sécurité des mots de passe

Le
siger
Pour un bon mot de passe, il est d'usage de dire qu'il faut au moins
une minuscule, une majuscule, un chiffre et un caractère spécial.

Ça semble logique, mais finalement peut-être pas : un logiciel qui
cherche un mot de passe ne sais pas comment il est conçu, il ignore si
ce ne sont que des lettres minuscules par exemple, donc il cherche sur
la totalité des possibilités, non ?

Ou alors c'est parce que la recherche se fait dans un ordre ? Par
exemple d'abord les minuscules, puis les majuscules, puis les chiffres,
puis un mélange de 2, puis un mélange de 3 ?

--
siger
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 11
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Aeris
Le #23163101
siger wrote:

Ou alors c'est parce que la recherche se fait dans un ordre ? Par
exemple d'abord les minuscules, puis les majuscules, puis les chiffres,
puis un mélange de 2, puis un mélange de 3... ?



Oui et non
Les attaques se font généralement par dictionnaire, il n'y a donc pas à
proprement parler de traitement de faveur pour les majuscules et les
caractères spéciaux.
Mais le fait d'en avoir rend la probabilité de trouver le mot de passe
BEAUCOUP plus faible.

Par exemple avec un mot de passe de 5 caratères uniquement en minuscules, il
n'y a «que» 11 881 376 possibilités. Avec 1ms par tentative, il faudrait
3.3 heures, ce qui semble réalisable.
Le simple fait d'ajouter les majuscules fait exploser la combinatoire à
380 204 032 possibilités, soit 4.4 jours ce qui est déjà beaucoup plus
difficile à réaliser sans se faire détecter avant.
Avec une 10aine de caractères spéciaux en plus, on monte à 916 132 832
possibilités, soit 10.6 jours de calculs! En plus de ça le mot de passe n'a
aucune raison de se trouver dans une attaque par dictionnaire «classique»
qui se limite à des termes connus.

Si on passe à 10 caractères avec majuscules et caractères spéciaux, on en
arrive à 839 299 365 868 340 200 possibilités et 26 614 008 années de
traitement. Autant dire que le mot de passe a une probabilité quasi-nulle
(mais pas nulle!) d'être trouvé par bruteforce…

Ça ne rendra donc pas ton mot de passe inviolable mais ça découragera et
rendra totalement inutile toute tentative de bruteforce dessus.
--
Aeris
Baton Rouge
Le #23163501
On Mon, 28 Feb 2011 01:26:31 +0100, Aeris
siger wrote:

Ou alors c'est parce que la recherche se fait dans un ordre ? Par
exemple d'abord les minuscules, puis les majuscules, puis les chiffres,
puis un mélange de 2, puis un mélange de 3... ?



Oui et non
Les attaques se font généralement par dictionnaire, il n'y a donc pas à
proprement parler de traitement de faveur pour les majuscules et les
caractères spéciaux.
Mais le fait d'en avoir rend la probabilité de trouver le mot de passe
BEAUCOUP plus faible.

Par exemple avec un mot de passe de 5 caratères uniquement en minuscules, il
n'y a «que» 11 881 376 possibilités. Avec 1ms par tentative, il faudrait
3.3 heures, ce qui semble réalisable.
Le simple fait d'ajouter les majuscules fait exploser la combinatoire à
380 204 032 possibilités, soit 4.4 jours ce qui est déjà beaucoup plus
difficile à réaliser sans se faire détecter avant.
Avec une 10aine de caractères spéciaux en plus, on monte à 916 132 832
possibilités, soit 10.6 jours de calculs! En plus de ça le mot de passe n'a
aucune raison de se trouver dans une attaque par dictionnaire «classique»
qui se limite à des termes connus.

Si on passe à 10 caractères avec majuscules et caractères spéciaux, on en
arrive à 839 299 365 868 340 200 possibilités et 26 614 008 années de
traitement. Autant dire que le mot de passe a une probabilité quasi-nulle
(mais pas nulle!) d'être trouvé par bruteforce…

Ça ne rendra donc pas ton mot de passe inviolable mais ça découragera et
rendra totalement inutile toute tentative de bruteforce dessus.



Quand tu vois la politique de securité des mot de passe de certaines
entreprise le taux de reussite se situe plutot du coté des 3h30 que
des 4 jours.

--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
siger
Le #23163561
Aeris a écrit :


Par exemple avec un mot de passe de 5 caratères uniquement en
minuscules, il n'y a «que» 11 881 376 possibilités. Avec 1ms par
tentative, il faudrait 3.3 heures, ce qui semble réalisable.
Le simple fait d'ajouter les majuscules fait exploser la
combinatoire à 380 204 032 possibilités, soit 4.4 jours ce qui est
déjà beaucoup plus difficile à réaliser sans se faire détecter
avant. (...)



Oui, mais ce que tu dis signifie que le logiciel cherche d'abord avec
uniquement des minuscules. S'il essaye tout de suite des combinaisons
majuscules + minuscules, il doit chercher parmi les 380 204 032
possibilités pour trouver un mot en minuscules. Enfin il me semble.


--
siger
Xavier Roche
Le #23163601
Le 28/02/2011 10:08, Baton Rouge a écrit :
Quand tu vois la politique de securité des mot de passe de certaines
entreprise le taux de reussite se situe plutot du coté des 3h30 que
des 4 jours.



Oui et puis bon, même si les "pros" ont de bon mots de passe, il n'en
reste pas moins que l'attaque la plus efficace, c'est l'engineering social.

Comme les blaireaux d'une firme de "sécurité" (avec de gros guillemets)
célèbre qui s'est fait r00ter après avoir divulgué le mot de pass root
du serveur par email à un type qui se faisait passer pour le boss:

http://arstechnica.com/tech-policy/news/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack.ars/

(Je passe sur les autres failles, tout aussi hilarantes - la firme en
question a renoncé à ses conférences à la RSA pour qu'on se foute pas de
sa gueule de manière trop visible)
Kevin Denis
Le #23163651
Le 27-02-2011, siger
Pour un bon mot de passe, il est d'usage de dire qu'il faut au moins
une minuscule, une majuscule, un chiffre et un caractère spécial.



On dit tellement de choses sur les mots de passes.

Ça semble logique, mais finalement peut-être pas : un logiciel qui
cherche un mot de passe ne sais pas comment il est conçu, il ignore si
ce ne sont que des lettres minuscules par exemple, donc il cherche sur
la totalité des possibilités, non ?

Ou alors c'est parce que la recherche se fait dans un ordre ? Par
exemple d'abord les minuscules, puis les majuscules, puis les chiffres,
puis un mélange de 2, puis un mélange de 3... ?



Cela va dépendre de ton logiciel de cassage de mdp; tout ça se configure.

Néanmoins, les stratégies de mot de passes sont tout de même curieuses,
cf ce petit quizz:
-Quel est le meilleur mot de passe Windows ?
1. Bonjour
2. Bonjour123
3. 3!
4. AAAAAAAAAAAAAAA

Réponse sur
--
Kevin
Stephane Catteau
Le #23163691
siger n'était pas loin de dire :

Oui, mais ce que tu dis signifie que le logiciel cherche d'abord avec
uniquement des minuscules. S'il essaye tout de suite des combinaisons
majuscules + minuscules, il doit chercher parmi les 380 204 032
possibilités pour trouver un mot en minuscules. Enfin il me semble.



C'est à la fois plus complexe et plus simple que cela. Un logiciel
essayant de casser un mot de passe en brute force ne se fatigue pas, il
se contente de prendre la table ASCII et de tester les caractères les
uns après les autres.
L'algorythme se limite donc à quelque chose comme :

pour a de 20 à 127
pour b de 20 à 127
pour c de 20 à 127
pour d de 20 à 127
essayer le passe chr(d) + chr(c) + chr(b) + chr(a)

Evidement c'est une vue simplifiée de l'algorythme, puisqu'il comment
par tester les mots de passe de un caractère, puis ceux de deux
caractères et ainsi de suite, mais le résultat reste le même.

Cela dit, le premier avantage d'un mot de passe contenant des
caractères non alphabétique, est qu'il ne figure pas dans un
dictionnaire. Dans l'absolue un mot de passe tel que "d7" est donc plus
sur que "jean-sébastien" parce que s'il ne resisterait pas deux minutes
à une attaque brute force, il resiste par contre parfaitement à une
attaque dictionnaire, qui est la méthode la plus utilisée actuellement.
Pour autant, il est évident que ce n'est pas un mot de passe à
utiliser, car la théorie c'est beau, mais dans la pratique il y a
toujours des exceptions.
Néanmoins il est possible d'avoir des mots de passe robuste,
mélangeant caractères alphabétiques et numériques, qui sont facilement
mémorisables. Par exemple on peut décider d'une date, toujours la même,
que l'on intercale dans un mot représentant ce qui est protégé. Ainsi,
quelqu'un né le premier janvier 1970 aurait pour mot de passe de son
compte mail pro quelque chose comme 0m1a0i1l1p9r7o0, soit "01011970" et
"mailpro", ce qui est facile à retenir mais offre une protection forte
tant que personne ne connait l'astuce utilisée. On peut même rajouter
une règle disant qu'une lettre sur deux doit être une majuscule, que la
date doit être écrite à l'envers, que ce sont deux chiffres puis deux
lettres, et ainsi de suite car les possibilités de variations sont
nombreuses tout en conservant la facilité de mémorisation.

--
17/06/1969 - 18/01/2011

Repose en paix mon amour :'(
Baton Rouge
Le #23163751
On Mon, 28 Feb 2011 11:21:04 +0100, Stephane Catteau

On peut même rajouter
une règle disant qu'une lettre sur deux doit être une majuscule, que la
date doit être écrite à l'envers, que ce sont deux chiffres puis deux
lettres, et ainsi de suite car les possibilités de variations sont
nombreuses tout en conservant la facilité de mémorisation.



Effectivement, plutot que de taper le nom d'un des enfants ou sa date
de naissance, on peut mixer comme tu le dis si bien par groupe de 2
lettre et chiffre.


--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Yannix
Le #23164481
Le 28/02/2011 10:08, Baton Rouge a écrit :
[...]
Quand tu vois la politique de securité des mot de passe de certaines
entreprise le taux de reussite se situe plutot du coté des 3h30 que
des 4 jours.



Voire 2 secondes quand le mot de passe de la secrétaire de direction est
inscrit sur un post-it collé en bas de son écran. :-)

X.
Benoit Izac
Le #23164471
Bonjour,

le 28/02/2011 à 11:21, Stephane Catteau a écrit dans le message

quelqu'un né le premier janvier 1970 aurait pour mot de passe de son
compte mail pro quelque chose comme 0m1a0i1l1p9r7o0, soit "01011970" et
"mailpro", ce qui est facile à retenir mais offre une protection forte
tant que personne ne connait l'astuce utilisée.



01011970mailpro, mailpro01011970 ou mail01011970pro est équivalent au
niveau de l'entropie et plus facile à retenir et à taper.

--
Benoit Izac
Baton Rouge
Le #23164611
On Mon, 28 Feb 2011 16:25:01 +0100, Yannix wrote:

Le 28/02/2011 10:08, Baton Rouge a écrit :
[...]
Quand tu vois la politique de securité des mot de passe de certaines
entreprise le taux de reussite se situe plutot du coté des 3h30 que
des 4 jours.



Voire 2 secondes quand le mot de passe de la secrétaire de direction est
inscrit sur un post-it collé en bas de son écran. :-)

X.



Ménonkilékon.
La secretaire (blonde) met des ****** sur le post-it.

;o))
--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Publicité
Poster une réponse
Anonyme