnaire. Donc pas de prénom, nom de famille, date de naissance qui ont un rapport avec vous. Pas de Admin, Dieu, Moi, etc.
Il vous faut créer un mot de passe qui ait tout à fait l'air aléatoire et utilise tout le jeu de caractères disponible sur votre clavier, donc des minuscules, majuscules, chiffres et caractères spéciaux.
Une attaque par force brute sera d'autant plus difficile (plus longue voire impensable) que le mot de passe sera long et qu'il utilisera des caractères parmi tout le jeu étendu disponible sur votre clavier.

Avec six caractères:
- rien que des chiffres, 0 à 999.999 -> 1 million de possibilités (10^6). Statistiquement, après 10^6/2 soit 500 000 essais, votre mot de passe sera découvert, càd en quelques secondes sur un PC moderne.
- rien que des minuscules, aaaaaa à zzzzzz -> 26^6 possibilités ~ 309 millions
- en utilisant tous les caractères affichables facilement disponibles:
10 chiffres, 52 lettres, la quarantaine de signes de ponctuation et caractères spéciaux, cela fait plus de 100 caractères. Vous avez plus de 100^6 possibilités, plus de 1000 milliards (1.e+12)

Avec 14 caractères, cette dernière valeur passe à plus de 8.69e+50 possibilités!

Comment décider du nombre de caractères à utiliser?

Vous n'avez pas besoin de la même solidité pour protéger votre compte sur un groupe de discussion ou sur un forum que pour protéger votre compte administrateur sur votre PC. Disons que pour les forums, etc. huit caractères c'est plus que suffisant. Par contre, utilisez toujours 14 caractères ou plus pour votre compte Admin.

Comment créer un mot de passe solide mais très facile à retenir (et à retrouver en cas d'oubli partiel)?

Il existe plusieurs méthodes, mais celle que je préfère est la suivante.

Choisir une phrase que vous ne risquez pas d'oublier: un souvenir d'enfance, un événement personnel, un ver ou une citation ou un non-sens total (plus c'est loufoque, mieux c'est).
Prenez les premières lettres de tous les mots (éventuellement en négligeant les mots de moins de quatre caractères, autre que les verbes et les noms) et gardez la ponctuation existante:
Ne pas oubliez de sortir les poubelles le mardi! -> Npodslplm! (10 caractères. C'est déjà bien!)
Maintenant nous allons le durcir en remplaçant des minuscules par des majuscules: prenons comme convention de mettre les initiales des noms communs en Majuscule, à la mode allemande -> NpodslPlM!

Introduisons des chiffres et caractères spéciaux supplémentaires en jouant sur les ressemblances avec les lettres: o -> 0 (zéro), l -> 1, s ->$, g -> 9, etc. en ne remplaçant que la première occurrence de la lettre.(Utilisez toujours le même jeu d'équivalences que vous pouvez bien sûr afficher en clair à côté de votre PC, mémoriser dans un fichier texte)
NpodslPlM! donne facilement Np0d$1PlM! (Maintenant que vous l'avez, notez le dans votre petit carnet secret, par pure précaution, ou mettez le sur un bout de papier dans une enveloppe scellée et rangez le tout en lieu sûr.)

Si vous tenez à utiliser des mots de passe différents sur chaque forum, ajoutez les initiales du forum devant ou derrière votre mot de passe de base, qui deviendrait donc fAc-Np0d$1PlM! ou Np0d$1PlM!-fAc pour les forums d'Assiste.com. Vous avez maintenant obtenu sans problème un mot de passe extrêmement solide de 14 caractères. Même la NSA s'y casserait les dents.
Faites preuve d'imagination!

Comme phrase de base vous pouvez très bien utiliser l'adresse de vos beaux-parents que même vos proches ne connaissent sûrement pas:
Trucmuche,hôtel Georges V, 269 Av des Champs-Elysées, Paris (N° au hasard) donnerait directement T,hG5,269AdC-E,P

Autre exemple, à ne pas utiliser parce que académique:
Tous pour un, un pour tous! donne Tp1,1pt! (huit caractères et déjà très bon s'il n'était pas archi-connu)

Pour PGP, qui utilise une phrase de passe comme clé, j'utilise un moyen mnémotechnique semblable et je peux même laisser traîner ma clé sur le PC sans risque. Pourquoi? Parce que je n'écris que: "la_courte_phrase_loufoque Code PLAQUE" où
Code est mon code de carte bancaire, que je suis le seul à connaître, et Plaque c'est le N° d'immatriculation de ma dernière voiture, dont je suis certain que personne, pas même mon fils, se souvient. Seule la phrase loufoque est en clair. Ce que je note est donc du genre: Quand les poules auront des dents Code PLAQUE
-------------------------

@+

[Keorl]

Il est clair que du MD5 se crackera bcp plus facilement qu'une clé 1024bits RSA.

Juste un probleme pour le RSA 1024 bits: il est interdit de dépasser 128 (quelque soit l'algo). C'est la loi.
(je l'ai lu ici.

[invitecf39d6ba]

Aucun problème pour moi ces tableaux ne sont pas assez grands donc pas de soucis!

[invite597d4991]

Juste un probleme pour le RSA 1024 bits: il est interdit de dépasser 128 (quelque soit l'algo). C'est la loi.
(je l'ai lu ici.

Encore une loi crétine.... et deux clés concaténées on a le droit?

[invite765732342432]

Juste un probleme pour le RSA 1024 bits: il est interdit de dépasser 128 (quelque soit l'algo). C'est la loi.
(je l'ai lu ici.

Si j'en crois ce que j'ai lu ailleurs (forum ratiatum si j'ai bon souvenir), cette loi n'est plus valable depuis quelques années...

Il faudrait une source officielle...

[azt]

Tout à fait, cette loi n'est plus valable.
Pour plus de renseignements vous pouvez aller surfer par là http://www.ssi.gouv.fr/fr/reglementa...ex.html#crypto

Cela a changé heureusement!
Les recommandations données par des études demandées par le gouvernement sont de crypter avec 2048bits pour des données devant être utilisées jusqu'en 2010.